ガバナンスとBYODとクイーンメリー2号(CA Security Reminder) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.23(月)

ガバナンスとBYODとクイーンメリー2号(CA Security Reminder)

特集 特集

CA Security Reminder は、コンシューマライゼーションが進行する企業情報システムの情報セキュリティとアイデンティティ管理について考えます。

CA Technologies の Robert Stroud によれば、「ガバナンス」という言葉は誤解されているということです。

--
企業のITガバナンス標準を推進すべく、国際標準化機構のワーキング・グループの一員としてシドニーを訪れました。2008年、私はISO/IEC 38500:2008策定チームに加わっていました。この標準は、あらゆる組織や団体において効果的で効率的かつ規定に則したITの使用を推進することを目的として作られました。

オーストラリア、ニュージーランド、アイルランド、アメリカ、韓国、日本、インド、南アフリカ、オランダの代表者がミーティングには参加していましたが、「皆が共通に使用する略語が数多くある」という話になったことがありました。ある参加者が「BYOD」を例に挙げたので、私の頭には早速「Bring Your Own …」などで始まる言葉がいくつか浮かんできました。

・BYOD - Bring Your Own Drink
・BYOD - Bring Your Own Dice (サイコロを使ってゲームでしょうか)
・BYOD - Bring Your Own Dessert (デザート持参、これはいいですね)
・BYOD - Buy Your Own Drinks

携帯メールの普及によって、略語は日常生活の一部になりました。しかし、略語が何を意味するのか分かっているという思い込みは危険です。「ガバナンス」という言葉についても同じことが言えます。

「ガバナンス」は、管理活動と誤解/ 混同されがちです。ガバナンスは経営トップの責任範疇にあり、「ISACA Glossary of Terms 」では以下のように明確に定義されています。

「利害関係者のニーズ、条件、選択肢を評価したうえで、バランスがとれ合意された企業の達成目標が設定されるようにし、優先順位付けと意思決定を行って方向性を定め、合意された方向性と目標に対する成果とコンプライアンスのモニタリングを行う。」

要するに、ガバナンス組織が作業を直接管理するわけではないのです。なぜなら、作業自体は管轄外だからです。

今朝、シドニー港のサーキュラーキーにクイーン・メリー2が入港している のを見て、ガバナンスの実例と言ってもよいのではないかと思いました。船長が「リーダーシップチーム」と協力して船の「ガバナンス」を行い、航路を指示する様子を思い浮かべてみてください。様々なチームが協力して指示を実行に移し、船長は常にその結果の船舶位置情報について報告を受けています。天候が悪いときは、情報を検討/評価して、状況にもとづいた指示が出されます。

つまり、真のガバナンスとは管理やタスクの実施ではなく、利害関係者のニーズに合った成果を出すことだと言えるでしょう。

効果的な企業のITガバナンスについては、ISACAウェブサイトに詳細情報が掲載されています。当サイトから企業のITガバナンスと管理のフレームワークであるCOBIT 5にアクセスしてご確認ください。

ISO WG8 ミーティングの参加者は全員BYODとガバナンスの定義を共有しているので、国際基準を作るという目前の問題に取り組むことができます。面白いものができると思いますので、ご期待ください。

(Robert Stroud)

筆者略歴:CA Technologies社ヴァイスプレジデント。同社複数部門のエヴァンジェリストを務めるかたわら、国際団体 ISACA 副代表として COBIT の作成において指導的役割を果たす。
《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  2. [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

    [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

  3. マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

    マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

  4. Heart of Darknet - インターネット闇の奥 第3回「アクターとダークウェブ」

  5. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第4回 「"やりかねない"男」

  6. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  7. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」

  8. Man in the Browser と Man in the Middle 攻撃(CA Security Reminder)

  9. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第5回「ウソも方便」

  10. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第6回 「川辺」

全カテゴリランキング

特集

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×