2023/06/01
デジタルリスクの地平線 ― 国際的・業際的企業コミュニティの最前線
小原 浩之
日本の大手総合商社に34年間籍を置き、営業を一通り経験した後、経営企画・連結経営リスク・BCP・個人情報保護・情報セキュリティおよびサイバーセキュリティに関する制度の立案・推進を長年リードしてきた経験を持つ。2018年5月から、英国を本拠地とする国際的NPOであるISFの日本および極東担当代表に就き、グローバル水準のコミュニティー形成を図っている。また、デジタルで繋がっていく「接続性」の中で、人の繋がりを重視した社会デザイン形成に貢献したいと願い、デジタルリスクに関する規範研究やコンサルティングをしている。
一般に階段を上がるのは、キツイものです。楽な方法はないかな?と、ネットを検索すると筋肉の鍛え方や、身体の使い方や、そもそも体重を落とすこと、など色々な指南が見つかります。見ていてそれぞれなるほど、と思ったのですが、ふと気づいたのは、インターネットは商売をして儲けたいという人々が多く発信する場ですから、何らかのサービスや商品に話がつながる情報も多いということです。
そこで自分の頭で考え直してみると、楽しく喋りながら上がるという小学生の頃には当たり前だった光景が浮かんできました。大人になってもそこそこ歳がいっても、人と夢中になって話しながら登る階段や坂は、何てことありません。
さて、比喩ではありますが、ガバナンスの質を上げていくための階段を上がるのも、実に大変な労力が要るものです。コーポレートガバナンスももちろんそうですが、サイバーセキュリティのガバナンスには、また独特の難しさがあります。世界的にも企業におけるサイバーセキュリティのガバナンスの質の向上が長年課題とされていますが、いったいどのような階段が何段あって、世界の一流企業は、どのくらい上まで行っているのでしょうか。そして楽な方法は本当にあるのでしょうか。
まずは、何階まであるのかということですが、いつもの通り、ISFの数え方をご紹介しましょう。
(ここから引用)
Published:March23,2023
SOURCE:Forbes
SteveDurbin,ChiefExecutive,InformationSecurityForum
情報セキュリティのガバナンスとは、さまざまなリスク軽減の取り組みを会社全体のビジネスと整合性のある戦略となるよう、束ねて方向付ける指針と言えます。とは言え、企業は絶え間なく変化する状況の中で活動するダイナミックな存在ですから、各社でサイバーセキュリティ機能の成熟度も異なり、優先すべき諸課題は一様でないこともあり、一口にガバナンスと言っても非常に難しいものがあります。
ガバナンスの方向性を誤ると、企業はさまざまなリスクにさらされ、セキュリティ体制全体が弱体化する可能性も出て来るわけですが、積極的にガバナンスに取り組むことによって、サイバー攻撃に対する耐性を高め、ひいては長期的なビジネスの成功に大きく貢献することにつなげて行くことができます。
では、どうしたら会社として、積極的にガバナンスに取り組んでいけるのでしょうか?それについては、情報セキュリティ担当者の能力とスキルが高まるだけでなく、情報セキュリティ機能が成熟していくことに秘訣があると言えるでしょう。
企業におけるセキュリティの成熟度は、5階梯に分類することができます。さっそく、それぞれの階梯はどのようなものか、情報セキュリティを自社の目標や戦略とうまく連携させるためには、どのような戦略をとればよいかをご説明していきたいと思います。
新興企業や中小企業においては、ガバナンスが未発達な状態にあることは珍しくはありません。そうした企業は、セキュリティの行動様式においても同じ特徴が見られますが、ポリシーやコントロールやアクションといったものが会社の安全性を高めているのかどうかを見極めるという考えは無く、さまざまな活動が無秩序に混在している状態です。
この段階においては、情報セキュリティの機能も専門部隊としては存在せず、ほとんどの担当者は、計画的にガバナンスにかかわるよりも、むしろシステムの維持運用に多く携わっている状態です。
こういう状態にある場合、まずは、すべてのセキュリティ活動をログや記録で保持し、何が何故行われたのかを明示することが望まれます。また、セキュリティ担当者のスキルや能力について記録しておくことも望まれます。そうすることで、現時点でセキュリティが機能として行えていること、今後すべきこと、そしてそれが実行できるかどうか、の間にどれくらい開きがあるかが明らかになるからです。
この段階になると、場当たり的にバラバラに対応していた状態のガバナンスから一段上がったことを意味します。セキュリティ機能がこの階層を目指す動機は幾つかあります。突然規制当局に対応しなければならなくなった、重大なインシデントが発生してセキュリティの行動様式についてメスが入った、企業買収によって従来のガバナンスプロセスに変化がもたらされた、などが挙げられるでしょう。
この場面では、セキュリティ実務に関する理解は得られつつありますが、ポリシー、スタンダード、そしてコントロールが従業員の日々の業務をこなすのにどう影響するかについては、それほど理解されているという訳ではありません。
そこで、まずセキュリティ機能が基本方針を定義し、自社がコンプライアンスや規制上の義務を確実に果せるようにして、正しくサイバーセキュリティをすることはどういうことなのか、という基本的な期待値を設定することが重要になってきます。これには、個別のポリシー策定を行うべき人々の名前を明記することも含まれます。セキュリティ機能は、ポリシーをアーカイブする全社リポジトリを作成し、ポリシー案が出されると、誰が、なぜ、何を、いつ、どこで、どのようにセキュリティに対処するのかを確認できるようにします。また、セキュリティ機能は、各ポリシーを採用することで今の仕事のやり方がどうなるのか、影響と効果についても評価を加え、ポリシー群を定期的に改善するための見直しプロセスも確立します。
デジタルリスクの地平線 ― 国際的・業際的企業コミュニティの最前線の他の記事
おすすめ記事
家庭の防災は企業BCPとつながっている
昨今は社員の自主防災力向上に努めている企業も多いでしょう。この時期は災害時のルール周知に余念がないと思いますが、ポイントとして提案したいのが、家庭の防災と企業BCP のつながりをしっかり伝えること。「家庭と会社は別」と考えがちですが、家庭の防災力を上げないと企業の事業継続力も上がりません。メッセージを出すよいタイミングです。
2024/05/02
企業不正の実態と不正防止対策
本勉強会では、企業不正の実態と不正防止対策について解説していただきました。2024年4月23日開催。
2024/05/01
リスク対策.com編集長が斬る!【2024年4月23日配信アーカイブ】
【4月23日配信で取り上げた話題】今週の注目ニュースざっとタイトル振り返り/特集:南海トラフ地震臨時情報を想定した訓練手法
2024/04/23
![2022年下半期リスクマネジメント・BCP事例集[永久保存版]](https://risk.ismcdn.jp/mwimgs/8/2/160wm/img_8265ba4dd7d348cb1445778f13da5c6a149038.png)
![危機管理2022[特別版]](https://risk.ismcdn.jp/mwimgs/f/6/160wm/img_f648c41c9ab3efa47e42de691aa7a2dc215249.png)
※スパム投稿防止のためコメントは編集部の承認制となっておりますが、いただいたコメントは原則、すべて掲載いたします。
※個人情報は入力しないようご注意ください。
» パスワードをお忘れの方