グローバルで1つのルールを設定することはなかなか困難である。丸山氏は、「デロイトでは、3層構造のルールになっており、まずは要件(何をするのか)を決定する。次にどのように行うか、どのようなツールを使うかを決定する。この内容は、会社によって変化する」と話す。
要件の決定とは、例えばアクセス管理を行う、IDの発行を1人1つにする、必ず認証を行うなどのルールである。グローバルで1つに決めても良いし、会社ごとに決めても良い。デロイトでは、ファイアウォールの設定などは、グローバルで1つの設定になっている。一方、人間系の運用は、国によって事情が違うので状況によって変化する。
「どこまでグローバルで共通にし、どこから地域、サービスごとに設定するかを決めることが重要になる。ポイントは、プロセスにセキュリティを組み込むことだ。プロセスを標準化し、標準化されたプロセスにセキュリティを埋め込むことで、自動的にグローバルで同じセキュリティ標準を設定できる」(丸山氏)。
情報セキュリティをどこまで行えばよいのか。セキュリティ対策のためのセキュリティアーキテクチャには、「リスクアセスメントからの要件」「法的用件」「ビジネス要件」の3つの要件がある。この3つの要件に基づき、物理レイヤーからネットワーク、OS、アプリケーション、ユーザー、マネジメントまで、どのレイヤーで対策するかを設定する。
また抑止、予防、検出、回復のどの分野で対策するかを設定する。さらに人材、資金、情報、設備、システムのどのリソースに対して対策するかを設定。計画、設計、導入、管理のどのライフサイクルで対策するかを設定する。このときルールの遵守状況を確認しなければコントロールできているとはいえない。
目標を決めたら達成できているかどうかをチェックするのは内部統制の基本原則である。CISOによる自己チェックと、内部監査の2重のモニタリングが重要になる。次にグループ共通のリスク基盤により、ガバナンスを実現する。ガバナンスを頂点として、共通基盤、リスクマネジメントプロセスの3階層ピラミッド型でリスク基盤を構成する。
丸山氏は、「共通基盤は、人材、プロセス、テクノロジーで構成されるが、テクノロジーにあたるのがGRCツールである。GRCツールを利用することで、リスクやセキュリティの状況を自動的に把握することができる」と話している。
ガバナンスとセキュリティ強化のポイントは、大きく3つ。1つ目がグループ企業全体としてのガバナンスが重要になるということ。国内の拠点は管理しているが、海外の拠点はよく分からないという企業は意外に多い。国内拠点はもちろん、海外拠点も含めて、企業グループ全体としてガバナンスを効かせることが必要になる。
2つ目が情報セキュリティもガバナンスの一部であるということ。例えば日本版SOX法であれば、グループ企業全体で取り組むことが必要になる。日本版SOX法は会計に関する財務報告に関する内部統制だが、情報セキュリティも内部統制の1つとして取り組まなければならない。
3つ目がガバナンスを効かせるためには、人事や予算などの権限を与えることが重要。権限があいまいだと海外拠点やグループ企業が言うことを聞かないことになる。丸山氏は、「ガバナンスは、一朝一夕には実現できない。それではどうするか。スモールスタートで成熟度に応じて段階的に実現していくことが重要なカギになる」と締めくくった。
Copyright © ITmedia, Inc. All Rights Reserved.
「ITmedia エグゼクティブは、上場企業および上場相当企業の課長職以上を対象とした無料の会員制サービスを中心に、経営者やリーダー層向けにさまざまな情報を発信しています。
入会いただくとメールマガジンの購読、経営に役立つ旬なテーマで開催しているセミナー、勉強会にも参加いただけます。
ぜひこの機会にお申し込みください。
入会希望の方は必要事項を記入の上申請ください。審査の上登録させていただきます。
【入会条件】上場企業および上場相当企業の課長職以上
早稲田大学商学学術院教授
早稲田大学大学院国際情報通信研究科教授
株式会社CEAFOM 代表取締役社長
株式会社プロシード 代表取締役
明治学院大学 経済学部准教授