フリーワード検索


タグ検索

  • 注目キーワード
    業種
    目的・課題
    専門家
    国・地域

NRI トップ ナレッジ・インサイト コラム コラム一覧 第1回 セキュリティガバナンスの導入

第1回 セキュリティガバナンスの導入

―入門編―

2024/08/30

  • Facebook
  • Twitter
  • LinkedIn

現代のビジネス環境において、セキュリティガバナンスは企業の適応力と競争力を高めるために不可欠な要素です。この連載では、セキュリティガバナンスの基礎から実践、そして応用までを3回にわたって解説します。第1回目の入門編では基本的な概念と重要性、最初のステップについて詳しく紹介します。セキュリティガバナンスを理解し、企業の持続的成長と競争力強化に役立てましょう。

執筆者プロフィール

関西ITコンサルティング部 松田 真:
2002年、SIerに入社し業務アプリケーションシステム開発や品質管理に従事。その後、監査法人系列コンサルティングファームでリスクマネジメントコンサルティング業務を経験後、2009年に野村総合研究所に入社。関西圏の企業・団体向けに、IT組織の構造改革・伴走支援を中心としたシステムコンサルティング業務を行っている。中小企業診断士、公認システム監査人(CISA)。専門は、ITガバナンス・デジタルガバナンス整備、COBIT5/2019、データマネジメント、情報セキュリティ、システム監査。

企業経営におけるガバナンスの位置づけ

企業経営において「ガバナンス」は非常に重要です。適切なガバナンスは、経営の透明性とリスクマネジメントを向上させ、意思決定の効率化とステークホルダーとの関係構築を促進することで、企業の持続的成長と価値創造を支える重要な基盤となります。ガバナンスには、コーポレートガバナンス、ITガバナンス、デジタルガバナンス、セキュリティガバナンスなどの種類があります。

IT分野の国際基準であるCOBITでは、ITガバナンスはコーポレートガバナンスの一部とされ、取締役の役割と位置づけられています。しかし、日本企業では取締役と執行役員の兼務が多く、ITの専門家も少ないため、COBITの定義通りに適用するのは難しいと言えます。また兼務していることで、「ガバナンス」と「マネジメント」の役割が混同されやすい状況にあります。

そこで、本コラムでは「ガバナンス」と「マネジメント」を次のように明確に区別して解説していきます。

<本コラムにおける定義>

ガバナンス:
当事者以外による間接的な方向付け、モニタリング、マネジメントの強化支援
マネジメント:
当事者による直接的な管理監督

この定義により、CIOがグループ会社やビジネス部門に対して行う方向づけなどは「ガバナンス」、自身が管掌するIT部門の管理は「マネジメント」となります。

入門編としてのセキュリティガバナンス

海外のグループ会社を含めてグループ全体にガバナンスを導入し、効率的に運用できている会社はそれほど多くないと考えられます。そのようなガバナンス体制の整備が十分でない企業には、「入門編」としてセキュリティガバナンスをグループ全体のガバナンスへと拡大することから始めることをお薦めします。

お薦めする理由は3つあります。

1. セキュリティは、ガバナンス導入に対する抵抗が比較的少ないと考えられる

近年のサイバー犯罪の増加に伴い、セキュリティ対策が「当たり前」になりつつあり、ガバナンス導入に対して現場からの表立った反論が生じにくい状況です。他方で、ITガバナンスの中でもコストガバナンスなど、利害関係が相反しやすい分野や、全員にとって必須ではない分野にガバナンスを導入しようとすると、反対派が出現し、彼らを説得する必要が出てきます。そのため、まずは誰もが反対しにくいセキュリティからガバナンスを導入することをお薦めしています。

2. 整備すべき事項が多岐にわたり、直接的な管理監督だけでは限界がある

グループ各社に任せると対応のばらつきが大きくなり、セキュリティレベルをグループ大で高めることが困難になります。グループ全体での取り組みが不可欠であり、そのためには間接管理である「ガバナンス」の考え方が必要です。

3. セキュリティには関係者が多い

ある程度多くの部署を巻き込むことで、他のガバナンスの導入が容易になります。

本稿では、セキュリティガバナンスをグループ全体での導入するための進め方について、8つのステップに分けて解説します。

セキュリティガバナンスの目指す姿

セキュリティガバナンスの最終的な目指す姿は、ガバナンスサイクルとマネジメントサイクルがグループ全体で有機的に機能することです。これら2つのサイクルがそれぞれのPDCAサイクルとして定義され、組織は環境の変化に適応しながら、相互に関連し合い、継続的な改善を実現することを目標とします。

