第7回　情報セキュリティ・ガバナンス /アウトソーシング /日立情報システムズ

HOME

サイトマップ

RSS

経営戦略としてのアウトソーシング～ユーザー視点でシステム構築、運用を根本から変革する～

	【2008年4月7日】
	情報セキュリティ・ガバナンス（情報システムに関するトータルリスク管理対策）

情報セキュリティ・ガバナンスとは、情報セキュリティの基本方針に基づいて統一的にその強化を推進するための継続的取り組みである。情報セキュリティとは、情報資産全体のセキュリティを意味し、ハードウエア、ネットワーク（含むインターネット）、電算センター、関連するファシリティ、ソフトウエア、取り扱うすべての情報（データ）などの機密性、完全性および可用性を維持することをいう。

機密性とは、情報にアクセスすることを認められたものだけが情報にアクセスできる状態を確保することをいう。
完全性とは、情報を破壊・改ざん・消去されない状態を確保することをいう。
可用性とは、情報にアクセスすることを認められた者が、必要な時に中断されることなく、情報にアクセスできる状態を確保することをいう。

近年、オープンシステムの拡大により様々な環境での情報システム利用が進展してきたこと、およびインターネット利用が個人に至るまで普及してきたことにより、従来の情報セキュリティ概念では様々な脅威から情報資産を守れなくなってきている。また様々な形でのIT関連事故（トラブル）が予想を超えて発生しており、専門的な見地からの対策が急務となっている。事業を行うすべての業種において情報システムが取り扱う情報（データ）には、事業運営上重要な情報、および顧客・住民などの個人情報など、部外に漏えいした場合極めて重要な問題を引き起こす情報が多数含まれている。情報（情報資産全体）の安全対策は、すべての業種において情報利用及び情報管理の観点から共通的にかつ早急に取り組まねばならない項目である。

情報資産への脅威

情報資産に対する脅威は、以下の脅威を想定し情報セキュリティ対策基準（情報セキュリティポリシー）を定め、その対策を実施する必要がある。

天災・ライフラインの停止など災害による脅威
火災、地震、落雷、停電、漏水など災害によるサービスおよび業務の停止
部外者による脅威
建物侵入による情報資産の破壊、・盗難、故意の不正アクセスまたは不正操作による情報資産の破壊・盗難・改ざん・消去など
社員・社内関係者（外部委託業者）による脅威
日本において極めて特徴的で多い脅威である。意図しない故意の不正アクセス又は不正操作によるデータやプログラムの持ち出し・改ざん・消去、機器または記録媒体の盗難、規定外の機器操作によるデータ漏えいやシステムの停止など
インターネット利用による脅威
盗聴、改ざん、なりすまし、侵入、妨害、不正アクセス、機密漏えい、ウイルスなど

情報システム利用は増加の一途をたどり、それに比例して情報資産に対する脅威も増加している。またその内容も複雑化、専門化、悪意に満ちたものとなってきている。日本における情報セキュリティ対策は、事故が起こってから対応する（事故の後始末中心）というのが一般的であった。そのため後手に回ることが多く被害が拡大し社会問題化することも少なくない。特に最近の事例では内部告発により社会問題化する傾向がある。

情報セキュリティ・ガバナンス構築に向けて

個人情報保護法の施行（2005年4月）、日本版SOX法（金融商品取引法第24条など）適用（2008年4月より）などIT利用に関する法制化が進んできている。これはIT利用に関連する事故が多発し、社会問題化していることを意味している。企業・自治体などにおいて、情報セキュリティ対策が不十分なため、事故を起こして被害が発生した場合は、厳格に処罰の対象となる。よって従来の情報セキュリティ対策に対する考え方を根本的に見直し、再構築していくことが必要となる。

この再構築において、最初に取り組むのは意識改革である。従来の事故（トラブル）が発生してから対処する（後始末）のではなく、ステークホルダー（利害関係者＝株主、従業員、顧客、住民、社会など）を明確にした上で、あらゆる事故を想定し、その対応方法を構築して行かねばならない。また定期的に検査・テストし、時代にあわせて補修できる実行体制を確立していくことが必須となる。

情報セキュリティ・ガバナンス構築は、企業責任として推進していく必要があり、コーポレート・ガバナンス（企業統治）の重要な機能として位置付けて纏め上げるのが望ましい。

情報セキュリティ対策

前述した1.～4.の脅威から情報資産を保護するために講ずる対策を情報セキュリティ対策といい、以下に分類する。

（1）	物理的セキュリティ対策
	火災対策、地震対策、漏水対策、防犯対策、電源対策、データ保障対策など、情報システムを設置する設備そのもの、施設への不正な立ち入り、情報資産への損傷、利用妨害などから保護するための入退室や機器管理上の物理的な対策を講じる
（2）	人的セキュリティ対策
	情報セキュリティに関する権限や責任及び遵守すべき事項を明確に定め、すべての構成員（社員、職員）に周知徹底するなど、十分な教育・啓発が講じられるように必要な対策を講じる。
（3）	インターネット・セキュリティ対策
	盗聴、改ざん、なりすまし、侵入、妨害、不正アクセス、機密漏えい、ウイルスなどの脅威に対して技術的対策を講じる。
（4）	運用対策
	組織管理、運用管理、データ管理、入出管理、利用者管理対策等、厳格な運用体制の堅持、監視及び情報セキュリティ・ポリシーの遵守方法などの対策を講じる。また、緊急事態発生時に迅速な対応がとれる危機管理対策を講じる。

情報セキュリティに関するアウトソーシングの可能性

我が国における企業・自治体などの情報セキュリティ対策は、ぜい弱である。前述したように事故が発生してから対処するという姿勢が未だにあり、事前に起こりうる脅威を想定してセキュリティ対策を講じるという考え方に至っていない。特に個人情報保護やプライバシー保護についての意識が根付いているとは言い難い。今後益々発展するIT化に向けてセキュリティ対策は必須であるが、個別に投資していくには多額の投資が必要となり、技術レベルについても一般企業・自治体などに全くノウハウがない分野であるためその方法論を具体化するのは困難である。

よって、アウトソーシングによる情報セキュリティ対策構築が最適な方法論といえる。法的基準に則った施設（センター設備）、プロの運用方式による厳格な運用方式、最新の技術を駆使したインターネット・セキュリティ対策、必要に応じて保証範囲を明確にした契約など新たな投資を行うことなく、短時間でのセキュリティ対策を構築することができる。アウトソーシング利用者の観点からみると、安全性・安定性の確保は自ら手当するには限界があり、外部を活用（アウトソーシング）することが最適な解決策であるという意識に変えていくことが重要である。

図1