情報セキュリティはガバナンスの一部――グループ企業全体としてのガバナンスが重要：ITmedia エグゼクティブセミナーリポート（2/2 ページ）

「第28回 ITmedia エグゼクティブフォーラム」の基調講演に、デロイト トーマツ サイバーセキュリティ先端研究所 所長の丸山満彦氏が登場。「グローバル・ガバナンス強化とセキュリティ」と題し、これからの企業のグローバルセキュリティのあり方について講演した。

[山下竜大，ITmedia]

グループ共通のルール設定が必要

　グローバルで1つのルールを設定することはなかなか困難である。丸山氏は、「デロイトでは、3層構造のルールになっており、まずは要件（何をするのか）を決定する。次にどのように行うか、どのようなツールを使うかを決定する。この内容は、会社によって変化する」と話す。

　要件の決定とは、例えばアクセス管理を行う、IDの発行を1人1つにする、必ず認証を行うなどのルールである。グローバルで1つに決めても良いし、会社ごとに決めても良い。デロイトでは、ファイアウォールの設定などは、グローバルで1つの設定になっている。一方、人間系の運用は、国によって事情が違うので状況によって変化する。

　「どこまでグローバルで共通にし、どこから地域、サービスごとに設定するかを決めることが重要になる。ポイントは、プロセスにセキュリティを組み込むことだ。プロセスを標準化し、標準化されたプロセスにセキュリティを埋め込むことで、自動的にグローバルで同じセキュリティ標準を設定できる」（丸山氏）。

グループ企業共通の規則（ルール）の設定が必要

　情報セキュリティをどこまで行えばよいのか。セキュリティ対策のためのセキュリティアーキテクチャには、「リスクアセスメントからの要件」「法的用件」「ビジネス要件」の3つの要件がある。この3つの要件に基づき、物理レイヤーからネットワーク、OS、アプリケーション、ユーザー、マネジメントまで、どのレイヤーで対策するかを設定する。

　また抑止、予防、検出、回復のどの分野で対策するかを設定する。さらに人材、資金、情報、設備、システムのどのリソースに対して対策するかを設定。計画、設計、導入、管理のどのライフサイクルで対策するかを設定する。このときルールの遵守状況を確認しなければコントロールできているとはいえない。

　目標を決めたら達成できているかどうかをチェックするのは内部統制の基本原則である。CISOによる自己チェックと、内部監査の2重のモニタリングが重要になる。次にグループ共通のリスク基盤により、ガバナンスを実現する。ガバナンスを頂点として、共通基盤、リスクマネジメントプロセスの3階層ピラミッド型でリスク基盤を構成する。

　丸山氏は、「共通基盤は、人材、プロセス、テクノロジーで構成されるが、テクノロジーにあたるのがGRCツールである。GRCツールを利用することで、リスクやセキュリティの状況を自動的に把握することができる」と話している。

ガバナンスは成熟度に応じて段階的に実現

　ガバナンスとセキュリティ強化のポイントは、大きく3つ。1つ目がグループ企業全体としてのガバナンスが重要になるということ。国内の拠点は管理しているが、海外の拠点はよく分からないという企業は意外に多い。国内拠点はもちろん、海外拠点も含めて、企業グループ全体としてガバナンスを効かせることが必要になる。

　2つ目が情報セキュリティもガバナンスの一部であるということ。例えば日本版SOX法であれば、グループ企業全体で取り組むことが必要になる。日本版SOX法は会計に関する財務報告に関する内部統制だが、情報セキュリティも内部統制の1つとして取り組まなければならない。

　3つ目がガバナンスを効かせるためには、人事や予算などの権限を与えることが重要。権限があいまいだと海外拠点やグループ企業が言うことを聞かないことになる。丸山氏は、「ガバナンスは、一朝一夕には実現できない。それではどうするか。スモールスタートで成熟度に応じて段階的に実現していくことが重要なカギになる」と締めくくった。