金融商品取引法（J-SOX法）の施行を目前に控え、ITガバナンスの実現が待ったなしの状況になってきている。そこで重要となるのが情報セキュリティマネジメントだ。ITガバナンスで不可欠なリスクコントロールを行うためにはセキュリティは避けて通れない問題だからだ。そこで、ITガバナンスの視点から情報セキュリティマネジメントの考え方や実践のポイントなどについて、富士通 サービスビジネス本部 安心安全ビジネス推進室 室長 太田 大州氏と富士通 セキュリティソリューション本部 情報セキュリティセンター長 塩崎哲夫氏に話を聞いた。

　ITガバナンスの実行にあたっては、リスクと価値のコントロールが求められるが、その多くが情報セキュリティに関わる問題である。
もとより日本企業の情報セキュリティに関する意識はかなり高く、多くの企業でさまざまなセキュリティ対策が実施されている。セキュリティへの取り組みを公的に認証できる、プライバシーマークや情報セキュリティマネジメントシステム（ISMS）などの取得率も高く、とりわけISMSは2006年1月現在で2000社近くが取得するなど、世界でも類を見ないほど多くの企業が取り組んでいる。
　ISMSは、「組織のマネジメントとして、自らのリスクアセスメントにより必要なセキュリティレベルを決め、プランを持ち、資源配分して、システムを運用すること」（財団法人 日本情報処理開発協会 情報マネジメントシステム推進センターによる定義）であるから、以前のように個別限定的なセキュリティ対策ではなく、全社的にプランニングをし、対策のプライオリティをつけて実施されているはずだ。
　しかしながら、企業の多くは必ずしも完全に納得をして情報セキュリティ対策を実施しているわけではないようだ。警察庁の調査によれば、情報セキュリティ対策実施上の問題点として、多くの企業が「費用対効果が見えない」「コストがかかりすぎる」「どこまで行えば良いのか基準が示されていない」をあげており、この5年間変わらずトップ3を占めている。

　実際多くの企業では、情報セキュリティ対策をリスク回避のための「聖域」と考えがちで、その費用対効果を確実に検証してきたとは言い難い。しかし、セキュリティ対策と言えども投資であり、費用対効果を検証せずして投資だけを行うことは、本来企業経営としてはありえないだろう。
　そこで、富士通は、情報セキュリティガバナンスの目標として、対策として役に立っているかどうかの有効性と、効果に対して投資が過剰になっていないかという効率性を設定することを提案している。太田氏は、「従来の目標である完全性、機密性、可用性などに加えて、有効性と効率性を目標に加えることで、経営者が投資価値の判断を的確に行い、株主などのステークホルダーに対して、対策の妥当性を説明できることを目指しました」と富士通の情報セキュリティガバナンスの考え方を説明する。

　また、セキュリティ対策に100％はありえないので、必ず残存リスクは残る。経営者が、費用対効果を考えてどこまでの残存リスクは許容するのか、といった経営判断を確実に行うためにも、有効性と効率性をきちんと検証するしくみが不可欠なのだ。

　では、有効性と効率性を実現したセキュリティ対策を行うにはどうすればいいのだろう。まず、効率的なシステム構築のためには、技術的指針を明確にする必要がある。今多くの企業ではセキュリティポリシーを策定しているが、ポリシーには考え方しか書かれていない。たとえば、セキュリティポリシーに『重要なデータには厳しいアクセス制限を課す』とあったとしよう。しかし、重要なデータとは何か、厳しいアクセス制限とはどういう制限かが書いていなければ、システムを作るエンジニアの考え方次第でアプリケーションごとにばらばらな方法で認証を行うことになりかねない。もしこういう場合は、どういう方法で認証を行うといったことを明確にした技術的指針があれば、無駄のないシステム構築ができる。
　富士通が2006年8月に策定した「ESA（エンタープライズセキュリティアーキテクチャー）」は、情報セキュリティ知識の共通基盤、企業内のあるべき情報セキュリティ運用の仕組み、その実現に必要となる情報システムのセキュリティ機能要件などを網羅している。ESAをまとめた塩崎氏は、「ESAに則ってセキュリティ対策を実装することで、場当たり的な対策によるアプリケーションごとの不整合を回避できる上、効率的なシステム構築が可能になります。また、将来の整合性も担保できます」と語っている。
　さらに、ESAは、過去から積み上げられているセキュリティの知識体系に則っており、内閣官房情報セキュリティセンター（NISC：National Information Security Center）による「政府機関の情報セキュリティ対策の強化に関する基本方針」も考慮して書かれている。

