お使いのブラウザは最新版ではありません。最新のブラウザでご覧ください。

第12回 情報セキュリティ対策組織組成時の要点

2003/06/25 10:00
  • このエントリーをはてなブックマークに追加

 これまでに組織としての情報セキュリティ対策の重要性と対策例について紹介してきた。

 ISMSやBS7799といった認証制度の例を引くまでもなく、情報セキュリティ対策の最終到達点は、「PDCAサイクルを中心にした適切な情報セキュリティマネジメントのシステムを構築し、情報セキュリティに関する社会的な動向に柔軟に対応できる組織を構成すること」に他ならない。そこで、本稿ではこの情報セキュリティマネジメントに必要とされる組織について考慮すべき点を紹介したい。

1. 組織構成モデル

 情報セキュリティマネジメントのために必要な組織の基本的な構成は下の図の通りである。このような構成をとることにより、インシデントが発生した場合の責任の所在が明らかになるとともに、その対応策も柔軟かつ迅速に実施することが可能となる。例えば「ウィルス感染」というインシデントがプロシージャーに定められたユーザとしての責務(例えば、FDを使用する場合はあらかじめウィルスチェックを行う)を実践していないためなのか、プロシージャーに不備があるためなのかを可視化することで、問題の所在が明確になる。

 我々のコンサルティングの経験からいうと、情報セキュリティ対策が不十分な組織には、上記のような役割・責任分担がはっきりしていないケースが多い。例えば、ユーザ向け文書(プロシージャーに該当するもの)にて、「FDなどの磁気媒体は、磁気媒体に保管される情報の重要性に応じた適切な管理を行うこと」といったものにとどまっており、具体的な手順は担当者任せとなっている。この例でいえば、本来、情報セキュリティ責任者によって定められた手順に則って、業務を遂行する立場にあるユーザに対して、「情報の重要性」や「適切な管理」という判断を求めるものとなっており、ユーザと情報セキュリティ管理者の責任分担が不明確であると言える。しかもこうした対処を取る組織ほど、不適切な管理を行うユーザに対して、「情報セキュリティ意識が低い」という課題に焦点をあて、組織的な対処にあまり取り組まない。

 情報セキュリティマネジメントに必要な組織は、本連載の第6回「情報セキュリティポリシーを策定する」において述べたトップポリシーやスタンダードを策定する際に、あわせて検討するものである。従って、トップポリシーやスタンダード上に、先のモデルをベースに「誰が」、「何に」対して「どのような」役割・責任を持つのかを明示するべきであろう。

2. 統括責任者のあり方

 統括責任者とは、組織の情報セキュリティ対策全体に対して方向付けを行うとともに、各組織の活動に対して責任を負う役割にある。こうした役割を持つ組織の形態として、(1)委員会方式、(2)専任部門方式の2つが考えられる。

 委員会方式とは、組織を構成する様々な部門のメンバーにて、協議しながら推進するものである。この方式のメリットとして、関係者の声を反映しやすいため、実状に見合った方針を立案できるというものがあげられる。一方で、総意を形成するための時間がかかるあるいは委員会メンバーの情報セキュリティに対する意識や知識レベルによっては、有効な議論がされないという欠点がある。

 専任部門方式とは、情報システム部門内に「情報セキュリティ対策課」を設立する、「情報セキュリティリスク管理室」などを新設するというものである。この場合、トップダウン的に物事が決定・推進されるため、迅速性において勝るものであるが、実際の運用を行う情報セキュリティ管理者との間に論争が発生することが少なくない。

 どちらの方式を採用するかは、組織文化による部分が大きい。トップダウンの風土が強ければ、専任部門方式が望ましいし、反対に関係各部における協議が重視される組織では委員会方式の方が望ましいということができる。

 情報セキュリティポリシーを策定する場合、リスク分析を行うことになっている。その際には、自組織の組織風土を合わせて分析し、最も適した方式を選択してもらいたい。

3. 情報セキュリティ管理者の定め方

 情報セキュリティ組織について検討する場合に直面する悩みとして、情報セキュリティ管理者は誰にするべきかというものがある。多くの企業の場合、業務システムの情報セキュリティ管理者はそのシステムの主管部署が担当することが多いようであるが、実状はそれほど簡単ではない。例えば、経理システムのように支店や営業所といった出先機関で利用されている場合、そうした現場における出力帳票の管理責任まで経理課が担うことが現実的ではない。

 理想的な方法は、組織内で利用されている情報資産ごと、あるいは、情報資産に対して行われる行為ごとに情報セキュリティ責任者を定めることである。例えば、以下のような表を作成し、「クライアントPCの導入作業については○○、管理作業については××を責任箇所とする」といったように割り振るのである。

行為

大分類 小分類 導入 管理 利用 廃棄 保守
サーバ 外部公開
その他
ネットワーク LAN
外部接続
クライアント
PC
据付け
モバイル
媒体 磁気

4. 予算の処置

 具体的な手順の内容によっては、費用が必要とされるケースがある。この費用について「誰が」、「どのように」予算処置を行うか、この問題にも十分な配慮をすべきである。スタンダードに則った適切な手順を策定しても予算不足によって手順が遵守されないケースは多い。

 経理部門や経営企画部門から予算の承認を得られなかった場合に発生したインシデントについて、責任を負うべき仕組みをあらかじめ検討しておくことも重要である。

5. まとめ

 これまでの連載で、セキュリティに関する様々な動向やそれらの対処策について紹介してきた。

 情報セキュリティに最終到達点は無い。あえて言うならば、情報セキュリティマネジメントの仕組みを構築し、継続的な改善を繰り返すことでセキュリティレベルを高めることのできる組織となることという以外にない。

 我々としては、企業に対して早く情報セキュリティの必要性を認知してもらい、対応策に着手してもらいたいと考えている。その際に、本連載が対応策検討の助力となれば幸いである。

筆者略歴
重盛 良太(シゲモリ リョウタ)
株式会社 富士総合研究所
システムコンサルティング部 シニアシステムコンサルタント

  • このエントリーをはてなブックマークに追加
個人情報保護方針
利用規約
訂正
広告について
運営会社