情報セキュリティガバナンスの5力とは：情報セキュリティガバナンスを確立せよ（2）（1/2 ページ）

情報セキュリティの確保は企業の社会的責任であり、企業はこの責任を果たすために対策を合理的に策定し、実行し、証明しなければならない。これが情報セキュリティガバナンスである。情報セキュリティガバナンスの確立に際し、企業には5つの力が求められる

　情報セキュリティの確保は企業の社会的責任であり、事故前提社会では、取り組みに合理性が求められることが、前回の説明で理解いただけたと思う。その合理的取り組みを具体的に実現するのが情報セキュリティガバナンスである。

　事故前提とは、事故を完全にゼロにはできない現実を受け入れる考え方であり、事故を起こさないという極めて分かりやすい目標に変えて、合理的な対策を行うという難解な目標を掲げることを意味する。この考え方の背景には、「リスクを評価する」というリスク認識があり、「リスクに応じた対応をする」というリスクマネジメントの思想がある。つまり、情報セキュリティガバナンスとは、組織のリスク統治能力のことである。

　企業の社会的責任を果たす情報セキュリティガバナンスには、企業を取り巻く利害関係者からの以下のような質問に的確に答えられる必要がある。

情報セキュリティガバナンスの「5力」

　このリスク統治能力は、「設計力」「実装力」「運用力」「管理力」そして「表現力」の5つの力で表される。これをここでは「情報セキュリティガバナンス5力」と呼ぶことにしよう。

1. 設計力

　ガバナンスの始まりであり、最も重要なのがこの設計力である。企業の情報セキュリティの目標を設定し、その目標達成のための情報リスク統治の基本的な枠組みを定める力である。リスクの認識から始まり、トップによる許容リスクレベルの意思決定、リスク対応の責任の配置、アーキテクチャのデザインなど、企業におけるリスク統治の枠組みがここで決まることになる。情報セキュリティポリシーは、この設計力の成果でなければならない。

　多くの企業は情報セキュリティポリシーを策定している。しかし残念ながら、その多くはさまざまな参考資料を引用したものではあっても、このような設計力の産物とはなっていない。結果としてあまり組織に浸透せず、実効性のない書き物になってしまっている例が散見される。

　すなわち、この設計力は、企業の経営者が持つべき能力であり、経営企画や情報企画などの経営スタッフの力量が反映される力でもある。

　日本企業の中で、情報セキュリティガバナンスを確立した企業の多くは、その前に何らかの情報セキュリティ事故を経験している。その事故を契機として、経営トップがこの設計力にリーダーシップを発揮して、具体的な情報セキュリティ目標を掲げ、情報セキュリティガバナンスの確立に成功している事実がある。幸いにして、まだ深刻な事故を経験していない企業は、より真剣にこの設計力の強化に当たるよう、経営陣の奮起を望みたい。

　事故前提社会では、この設計力の中心は、リスク認識とそこから出てくる許容リスクレベルの設定というかなり難しいプロセスを経なければならない。そのためには、何らかのリスク評価手法の構築も必要である。この辺りが、経営者が設計力向上に取り組む上での大きな阻害要因になっているという調査結果もある。経営者にとっての設計力の強化につながる具体策は、次回より詳しく解説することとしたい。

2. 実装力

　設計された統治の枠組みを、組織やITなどのインフラに具体化するのが実装力である。リスク対応の責任配置を実組織に割り当て、個々人にまで責任分担や意識を徹底させ、全社の情報リスク管理体制を確立し、ネットワーク構造や情報システム基盤に情報セキュリティ機能を組み込んでいかなければならない。つまり、実装力は、組織の継続的な活動というよりも、新たに設計した、あるいは設計変更したものを一定期間内に事業インフラに組み込むための一時的な遂行力である。

　実装は、時間を限ってプロジェクトとして実施されることになる。従って、実装力はプロジェクト遂行能力といい換えてもよい。

　企業の経営基盤の中に、情報リスク統治の枠組みを埋め込んでいく作業は、必然的に組織横断的な活動になる。本社の企画、人事、総務、経理、ITなどの機能別組織が互いに協力する体制が不可欠であり、さらに現業部門の参画も必須である。すなわち、このような組織横断プロジェクトを成功させるには、経営トップ自らがプロジェクトを定義し、経営陣の中から適任者をプロジェクトリーダーに任命して取り組まなければ成功は難しい。

　これまでの多くの企業の情報セキュリティの取り組みは、本社の機能別組織からの、いわばボトムアップ型の改善提案に個別に対応する形で実施されてきた。もちろん、それでも一定のセキュリティ強化の効果はあったであろうが、企業全体としての情報リスク対応のどの部分に相当するのかが明確でなければ、その施策の優先順位も効果も判断が難しい。ボトムアップ型の取り組みの限界がここにある。

　実装力の強化には、経営会議体において実装プロジェクトを検討し評価する議題を取り上げ、経営トップの指導の下に編成されるプロジェクトチームに一定の資源と時間を与えて取り組むことをお勧めしたい。その際に、それまでに行われていたボトムアップ型プロジェクトがあればそれらを中に取り込むような配慮が望ましい。そうすれば、これまで検討されたセキュリティ強化のソリューションを体系立てて位置付け、取り込むことができ、継続的に活用することが可能になる。

　この実装力の中身には、情報セキュリティの確立にかかわる組織やITの専門能力が求められるが、このような組織横断プロジェクトを成功裏に運営するためのプロジェクト管理能力も同じ程度に重要であり、これも1つの専門能力として重要視しなければならないことを申し添えておく。