自社や組織の情報セキュリティを適切に管理するためにルールや方針を決め、その方針に則り実行するプロセスを情報セキュリティガバナンスといいます。

情報管理の安全性確保やリスク軽減のために欠かせない仕組みであり、コーポレート・ガバナンスやITガバナンスとも密接な関係を持っています。

本記事では、情報セキュリティガバナンスの定義や目的、効果、そして確立するために必要なフレームワークについて解説します。

目次
情報セキュリティガバナンスとは
情報セキュリティガバナンスに関連する言葉
情報セキュリティガバナンスを確立するためのフレームワーク
情報セキュリティガバナンスの確立による効果
情報セキュリティ監査を行うなら資格取得を検討しよう

情報セキュリティガバナンスについて、ここでは下記3点について見ていきます。

• 定義
• 目的
• 対象

1つずつチェックし、理解を深めましょう。

経済産業省の「企業における情報セキュリティガバナンスのあり方に関する研究会報告書」では、情報セキュリティガバナンスは以下のように定義されています。

”社会的責任にも配慮したコーポレート・ガバナンスと、それを支えるメカニズムである内部統制の仕組みを、情報セキュリティの観点から企業内に構築・運用すること”

これは、情報セキュリティに関する内部統制の仕組みを社内に構築しそれを運用することを指します。つまり、情報セキュリティを適切に管理・保護するためのルールや方針を決め、枠組みやプロセスを確立し、維持するための取り組み全般が「情報セキュリティガバナンス」です。

参照：経済産業省「サイバーセキュリティ政策｜情報セキュリティガバナンスの概念」

情報セキュリティが不足していると、「PCへの不正アクセス」「情報漏えい」などのインシデントを防ぎきれません。結果として、顧客や取引先からの信頼を失ってしまいます。

情報セキュリティガバナンスの目的の1つは、顧客や取引先からの信頼を失わないことにあります。

また、企業に内部統制の仕組みを確立することも目的の1つです。企業内にセキュリティに関するルールや仕組みをつくることで、自律的かつ持続的な情報セキュリティ対策が実現できます。

情報セキュリティガバナンスは、情報資産全体のセキュリティが対象です。IT資産はもちろんのこと、企業が価値を認めるあらゆる情報資産を含みます。

非IT資産の例としては、従業員の履歴書、顧客・取引先と交わした契約書など、紙で保存している文書、特許や商標などの知的財産、建物・設備などの物理的資産に関する情報などがあります。

情報セキュリティガバナンスに関連する言葉として、次の2つがあります。

• コーポレート・ガバナンス
• ITガバナンス

それぞれについて詳しく見ていきましょう。

コーポレート・ガバナンスとは、企業運営全体の管理および監視体制に関するルールとそのプロセスを指します。責任を持って効率的に企業運営を行うために欠かせない仕組みです。

企業は、株主・顧客・従業員・取引先・地域社会等に対し、公平性や透明性を持って迅速に意思決定を行わなければなりません。この意思決定を可能にするための仕組みがコーポレート・ガバナンスです。

なお、金融商品取引法では、有価証券報告書への「コーポレート・ガバナンスの状況」の記載が義務づけられています。

ITガバナンスとは、自社のIT（情報技術）に投資し、効果を高めリスクを抑えるよう最適化するためのルールや仕組みづくりとそのプロセスのことです。

情報セキュリティガバナンスの対象には「IT」と「非IT」の双方を含むため、一部重複します。一方で、情報セキュリティ要素を含まないITについては、ITガバナンスのみで管理することとなります。

情報セキュリティ要素を含まないITには、ソフトウェアそのものやデータベース管理システム、開発ツールなどがあります。

関連記事：アビタスCISA「ITガバナンスとは？定義や必要な8つの構成要素を分かりやすく解説」

まずは無料の説明会にご参加ください。

情報セキュリティガバナンスを確立するためにはフレームワークが有効です。

経済産業省は「情報セキュリティガバナンス導入ガイダンス」の中で、「ISO/IEC 38500:2008（Corporate Governance of Information Technology）」を参照しています。フレームワークの構成は次の通りです

• 方向付け（Direct）
• モニタリング（Monitor）
• 評価（Evaluate）
• 監督（Oversee）
• 報告（Report）

各項目ごとに見ていきましょう。

参照：経済産業省「情報セキュリティガバナンス導入ガイダンス」

経営陣が情報セキュリティガバナンスに関する経営戦略やリスク管理の方向性を打ち出します。方向付けのためには、企業価値向上・適法性・適正性・社会的責任などを考慮しなければなりません。

