情報セキュリティはガバナンスの一部――グループ企業全体としてのガバナンスが重要:ITmedia エグゼクティブセミナーリポート(1/2 ページ)
「第28回 ITmedia エグゼクティブフォーラム」の基調講演に、デロイト トーマツ サイバーセキュリティ先端研究所 所長の丸山満彦氏が登場。「グローバル・ガバナンス強化とセキュリティ」と題し、これからの企業のグローバルセキュリティのあり方について講演した。
「狙われている海外拠点――グローバル化で直面する情報セキュリティの課題にどう対処すべきか」をテーマに開催された「第28回 ITmedia エグゼクティブフォーラム」の基調講演に、デロイト トーマツ サイバーセキュリティ先端研究所 所長の丸山満彦氏が登場。「グローバル・ガバナンス強化とセキュリティ」と題した講演で、これからの企業のグローバルセキュリティのあり方について紹介した。
日本がおかれている環境
日本のマーケットは、少子高齢化により飽和状態にあり、日本企業は、米国をはじめ、中国、ロシアなど、外に向かって市場を拡大しはじめている。好むと好まざるとに関わらず、日本企業は海外へと市場を拡大していかなければ企業の成長は望めない。そこでコーポレートガバナンスの強化が不可欠になっている。
2014年6月20日に「会社法の一部を改正する法律案」が参議院で可決成立した。企業統治におけるポイントは、(1)社外取締役を任命していない場合の積極的な理由を開示、(2)監査等委員会設置会社制度を導入、(3)社外取締役、社外監査役の要件を厳格化、(4)企業団体の業務の適性を確保するために必要な体制を整備の4つである。
丸山氏は、「これまでの会社法は、企業の内部統制に関するものが中心だった。会社法が改正されたことにより、企業グループ全体にわたる内部統制が義務づけられている。日本企業に投資している欧米の投資家にも分かりやすい法体系を確立することも改正の目的の1つだ」と語る。
現在の日本企業が抱えるガバナンスの課題は、(1)銀行・経営目線の経営により独立取締役による取締役会の監督が不十分であること、(2)親会社を中心にした経営により子会社が監督外であること、(3)人に依存した属人的な経営によりガバナンスが効きにくいことの3つである。
「グローバル企業では、株主や投資家目線での経営、企業グループ一体経営、ITを活用したシステマティックな経営により、ガバナンスを効かせることに成功している。会社としてのガバナンスが効いていないと、情報セキュリティだけを切り出し、グループ全体で推進しましょうといっても実現が難しい」(丸山氏)
次に日本企業が抱える情報セキュリティの課題は、(1)役割が不明確でグループ企業全体に権限が及ばずCISO(最高情報セキュリティ責任者)がいても名ばかり、(2)会社ごとにばらばらのルール、(3)不十分なモニタリング機能、(4)手作業によるオペレーションの4つである。
グローバル企業では、グループ企業全体に対して権限を持つCISOが存在しており、グループ企業全体で統一されたセキュリティルールに基づき対策を実効。遵守状況の確認と改善を推進しながら、実施を確実にするGRC(ガバナンス リスク コンプライアンス)ツールを活用している。「少し遠回りでもガバナンスを効かせてから情報セキュリティを考えなければ行き詰まる」と丸山氏。
丸山氏は、「デロイトでは、本社と日本法人に親子関係はなく、ブランドとナレッジを共有しているだけだが、情報セキュリティのルールはグローバルで1つである。また国内外で相互に監査を行い、危ないものは赤、注意が必要なら黄、安全であれば緑という3段階で可視化して評価している」と話している。
情報セキュリティの取り組みのあり方
デロイトでは、グローバル市場で成功している金融機関のやり方を取り入れたコンサルティングを行っている。丸山氏は、「権限も、予算も、人事権もないCISOは機能しない。成功しているグローバル企業では、グローバルCISOが各リージョンのCISOを統括する組織体制になっている」と話す。
グローバルCISOは、グループ全体にガバナンスを効かせることはもちろん、各リージョンのCISOに予算を分配したり、人材のデータベース化により人事権を最適化したりすることも必要になる。このとき各リージョンの社長に予算をわたしてしまうと、情報セキュリティ以外の分野に投資してしまい脆弱な組織になる可能性がある。
それでは、CISOの役割とは何か。よく似た役職に、CIO(最高情報責任者)、CSO(最高セキュリティ責任者)がある。CIOは企業全体における情報投資が責任範囲であり、CSOは人命や物理的なセキュリティなどが責任範囲。事故が起きた場合にセキュリティ上の安全をいかに保つかが重要になる。
「情報セキュリティがそれほど重要ではなかった時代には、セキュリティに関することはCSOが担当し、IT投資に関することはCIOが担当していた。しかし情報セキュリティが重要になってくると、CSOとCIOの役割分担が不明確になってきた。そこで、情報セキュリティ専門の役職であるCISOが登場する」(丸山氏)。
これによりCEOの直下に、CIO、CISO、CSOが配置される組織体制になる。「この組織には、良い面と悪い面がある」と丸山氏。良い面は、CISOが専門職であることからIT部門に予算が無くてもCISOが持っている予算と権限で情報セキュリティに取り組めることだ。一方、悪い面は、CISOとCIO、CSOの調整が常に発生することである。
丸山氏は、「システム構築はCIOの責任だが、そのシステムの情報セキュリティはCISOの責任であり、常に両者間の調整が必要になる。またセキュリティインシデントが発生した場合には、CISOとCSOのどちらが責任者として対策を行うかの調整を行うことが必要になる」と話す。
そこでもう1つのパターンとして、CIOの下にCISOを配置する組織体制が考えられる。この組織では、CISOはCIOの指揮命令で動くことになる。そのため連携性は高くなるが、開発優先のCIOの場合、セキュリティが手薄になる可能性がある。丸山氏は、「どちらが良い悪いではなく、どちらが自社にとって最適かを考えることが重要だ」と話している。
Copyright © ITmedia, Inc. All Rights Reserved.