関連リンク：富士通のエンタープライズセキュリティアーキテクチャー（ESA）

　一方、セキュリティ対策は導入しただけでは有効性を担保できない。体制を整え、責任を明確にした上で、PDCAサイクルを回すことにで、より効果的な対策として成熟していく。そこで重要なのが、管理の視点である。
　富士通は、セキュリティ対策の運用管理を効率よく確実に行うために、「SMF（セキュリティマネジメントフレームワーク）」を提唱している。ISMSやプライバシーマーク、富士通の社内規定などを組み合わせ、対策レベルを４段階に分類し、部門の成熟度に応じた管理基準体系監査基準体系を整備している。
　SMFの大きな特長は、求めるセキュリティ成熟度を４段階のベストプラクティスとして記述していることだ。塩崎氏は、「たとえば、医療機関や信販会社などは、顧客のセンシティブな情報を扱うため一般企業よりも高いセキュリティ基準を求められます。これを一律の基準のもとにフレームワークをつくってしまうと、極めて重厚なものとなってしまいます。そこでこのような方法を採用し、段階的なセキュリティマネジメントの強化を可能にしました」と説明している。
　このSMFと先に説明したESAの2つの視点から情報セキュリティガバナンスを実践することで、効率的かつ効果的な情報セキュリティを実践できる。なお富士通では、このESAとSMFに関する小冊子をホームページにて無償で配布している。

関連リンク：富士通のセキュリティマネジメントフレームワーク（SMF）

　金融商品取引法（J-SOX法）や新会社法などが求めるITガバナンスを実践するためには、内部統制の標準フレームワークであるCOSOフレームワークに基づいて、その具現化のためのITガバナンスの実践規範「COBIT」、ITサービス運用のベストプラクティス「ITIL」、ISMSがベースとなったセキュリティマネジメントの国際標準規格「ISO27000」を踏まえたセキュリティ統制を行うことが近道であり確実だ。
　富士通の考える情報セキュリティガバナンスは、これらをすべて踏まえており、ESAで認証、IDマネジメント、アクセスコントロール、証跡管理、集中管理など個別機能の技術的な指針を提示。SMFに則った運用管理を行うことにより、効果的で有効なセキュリティガバナンスを行うことができる。
　なお、ITガバナンスを行う上では、セキュリティだけでなくバックアップやインシデント対応などのBCM（事業継続管理）も不可欠な要素となるが、これについては第3回に説明する。

　富士通は、このESAとSMFの考え方に基づいた包括的なソリューション体系「SafetyRing」を用意している。セキュリティと事業継続の観点から多くのソリューションをまとめ、ITガバナンスの実現を具体的にサポートする。
　塩崎氏が「ESAはオープンな考え方に基づいて策定しており、それに則ったSafetyRingもオープンなソリューション体系です。ESAに適合していれば、他社の製品も含めた体系にしていきます」と語るとおり、「SafetyRing」は、企業のリスクコントロールを可能にするために体系づけられた、オープンな製品群である。企業は自社のセキュリティ対策レベルや課題にあわせて、必要なところから利用していくことが可能だ。

次回は、この「SafetyRing」の概要と、IT全般統制に関わる具体的なソリューションを紹介する。