情報セキュリティ監査の有効性を探る（前編）：経営視点のセキュリティ管理

企業の社会的責任として、情報セキュリティを確保することには、どのような意味があるのか？　情報ネットワーク社会の中で、その本質と重要性を考えていく。

[大木栄二郎，ITmedia]

　企業の社会的責任（CSR：Corporate Social Responsibility）として、情報セキュリティの確保が求められるとはどういうことであろうか。その意味を正しく解釈するには、CSRの本質と、情報ネットワーク社会における情報セキュリティの意味の2つの側面から理解を深める必要がある。

CSRとは何か？

　まず、CSRの本質に迫ってみよう。社団法人 経済同友会の「市場の進化と社会的責任経営」によれば、次のように定義することができる。

• CSRは、将来のリスクを低減するとともに、社会のニーズの変化をいち早く価値創造や新しい市場の創造に結び付けることによって、企業の持続的な発展や競争力向上につながる。したがって「コスト」ではなく「投資」として位置付けるべきである。
• CSRは、企業の持続的発展とともに、社会との相乗発展を目指すものである。その意味で、今の日本企業に失われた信頼とダイナミズムを回復し、日本経済・社会の活力を再生するための挑戦である。
• したがって、CSRは「法令遵守」や「社会貢献」といったレベルにとどめるのではなく、企業理念/戦略の展開という企業経営の中核に位置付けるべき課題である。

　CSRは、企業の発展の副次効果として社会に貢献することではなく、企業の中核に位置すべき課題であり競争力強化につながる投資であるとしている。

　つまり、企業の持続的な発展は社会との相乗的な発展とともになければならず、CSRは企業理念や戦略の展開における課題でなければならないのである。

バリューチェーン全体の情報セキュリティ確保が急務

　では、企業を取り巻く現代社会の特長は何であろうか。産業革命に匹敵するといわれるIT革命の最中にあり、情報ネットワークの急速な発展が企業活動にも大きな影響を与えている。情報ネットワークは社会全体に張りめぐらされ、まさに社会の神経系を担うようになった。あらゆる企業活動にデジタル化された情報が活用され、消費者や市民もネットワークを通して情報発信をする。

　このようなネットワーク社会は、企業間の競争の激化をもたらし、各企業は自らの強みをより強く、そうでない部分は外部の事業者に委託するなどいわゆるコアコンピタンス経営を志向し、継続的な発展を目指している。その結果企業は、戦略的に意図したかどうかにかかわらず、情報ネットワークを通して多くの顧客や取引先と緊密な結び付きを強めることとなった。

ネットワーク社会のCSR

　これにより、事業全体の情報セキュリティの安全の確保、自社内に閉じたこれまでの取り組みだけでは難しく、事業の川上から最終の顧客までのいわゆるバリューチェーン全体の情報セキュリティ確保が急務となっている。

　今や、企業の情報ネットワークは、世界を包む巨大ネットワークの一部に過ぎず、顧客や取引先もまたそのネットワークの一部である。自社の情報セキュリティに問題が発生すると、その影響は自社だけにとどまらず、顧客や取引先に迷惑をかける、逆に自社はいくら精緻にやっていても取引先が情報セキュリティについて問題を起こせば、自社で問題を起こしたと同じ影響が生じることにもなる。

　これを先のCSRの本質として考えてみると、情報セキュリティの確保はまさしく企業の持続的発展に資するものであると同時に、自社内で閉じたものではなく、社会の相乗的発展に欠かせないものであることもよく分かる。まさしく、情報セキュリティへの取り組みは「コスト」としてではなく、「投資」であるととらえると意味がはっきり浮かび上がる。

　情報セキュリティ確保は将来のリスクを低減するとともに、社会のニーズの変化をいち早く価値創造や新しい市場の創造に結び付けることを可能にする企業の基盤的能力の一つであることが明確になる。

大木 栄二郎

工学院大学情報学部教授。特定非営利活動法人 日本セキュリティ監査協会（JASA）顧問、スキル部会長、保証型情報セキュリティ監査促進プロジェクト・リーダー。IBMにおいてセキュリティ・コンサルティングの分野を確立、IBMディスティングイッシュト・エンジニア、IBMアカデミー会員、IBCSチーフセキュリティ･オフィサーを経て現職へ。情報セキュリティ監査研究会や情報セキュリティ戦略研究会など政府のセキュリティ関係委員会の委員を歴任。公認情報セキュリティ主席監査人。