セミナーは，カーネギーメロン大学公共政策学部助教授のDr.Rahul Telang氏による講演「Information Security and Management's Role」で幕を開けた。Telang氏は「シニアマネジメントの役割は，セキュリティ侵害された際のコンティンジェンシー・プランだ。しかし，問題発生時の責任は誰が負うべきかという点は依然としてマネジメント課題である。情報セキュリティに関する意思決定が複数の関係者に分けて担われている現状では，一方の決定が他方に影響する。このような中，どうすれば正しい決定ができるのか」と問題を提起した。情報セキュリティは目に見えず，技術的な知識も要求されるため，CEOとCISO（Chief Information Security Officer：情報セキュリティ統括責任者）の考えの不一致が起こりやすい。また，情報セキュリティは各組織や企業ごとに整備されているため，お互いがネットワークで連携している場合，最も弱い部分が全体のセキュリティ強度となる。最近では，ネットワークによる企業間連携が進んでおり，1社の投資や対策が弱かった場合，ほかの企業が大きな打撃を受ける可能性もある。

「例えば，DoS攻撃はゾンビと呼ばれる，乗っ取られたPCから行われますが，その責任は誰がとるべきなのでしょうか。対策を怠ったユーザーか，脆弱性のあるソフトウエアを開発したベンダーか，それともISPでしょうか」（Telang氏）。米国ではトランザクション・コストが相対的に高い場合，最も安いコストで責任がとれる関係者（ここではISP）がコスト負担すべきだという論調が強い。 　こうした責任の問題を考慮しながら，企業や組織の情報セキュリティを高めていくにはどうすればいいのか。ソフトウエアベンダーの責任が法的に追及されることはないが，脆弱性が明らかになれば株価は暴落する。ユーザー企業の機密情報漏えいが起こった際はなおさらである。このような市場のメカニズムによって，ベンダーは対応を迫られるため，ベンダーの脆弱性開示は，情報セキュリティ向上に結果として貢献することになるだろう。プライバシー認証制度などの自主的な規制やコモン・クライテリアなどのスタンダードの企業・組織側での採用も効果的だ。このようにマーケットのメカニズムがドライバとなり，情報セキュリティ対策が強化される。「情報セキュリティは今後も重要なビジネスドメインであり，シニアマネジメントは適切な戦略策定に関与するべきだ。また，複数のパーティや相互依存性の課題がマネジメントのキーの課題になるだろう」とTelang氏は述べた。

カーネギーメロン大学 公共政策学部助教授 （カーネギーメロン大学日本校教授） Dr.Rahul Telang氏

　「ヒューレット・パッカードは1980年代後半に情報システム原則を策定，複数のカテゴリーに分け，さらに詳細化，2000年代にEAと連携，セキュリティを組み込んだITガバナンスを確立しています」（藤田氏）。同社のITガバナンスは，（1）全社で標準化された方式でIT利用を行うことがIT原則の中で定義され，ITに関する標準プロセスも定義，（2）ITプロセスも一般のビジネスプロセスに関するガバナンスと同じ統制を受ける，（3）ITに関するポリシーや標準・規定はWebで公開，（4）合併を機に，EAとしてITに関するプロセスとフレームワークを再定義，（5）EAのフレームワークの利用で，ITガバナンスとEAを一体化して進行，という特長を持っている。その上で，EAは6つのレイヤーで構成され，ITに関するポリシーやスタンダードをセキュリティやテクノロジ，開発方式を提示。これらに基づきITシステムの構築，ITサービスの提供・管理が行われている。情報セキュリティを全社が使用する共通のインフラとして位置づけている。

■ ヒューレット・パッカードのEAドメイン・フレームワーク

　このように，同社は全社セキュリティ戦略の前提となるITガバナンスを明確化。IT利用の全てを対象に全社で標準化し，強い強制力を持たせてセキュリティレベルを設定している。またライフサイクル全般にわたる企画・開発・運用・モニタリングの全フェーズで統制することで一貫性を確保し，CISOが説明責任を担う全社セキュリティの運用状況に関しても，独立した内部監査チームによる監査を実施している。加えて，セキュリティに必要なITアーキテクチャも明確にし，重要な全社標準のインフラとして定義すると共に，プロアクティブなセキュリティサービスを提供，ID・パスワードの最小化など標準性を追求したシンプルなモデルを実現し，IT全体の俊敏性を高めている。「企業内でリスク対応としてのセキュリティが有効であるためには，ITガバナンスと全社アーキテクチャの整備が前提になります」と藤田氏は強調して講演を終えた。