2つのPDCAサイクルを間断なく回すことで、以下のような組織能力を得ることができます。

1. 最新動向や現地の状況を踏まえた、グループルールの最新化

基準となるグループルールを常に最新化し、それらをタイムリーに現地に周知・教育できるようになります。

2. 自律的な計画策定と実行

周知されたグループルールに基づき、現地で自律的に計画が策定・修正され、実行に移されるとともに、改善も自律的に行われるようになります。

3. リスクアセスメント結果・改善計画の一元管理

現地のリスクアセスメント結果や改善計画を一元管理でき、弱点や対策の進行状況をグループ全体で把握できるようになります。

図表1:セキュリティガバナンスの目指す姿

セキュリティガバナンス導入の最初の3つのステップ

ここからは、グローバル製造業のグループCIOを兼務している本社のCIOが上述したガバナンスを導入するというストーリーを通して、最初に行うべき3つのステップ(スコープ、手段、体制)について解説します。

ステップ1:スコープの決定

ガバナンス構築の手順として、まずスコープを決定する必要があります。スコープは「目的」「対象」「組織」の範囲に分解できます。

セキュリティの場合、「目的」と「対象」をクロスマトリクスで検討すると分かりやすいでしょう。例えば、「目的」を「安全性の確保」「機密性の確保」「可用性の確保」「完全性の確保」「プライバシー保護」とし、「対象」を守るべき「情報資産」として、それらを掛け合わせてマトリクスを作成することで、セキュリティガバナンスを導入するスコープを整理できます。以下に、整理用マトリクスの例を提示します。「情報セキュリティ」、「サイバーセキュリティ」、「プライバシー管理」などのスコープ候補を明示した上で、どこまでをCIOのセキュリティガバナンスのスコープとするかを検討していきます。

図表2:セキュリティガバナンスのスコープ整理マトリクス例

スコープ整理の際に、しばしば判断が分かれるポイントは以下の点です。

  • 「目的」
    プライバシーを含めるか: 個人情報保護をセキュリティガバナンスに含めるのか、それともプライバシーガバナンスとして別の分野・別の執行役員の範囲として取り扱いスコープ外とするのか、という点で判断が分かれます。
  • 「対象」
    物体や紙文書を含めるか: 試作品などの物体や紙文書をセキュリティガバナンスに含めるのか、それとも秘密情報管理や文書管理、資産管理のガバナンスで扱うのか、という点で判断が分かれます。
    工場や製品を含めるか: 工場や製品のセキュリティ分野を切り出して今回のセキュリティガバナンスの中で対応するのか、ものづくりや製品品質のガバナンスの中で取り扱うのか、という点で判断が分かれます。

今回の設定では、グループCIOを兼務している本社のCIOである自分が、どこまでの責任を業務分掌上負っているのか、あるいは負おうとするのか、その範囲を踏まえて、セキュリティガバナンスの範囲を決めていくことになります。

「目的」と「対象」が決まりましたら、次に「組織」の範囲を決めます。ここで重要なのは、どこまでがグループCIO兼本社CIOの「マネジメント」の範囲で、どこからが「ガバナンス」の範囲なのかという点です。

「ガバナンス」と「マネジメント」は、同じ管理対象であっても、誰を起点に考えるか、つまり主語によって変わります。例えば、グループ会社A社の基幹システムのセキュリティを考えた場合、グループCIOから見ると間接管理となるため「ガバナンス」の対象となりますが、A社の基幹システム責任者から見ると直接管理するため「マネジメント」の対象となります。このように、同じ管理対象でも主語によって区別が変わることを理解しておく必要があります。

今回は、グループ・グローバルのセキュリティガバナンスを、グループCIOを兼務する本社CIOが導入する前提としますので、主語はグループCIO兼本社CIOです。そして、本社CIO直下の資産は、「マネジメント」対象となり、「ガバナンス」の対象からは外れます。あえて間接管理である「ガバナンス」の方法を考える必要がないためです。それ以外、本社CIO直下以外の資産(ビジネス部門の資産等)や、グループ会社は「ガバナンス」の対象となります。(図表3-1)

また、もしグループ全体でシェアードサービスとしてネットワークやサーバ群を共有しており、それをグループCIOが直接管理する場合は、グループネットワーク・サーバ群は「マネジメント」対象となります。集合調達でパソコンなどIT機器を一括で調達しキッティングしている場合や、ログを統合管理している場合も、同様にその部分は「マネジメント」範囲となり「ガバナンス」対象から外れます。(図表3-2)

なお、グループCIO兼本社CIOではなく、配下に直接管理する資産のない立場の方(本社CIOを兼ねていないグループCIO、あるいはグループCISO等)がセキュリティガバナンスを導入する場合は、「マネジメント」の対象はほとんどなく、ほぼすべての資産に対するセキュリティを「ガバナンス」の対象範囲として見ていくことになります。(図表3-3)

