セキュリティにおけるグローバルガバナンス

ITセキュリティガバナンスの導入に向けた準備

井上洋一 (タニウム)

2022-05-10 06:00

 本連載では、「情報セキュリティガバナンス」や「ITガバナンス」の中でもセキュリティ対策に関わる部分を全社的・グローバルに、かつスピーディーに企業へ展開できるガバナンスモデルについて解説する。

 前回の記事では、ITセキュリティガバナンスの定義について説明した。今回は、実際にITセキュリティガバナンスを導入する上での準備に向けて、「ポリシーの定義」と「ガバナンス・管理方式」を説明する。

ITセキュリティポリシーの定義

ポリシー適用の企業としての範囲

 最初に決めなければいけないのは、「企業や組織としてITセキュリティで守らなければいけない企業の範囲」を明確化にすることである。グループ会社や子会社、海外拠点などがある場合にはこの範囲を必ず明確にしなければならない。

 このポリシーの適用範囲の定義は、以下のような範囲を参照して決める場合もある。

  • 企業や組織におけるコーポレートガバナンスの適用範囲
  • 企業や組織のCIO/CISO(最高情報/情報セキュリティ責任者)の監督者の説明責任の範囲
  • 企業や組織の関連企業(サプライチェーン)を含めたビジネス影響範囲
  •  ただし、この定義は企業や組織内での組織および体制が複雑で最初に決められないケースも存在する。その場合には、どの範囲まで「ITセキュリティガバナンスの適用を検討するか」を決めた上でポリシー定義を進めていき、ポリシーの検討の中で範囲を明確にしていくステップを踏んだ方が良いだろう。


    ポリシーのカバーする運用フェーズの決定

     次に決めなければいけないポイントは、「運用フェーズ」のどこをカバーするかを明確にしておく点になる。下は、米国標準技術研究所(NIST)のサイバーセキュリティフレームワーク(CSF)を抜粋、簡略化した図である。


     「セキュリティで守る」と言っても、幾つもの工程やフェーズが存在するため、ハイジーン(衛生)領域(特定・防御・検知)とレジリエンス(復元)領域(検知・対応・復旧)のカテゴリーの中で、どの領域のポリシーを定義するのかを明確化する必要がある。

     特定カテゴリーの運用項目の中で、既に一部ポリシーが決まっている場合は、既存のポリシーを更改して、部分的に流用する方法もある。

    ポリシー適用の対象の決定

     次に、ポリシーを決める上で定めなければいけないのは「何を守るのか?」だ。このポリシーの適用対象を明確に決めておかなければ、この後に決めていくポリシーの内容や方法を決めることができない。

     ここで重要なのは、ITセキュリティポリシーの適用範囲を「IT機器全て」と定義してしまうのを避けなければいけないことだ。なぜなら、「IT機器全て」という定義は、人によって解釈が異なることがあるためである。PCやサーバー、ネットワーク機器などはIT機器として判断されると思うが、複合機やプリンターといった事務機器はIT機器に含まれないケースも多々存在する。また、モニターなどについても、IT機器ではあるが、ITセキュリティ対策が施せない機器についても除外する場合もある。

    適用対象のサンプル
    適用対象のサンプル

     なお、今回のITセキュリティポリシーの定義では、最初のステップであるインフラの物理的な機器やソフトウェアなどを対象としたポリシーの定義を前提として進めていく。データやIDに関するITセキュリティポリシーについては別の機会で触れてみたいと思う。

    ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

    ホワイトペーパー

    新着

    ランキング

    1. ビジネスアプリケーション

      改めて知っておきたい、生成AI活用が期待される業務と3つのリスク

    2. ビジネスアプリケーション

      ITR調査結果から導くDX浸透・定着化-“9割の国内企業がDX推進中も成果が出ているのはごく一部”

    3. クラウドコンピューティング

      生成 AI リスクにも対応、調査から考察する Web ブラウザを主体としたゼロトラストセキュリティ

    4. ビジネスアプリケーション

      Google が推奨する生成 AI のスタートアップガイド、 AI を活用して市場投入への時間を短縮

    5. セキュリティ

      初心者にも優しく解説!ゼロトラストネットワークアクセスのメリットと効果的な導入法

    ZDNET Japan クイックポール

    所属する組織のデータ活用状況はどの段階にありますか?

    NEWSLETTERS

    エンタープライズコンピューティングの最前線を配信

    ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
    ITビジネス全般については、CNET Japanをご覧ください。

    このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
    Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
    [ 閉じる ]