組織におけるセキュリティ対策への関心は急速に高まっている。セキュリティコンサルタントである筆者の元には、相談や依頼が次々と舞い込んでいる。そうした方々と話をしていて、セキュリティの考え方が誤解されていると感じる機会も増えている。
色々な人と会話をする機会があり、勉強熱心な人ですらよく勘違いしている事項があると分かってきた。そのトップ3が(1)情報セキュリティとサイバーセキュリティの違い、(2)セキュリティとセーフティの違い、(3)セキュリティガバナンスとは何かの理解、だ。会話ですれ違いやギャップが生じ、提案活動やプロジェクト支援が進む過程で障壁となるケースもある。
今回取り上げる「セキュリティガバナンス」では、次のような誤解がよくある。
経営者A氏「色々なガイドラインを読んで、セキュリティガバナンスの強化が大事だと理解した。だから最近、ID管理ツールを導入した。ワークフローでIDを登録するから不正なID登録ができないし、退職者IDを自動削除するから不正利用のリスクも減る。これで対外的な説明責任も一安心だろう」
経営者A氏の発言には2つの誤解が含まれている。1つはガバナンスとマネジメントの混同。もう1つは説明責任の要件を満たしていないことだ。ここからは、セキュリティガバナンスとは何かを説明し、どうすれば誤解を修正できるかを説明する。
ガバナンスは「説明責任を果たすための仕組み」
セキュリティガバナンスは別に新しい言葉ではない。ガバナンスという言葉は、以前から「コーポレートガバナンス」として存在していた。これは、株主や銀行、債権者、取締役、従業員といった様々なステークホルダー(利害関係者)が企業活動を監視する仕組みだ。不正行為の防止、競争力・収益力の向上で長期的な企業価値の増大をもたらす。
セキュリティガバナンスも本質はコーポレートガバナンスとほぼ同じ。端的には、ステークホルダーへの説明責任を果たすための仕組みだ。経営層を巻き込んだ全社的な管理態勢も求められる。取り組みの例としては、セキュリティ管掌役員(CISO)の設置、全社横断的なセキュリティ委員会の運営、グループ共通のポリシー策定、セキュリティリスクの評価・改善活動などが挙げられる。
前述の経営者A氏は、ID管理ツールの導入でガバナンスが強化されたと言っている。これはガバナンスとマネジメントの混同という典型的な誤解だ。
ガバナンスの本質的な目的は説明責任を果たすこと。説明責任を果たすには(1)自社組織のどこにどのようなリスクが存在するか、(2)それに対してどのような対応を行ったか、(3)対応の結果としてリスクはどのような状態になったか、という3つの論点をすべて説明できないとならない。
ID管理ツールの導入で(1)と(2)は説明できる。ID登録のワークフロー化や自動削除機能により、不正ID登録や退職者IDの不正利用といったリスクを可視化して低減できるからだ。だが、(3)はID管理ツールの導入だけでは説明できない。導入後のモニタリング活動をどのように行っているかが重要となる。
つまり、ID管理ツールを導入するだけでは説明責任を果たせないのだ。ID管理ツールの導入で達成できるのは「業務遂行責任」という、企業が果たすべき別種の責任だ。上記の観点で見ると(1)と(2)を満たしていれば業務遂行責任を果たしているといえる。説明責任は(1)~(3)のすべて、特に(3)の状態をモニタリングできていないとならない。