図表3-1:グループCIO兼本社CIOの
よくあるマネジメント/ガバナンス範囲

図表3-2:図表3-1から
マネジメント範囲を広げた例

図表3-3:本社CIOを兼務しないグループCIO
あるいはCISOの場合の例

グループCIOの「ガバナンス」と「マネジメント」のスコープは、リスクと労力のトレードオフの関係となります。ガバナンスのスコープが狭く、マネジメントのスコープが広いほど、グループCIOの労力が大きくなりますが、直接管理の範囲が増えるため、リスクは低くなります。一方、ガバナンスのスコープが広く、マネジメントのスコープが狭いほど、労力は最小限にできますが、間接管理の範囲が増え、リスクが高まります。

よって、グループCIO配下のリソースとリスクのバランスを考慮して、グループCIOのガバナンススコープ、特にシェアードサービス等でどこまでの範囲をマネジメント範囲とするかを決める必要があります。このように、マネジメントとして直接管理監督ができる範囲と、ガバナンスとして間接的な働きかけしかできない範囲を明確にすることで、自身がグループCIOとしてできること/できないことを対外的に明確にでき、その範囲での資源配分に注力できるようになります。

ステップ2:ガバナンス手段のデザイン

スコープが決まったら、どのような手段でガバナンスを実現するのかを決定します。冒頭で示した定義に従うと、ガバナンスは間接的な方向付け、モニタリング、マネジメントの強化支援となるため、それぞれを実現するための手段を設計することが求められます。

代表的な手段としては、グループポリシー(方針)の共有、要求事項の提示、実施要領の具体化と適用、遠隔サポート体制の構築、支援要員の常駐などが挙げられます。これらの手段は、それぞれ異なる効果を持つため、ひとつの手段に依存せず、いくつかの手段の組み合わせを考えることになります。

図表4:ガバナンス手段の例とその効果

ガバナンス手段の組み合わせについては、新会社設立やM&A等で組織が増える都度、どうするのかを考えるのではなく、あらかじめ基本パターンを決めて備えておくことをお薦めしています。あらかじめ決めておかないと、何を準備するのか、どのような体制が必要なのかを決めることができず、整備計画を立てられなくなってしまうからです。

ガバナンス手段の組み合わせに関しては、たとえば「要求事項の提示」と「遠隔サポート体制構築」の組み合わせを基本パターンとして決定し、一律に各組織に適用する方法が、最もシンブルで運用負荷も低くなります。しかし、展開時に実施する各対象組織のリスクアセスメントの結果を踏まえ、適用する手段に複数のパターンを用意する方が良いケースもあります。

グループ内に、成熟度が高い組織と低い組織が混在している場合、複数パターンを用意することが有効です。成熟度の高いグループ会社では、方針の共有と監査のみで十分な場合もありますが、自立性の低いグループ会社では、手順のひな形を提供し、きめ細やかなモニタリングが必要になります。相手に合わせてガバナンス手段を変える場合、事前に想定するパターンが増えるため、導入準備や運営の負荷が増える可能性があります。ここでもトレードオフが存在するため、多くのパターンを用意すればよいというものではありません。

ステップ3:ガバナンス体制の決定

ガバナンス手段を決めた後は、それを実現するために必要な体制と会議体を定義します。具体的には、以下の役割・組織を決定することになります。

  • 全体責任者(ガバナンスの実行者、今回の場合はグループCIO)
  • 推進組織(推進事務局)
  • 個々のマネジメント体制(各マネジメント責任者に委ねられる)
  • ガバナンス対象のマネジメントの責任者・担当者(推進組織との接点となるメンバー)
  • 会議体
  • 監査体制

全体責任者は、推進組織を介して、ガバナンス手段となる方針や要求事項・手順を各マネジメントの責任者・担当者に伝えます。また、モニタリングや支援も推進組織を仲介して各現場に提供されます。そのため、全体責任者や推進組織との接点となるマネジメント責任者・担当者を明確にし、彼らとどのように接するのか(会議体)を具体化する必要があります。これらの仕組み全体が有効に機能しているのかをチェックする監査体制も欠かせない構成要素です。

今回は、ガバナンス導入の「入門編」として、基本的な概念と重要性、セキュリティガバナンスの導入における、スコープ、手段、体制について解説しました。次回は、実際に導入するステップについてお話しします。

次のページ:第2回 セキュリティガバナンスの導入 ―実践編―

本ブログの内容はいかがでしたでしょうか?
アンケートへのご協力をお願いします。

執筆者情報

  • Facebook
  • Twitter
  • LinkedIn

NRI Digital Consulting Edgeの更新情報はFacebook・Twitterでもお知らせしています。