リソースの可用性が失われるシナリオ、例えば新型インフルエンザのパンデミックや震災などですが、それらに対してはそれぞれ初動対応だけを定義します。
そのように考えると、セキュリティインシデントもシナリオのひとつとして、初動対応だけを定義すればよさそうに思えます。
しかし、実はそういうわけにはいきません。例えば、震災対応としてDR(Disaster Recovery)サイトを準備していたとします。確かに震災で主サイトがダウンしたときは、DRサイトに切り替えることで、ITインフラの継続性を確保できる可能性が高いでしょう。
ところが、セキュリティインシデントの場合は、十分な対策なくDRサイトに切り替えると、DRサイトまで攻撃の影響を受ける可能性があるのです。
すなわち、セキュリティインシデントに対しても事業継続計画が有効に機能するよう、ダメージコントロールの取り組みと整合するように事業継続管理を運用していく必要があるのです。
ーー世界の動向を見ていて、今後、日本の企業がセキュリティを実施する上で検討すべき点はありますか。
今回お話したような内容が日本でできていないのは、誰がリスクを所有しているのか、誰がリスクを管理するのか、どのようにリスクを管理するのかといった、リスク管理のフレームワークが定められておらず、機能していないからです。
これは、EYで実施している「Global Information Security Survey」(GISS)という情報セキュリティの調査結果を見てもよく分かります。
「会社でセキュリティに責任を持つ方は誰ですか」という質問に対して、グローバルでは最高セキュリティ責任者(CISO)という回答が多い。ところが、日本ではCIOという回答が多いのです。
また「情報セキュリティに責任を持たれている方はボードメンバー(取締役)ですか」という質問に対しては、グローバルではNoという回答の割合が高い。
CISOは、ボードの外からけん制するので、必然的にそうなっているのですね。ところが、日本ではCIOが責任を持っていますが、執行側なのでYesいう回答の割合が高くなっています。
日本では「けん制なんて」という文化があるとは思うのですが、そこはきっちり作る必要があります。
CIOとCISO、あるいはCEOと最高リスク責任者(CRO)のような、業務を執行する側とけん制する側というフレームワークを、世界の標準を見ながらしっかり定義していく必要があるでしょう。
そういうことを今後2、3年でやっていく必要があると考えています。
3 Lines of Defense Model
出典:”THE THREE LINES OF DEFENSE IN EFFECTIVE RISK MANAGEMENT AND CONTROL“ (2013/01)か らEYにおいて作成
(了)