経産省の「サイバーセキュリティ経営ガイドライン」を読み解く - (page 4)

企業における本ガイドラインの活用

　本ガイドラインでは、情報セキュリティ担当者から経営者への“お願い事項”がたくさん提示されており、その意図は理解できる一方、経営者は具体的に何をして良いのかわからないという問題もあります。IT活用についても十分に指示を出せていない状況で、サイバーセキュリティについてリーダーシップを取るというのは、経営者にとって負担でしかありません。

　筆者がこれまで多くのガイドライン策定に携わってきた経験から反省点なども含み感じていることですが、ガイドラインのあるべき姿として、読者の迷いが払拭されるものであるということです。旅行のガイドブックなどのように、初めての体験を演出できるような内容である必要があります。

　本ガイドラインでは、情報セキュリティ担当者が経営者に話を聞いてもらうきっかけとして使うことができるのではないかと思います。しかし、その内容はあまりにも“お願いごと”ばかりで、経営者のメリットが感じられません。

　また、経営リスクへの対応と書いてある一方で、内容は経営リソースの確保だけで、リターンについて明言されていません。これは情報セキュリティは経営リスクということで、経営ガバナンスの中に組み入れようとしているのにもかかわらず、情報セキュリティの独りよがりな内容になっているためだと思います。

　本ガイドラインに記載された3原則は原則と言うには場当たり的な内容だとは思いますが、短期間（1～2年程度）での情報セキュリティに関する目標としては良いものです。これを目標として、まずは経営者と情報セキュリティ担当者とのコミュニケーションをとることから初めてはいかがでしょうか。

　本ガイドラインの「サイバーセキュリティ経営ガイドライン・概要」と「1.はじめに（1～3ページ）」を資料にして、現在の取り組みについて話し合い、短期間の情報セキュリティの目標について取り決めができればよいのではないかと考えます。

セキュリティ経営実現のために情報セキュリティ担当者ができること

　本ガイドラインでは触れられていませんが、企業経営において求められているのはガバナンスです。これは経営者による組織の把握ですが、「企業統治」などと訳されてしまったことから、コンプライアンスと混同されている事があります。セキュリティ経営を進めるためには、まずガバナンスとコンプライアンスを明確にすことが重要です。

　ガイドラインの中でガバナンスに関連するものとしては、体制づくりと資産の把握がありますが、現在求められているのはセキュリティの維持ができていることの把握です。自らが設定したセキュリティ機能が維持されていることを常に把握しておくことが重要です。そのためには、セキュリティ機能の評価を行い、その評価の結果を定期的に、1年という長いスパンではなく、もっと短期的に、できればリアルタイムに実施できるような環境を構築することです。

　クラウドサービスを利用している人たちの間では、権限によるアクセス管理ということで、Amazon Web Services（AWS）のユーザーはIAM（Identity and Access Management) 、Microsoft Azureのユーザーはロール ベース アクセス制御 (RBAC) というキーワードで情報やネットワーク、そして物理資産へのアクセスについての基本的な考え方の理解が始まっています。

　情報セキュリティを専門的に学習した人たちは「強制アクセス制御」という形で、すべてのアクセスに対して仲介的なシステムがあり、そこですべての記録を取得するということが求められていることについても知っています。その結果として、リアルタイムモニタリングが実装できることも理解しているのです。

　セキュリティ経営に求められているのは、経営者が適切に判断するための情報であり、その情報を収集する基盤づくりです。この基盤はセキュリティのためだけに作るのではなく、ITパフォーマンス評価や、人事考課など、さまざまな判断に使える情報を収集する基盤として構築され、それによってセキュリティリスクを経営リスクと捉えることができるような環境となるべきなのです。

　本ガイドラインでは、その情報が集まっており、それを経営者が受け取っている前提で書かれているように感じます。情報セキュリティ担当者は、IT部門と連携して、まずは情報収集ができる基盤づくりから始めましょう。CSIRTがうまく運営できていないという企業も同様です。誰もが同様に判断できるデータ作りから、セキュリティ経営が始まるのだということを認識し、基盤づくりの計画を経営者と話し合ってみましょう。