ネットマークス ソリューション事業本部コンサルティング部部長の内田昌宏シニアコンサルタント
ネットマークス ソリューション事業本部コンサルティング部部長の内田昌宏シニアコンサルタント
[画像のクリックで拡大表示]

 「セキュリティ対策はコストがかかるが,うまくやれば実は企業価値を高めるための立派な収益源になる」。ネットマークス ソリューション事業本部コンサルティング部の部長を務める内田昌宏シニアコンサルタントは4月26日,「RSA CONFERENCE JAPAN 2007」の基調講演でセキュリティ対策の重要性をこう訴えた。

 講演のテーマは「内部統制を見据えた情報セキュリティの実践例」。内田シニアコンサルタントはセキュリティ対策を実践する際のポイントとして,(1)目標と方法論を間違えないこと,(2)フレームワークを組織に適用してアレンジすること,(3)フィット・アンド・ギャップを明確にすること──の三つを挙げた。

 (1)の目標について内田シニアコンサルタントは,「何をどこまでやればいいのか分からないという悩みをよく聞くが,重要なのはプロセス。基準があるわけではなく,他社と横並びで比較できない。然るべき裏付けで判断を下したものであれば誰もノーとは言えない」と述べる。対策の方法論としては,BSC(balance score card)やRCM(risk control matrix)の利用を紹介した。BSCで財務や業務プロセス,顧客などの観点からリスクを洗い出し,それぞれの対策状況や有効性をRCMで可視化するというものだ。

 (2)のフレームワークは,米ISACA(Information Systems Audit and Control Association)が提唱するシステム管理基準「COBIT」(Control Objectives for Information and Related Technology)を推奨した。ただ,COBITで定義されている34のプロセスは「その一つひとつが完成されているわけではない。そのまま適用するのではなく,組織に合わせて最適なモデルにアレンジする必要がある」(内田シニアコンサルタント)とした。

 一方,(3)のフィット・アンド・ギャップとは,ユーザーとベンダーの間で「納得のいく的確な妥協点を見い出すこと」(同)。人間系の課題も多いので,システムの導入だけで解決できる問題ではないという。「自社だけでなくベンダーとの連携も不可欠になる。対策の主体はあくまでもユーザーだが,ベンダーとの責任の明確化が重要になる」(同)と指摘した。

■変更履歴
第1段落で 「セキュリティ対策はコストがかかるが,うまくやれば実は企業価値を高めるための立派な収益減になる」としていましたが,正しくは「・・・収益源になる」でした。お詫びして訂正します。本文は修正済みです。 [2007/4/27 13:05]