開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 会員限定
  • 2016/04/04

必要なのはCSIRT型?それとも諜報機関型?セキュリティガバナンスで検討すべき5つの論点

デロイト トーマツ高橋宏之氏が解説

巧妙化するサイバー攻撃から企業や組織を守るためには、全社一丸となってPDCAサイクルを回す必要がある。「いまやセキュリティ対策は、個別部門だけに任すのではなく、企業グループ全体でとらえるべき時代になった」と語るのは、デロイト トーマツ サイバーセキュリティ先端研究所 主任研究員の高橋宏之氏だ。高橋氏は、セキュリティガバナンスを整備するうえで押さえたい5つの重要論点について、同社が取り組んだ成功事例をベースに解説した。

セキュリティガバナンスを構築するうえで重要な5つの論点

 セキュリティガバナンスを構築するうえで重要なことは、具体的な体制や手続き、基本構想を丁寧につくりあげていくことだ。高橋氏によると、「これまで手がけてきた案件で成功した事例には共通する検討ポイントがある」という。それが以下の5つの論点だ。

論点1:セキュリティにおけるガバナンスとマネジメントの関係とは?
論点2:セキュリティガバナンスの対象とする資産は?
論点3:全社横断的に取り組むべきセキュリティ業務とは?
論点4:セキュリティガバナンス推進のための組織とは?
論点5:あるべきセキュリティポリシーの姿とは?

論点1:セキュリティにおけるガバナンスとマネジメントの関係とは?

 まず「ガバナンス」と「マネジメント」は何が違うのだろうか?これは「統括系」と「実務系」で分けて考えるとよいという。つまり、セキュリティガバナンスは統括系であり、セキュリティマネジメントは実務系ということになる。

画像
セキュリティの「ガバナンス」と「マネジメント」の違いは「統括系」と「実務系」で分けて考える

photo
デロイト トーマツ
サイバーセキュリティ先端研究所
主任研究員
デロイト トーマツ リスクサービス
サイバーリスクサービス
シニアマネジャー
高橋 宏之 氏
 統括系のほうは、そのミッションからステークホルダー向けの説明責任を負っており、最終的に彼らにどう説明するかということがポイントとなる。一方、セキュリティマネジメントは実務系寄りであり、業務遂行責任が重要になる。

 統括系と実務系では、当然ながら統括系のほうが実施する頻度が少なく、決算時など年に数回の実施にとどまる。責任者も経営層であることが多く、組織全体の幅広い視点が求められる。

 一方、実務系は業務遂行という観点から月次・週次の進捗報告タイミングで実施され、責任者も部門長クラスだ。管理対象も部門の管轄内にとどまる。高橋氏は「ポイントは、どちらが重要ということではなく、両方必要だということ。ただしガバナンスを語る際は、マネジメントがないと組織が形骸化しかねない」と注意を促す。

関連記事
 もう少しかみ砕くと「大きなPDCAサイクル」と「小さなPDCAサイクル」があるということ。具体例として、ある企業が不要IDの残存状況を定期調査し、その結果を記録・報告するというルールを加えたとしよう。そのときガバナンスとマネジメントはどのように動くべきか。

 まずガバナンス側では、PLANとして従来のセキュリティ管理規定を改定し、関係部署への周知徹底を促す。次にDOのステップは、ガバナンス側で各組織に施策を周知する業務がメインとなる。ここで実際に現場でルールを実施するのは、マネジメント側で、小さなPDCAを回す。具体的なID棚卸の手順書をつくり、実施体制を整備する。

 そして月次でID棚卸を実施し、記録を作成したら部門長へ報告する。この報告をガバナンス側がCHECK/ACTIONで吸い上げ、最終的にセキュリティ委員会などでハンドリングしていく流れになる。

「大切な点は、PDCAを設計する際にはガバナンス側か、あるいはマネジメント側なのかを混同せずに、検討段階でどちらを指しているのか意識してアプローチすること。それが論点1として重要になる」(高橋氏)

画像
PDCAは、ガバナンス側かマネジメント側なのかを混同しないようにすることが重要

 この際に、ガバナンスのミッションは何かという点も押さえたい。デロイト トーマツでは、ガバナンスによって、組織全体の「底上げ」と組織横断的な取り組みによる「効率化」を目指すことがミッションだという。

 高橋氏は「組織全体で足りない部分を引き上げ、各組織で共通する課題であれば、横断的に取り組んだほうがよい。組織には底上げと共通化のような課題にバランスが取れていないことも多い。ガバナンスを考える上では、両方を考えていかなければならない」と指摘した。

論点2:セキュリティガバナンスの対象とする資産は?

 続いて論点2のガバナンス対象資産に関しては、セキュリティがらみであるため、当然ながら電子データや紙文書などの情報資産が重要になる。ただし、これだけにフォーカスすると危険だという。

「情報資産だけに気を取られると、それ以外の製品・サービスや、設備・什器などの分野が見落としがちになる。実はどの分野も情報が絡み合っている構図だ。いま話題のIoTでもモノのセキュリティがある。このような環境を踏まえたうえで、何を対象とするのか見極めなければいけない」(高橋氏)

画像
セキュリティガバナンスの対象領域の考え方

 どの部門が関与すべきか検討する際に、情報資産が重複する部分もあるため、冒頭のように部門を巻き込んで全社一丸となってガバナンス体制をつくることが大切になるというわけだ。

【次ページ】自社に必要なのはCSIRT型?それとも諜報機関型?

セキュリティ戦略 ジャンルのセミナー

セキュリティ戦略 ジャンルのトピックス

セキュリティ戦略 ジャンルのIT導入支援情報

PR

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!