方向付けには、情報セキュリティの定義、優先順位の設定、投資方針の決定、技術革新に対するアプローチの定義などが含まれます。

各担当者は経営陣が打ち出した方針を踏まえた上で、情報セキュリティ管理についての目的や目標を設定します。

経営陣および各担当者が打ち出した「方向付け」が適正であることを確認した後に実行します。

実行中、達成状況や適用状況を適時把握することがモニタリングの主な目的です。自らが提示したリスク管理方針の妥当性を評価します。

モニタリングによって、従業員の不正行為の有無や定めたルールや規則が機能していることを確認します。

なお、モニタリング結果を参考にして次の行動を取るためには、事前に定量的な評価指標の設定が必要です。

モニタリング結果を参考に評価を行います。情報セキュリティの効果が浸透度などを計測し、改善につなげます。

適切な評価を行うためには定量的な指標が必要です。インシデント件数や法令遵守の徹底度合い、セキュリティマネジメントの進捗状況など様々な測定を行います。

評価の主な目的は、「情報セキュリティに対する投資効果」や「目的や目標に対する達成度の把握」です。

企業内には膨大な数の測定可能指標があるため、どの指標を測定し何を可視化するのか、事前に目的や指標を決めておくことが大切です。

情報セキュリティガバナンスのプロセスが機能していることを確認するのが監督です。監督には内部監査と外部監査があります。

経営陣が行う「方向付け」「モニタリング」「評価」に対して第三者からの監査を受けることで、組織内の情報セキュリティ管理体制の効果や適切性を評価し、改善につなげる役割を持ちます。

また、監査部門による内部監査として、管理者層が行う「情報セキュリティ管理」についての監査を行います。

外部監査に加え内部監査を行うことで、リスク管理上の問題に素早く対処できる点がメリットです。

情報セキュリティガバナンスへの取り組みを社内外の利害関係者に知らせるためには「報告」が必要です。

報告の役割は2つあります。1つは、企業が社会的責任を果たしていることを社外に対して表明するためです。もう1つは、企業価値を高めるためです。

情報セキュリティ管理に取り組んでいない企業では、事件や事故の可能性が高まります。顧客や取引先からの信頼を向上させるためにも、社内外に自社の取り組みを知らせ、徹底したリスク管理を実施している安全性の高い企業であることを認識してもらうことが大切です。

情報セキュリティガバナンスを確立すると、次のような効果が得られます。

• 経営陣主導のリスク管理の実現
• 法令遵守の徹底
• ステークホルダーからの信頼性の向上

効果の詳細を解説していきます。

情報セキュリティに関して経営陣と従業員との間で、リスクや対策についての共通認識が乏しい企業も多く見られます。

現場でのリスクを経営陣が把握できていないと、セキュリティ事故につながりやすくなるため注意が必要です。

一度セキュリティ事故が起きると、企業の信頼を大きく損ねるケースも少なくありません。事故が起きる前に、経営陣がリスク管理について把握し対策を取ることは不可欠です。

情報セキュリティガバナンスは経営陣主体で行うため、経営陣主導のリスク管理が実現します。

企業として情報セキュリティに取り組むことは、法令遵守の徹底にもつながります。企業の中に明確なポリシーやルール、ガイドラインなどの策定が必要になるためです。

情報セキュリティを浸透させるために社員教育を行うことも多く見られます。教育によって、従業員にコンプライアンス遵守の考え方を浸透させることが可能です。

また、継続的にモニタリングや評価を行うことで、従業員はコンプライアンス違反をしづらくなります。万が一違反者が出た場合も、即座に把握・対応できるのもメリットです。

情報セキュリティガバナンスを確立すると、情報を安全に取り扱う企業として認識されます。その結果、顧客や取引先、株主といったステークホルダーからの信頼性も向上するでしょう。セキュリティリスクの低減が見込めるため、関係者は安心して取引を続けられるでしょう。

加えて、データ保護への取り組みが伝わることで、顧客や取引先は、企業に対して安心して個人情報や自社の情報を預けられるようになります。

情報セキュリティガバナンスに持続的に取り組むためには、組織全体にわたるリスク管理やセキュリティポリシーの構築・実施などが必要です。これらには、高度な専門知識が求められます。

企業が直面する複雑なセキュリティ課題への対処には、専門家の指導や実践的なスキル習得が不可欠です。

このような問題を解決するには、CISA®（公認情報システム監査人）の資格取得がおすすめです。

CISA®資格を取得すると、情報セキュリティガバナンスにおける高度な専門知識を習得し、組織の情報セキュリティを強化するスキルを身につけていることの証明になります。

CISA®の取得を目指すなら、2007年4月の開講以来、圧倒的な合格者を輩出し続けているアビタスのプログラムの利用を検討してみましょう。

アビタスでは、重要ポイントに絞った論点中心のオリジナルテキストを使用しています。テキスト・問題集・講義がそれぞれリンクしており、最短5カ月、250時間で合格を狙うことが可能です。

学習項目を細分化したスモールユニット方式を採用しており、隙間時間に無駄なく学習を進められます。

アビタスでは、無料の説明会と体験講義を実施していますので、ぜひお気軽にご参加ください。

CISAについてもっと知りたい方はこちら