情報セキュリティガバナンスとは？

まずは情報セキュリティガバナンスについて基本的な部分を解説します。情報セキュリティガバナンスの定義や、意外と混同しがちな「セキュリティ」と「ガバナンス」の違いなど、IT初心者の方は基礎知識固めにお役立てください。

情報セキュリティガバナンスの定義

情報セキュリティガバナンスの定義について厳格なものはありませんが、一例として経済産業省では「社会的責任にも配慮したコーポレート・ガバナンスと、それを支えるメカニズムである内部統制の仕組みを、情報セキュリティの観点から企業内に構築・運用すること」としています。

つまり、情報セキュリティを適切に運用していくためのルール決めや、そのルールをもとに構築したプロセスの維持などが「情報セキュリティガバナンス」といえます。

（参考）経済産業省「サイバーセキュリティ政策|情報セキュリティガバナンスの概念」

セキュリティとガバナンスの違い

情報セキュリティガバナンスを考えていくために、混同しがちな「セキュリティ」と「ガバナンス」を両者の違いに着目しつつ軽く整理します。まず、大枠の考え方として、セキュリティは「システム・ネットワークなどを不正アクセスといった悪意ある攻撃から守ること」で、ガバナンスは「組織の目的や目標に沿った形で適切に意思決定を行うこと」という目的の違いがあります。

目的の異なるセキュリティとガバナンスを組み合わせた概念である「情報セキュリティガバナンス」は、企業全体のセキュリティ環境を向上させつつ、法令遵守や顧客・取引先からの信頼維持にも繋がる重要な仕組みなのです。

ガバナンスの種類

つづいて、「ガバナンス」の種類についていくつか紹介します。ガバナンスの一種とも考えられる情報セキュリティガバナンスに関して、もっと深く理解するためにも密接な関係にあるいくつかのガバナンスの概要を理解しておきましょう。

ITガバナンス

ITが適切に運用されるための経営管理体制で、IT資源を効率的に使いつつIT戦略を効果的に実行するために必要です。情報セキュリティガバナンスが“セキュリティ環境”にフォーカスする一方で、“IT資源”に着目して経営戦略に活用するのがITガバナンスといえます。どちらも企業が成長する過程で必要不可欠な存在です。

コーポレートガバナンス

「企業統治」ともいわれるガバナンスを指し、経営状態を健全化し独善的な経営方針を防ぐ際などに用いられます。例えば、取締役人事に社外取締役を設置して、自社の健全さを保持しつつ利益の最大化を目指すことなどが挙げられます。情報セキュリティガバナンスが現場レベルでも施策を打ち出していくのに対して、コーポレートガバナンスは主に経営層（経営方針）自体の適正化が主な目的です。

グローバルガバナンス

「グローバルガバナンス」とは企業が国際的な舞台で成長を遂げるために、グループ全体を俯瞰して管理する枠組みです。内部統制の強化にとどまらず、異なる国や地域の法規制、文化的背景、市場動向を考慮しながら、企業全体の目標達成を支援することが重要です。

現地法人含む企業グループ全体でガバナンスを統一することで、情報共有の円滑化や迅速な意思決定、対外的な信頼向上、長期的なビジネスの安定性の確保につながるでしょう。

情報セキュリティガバナンスの重要性

情報セキュリティガバナンスが企業成長のためになぜ重要なのかを、リスクマネジメント、法令や規制への対応、信頼維持の観点から少し細かく説明します。

リスクマネジメントの一環として

情報セキュリティガバナンスは、サイバー攻撃や情報漏洩のリスクが増える現在において、企業のリスクマネジメントの一環として強化の必要のあるリスク管理です。

具体的には、国内拠点だけではなく海外拠点でもセキュリティ対策を見直し、「侵入を防ぐ」「拡大を防ぐ」「外部流出を防ぐ」「証跡が追える」の4つのポイントに注意することで、サプライチェーン攻撃のリスクを軽減することができます。

法令や規制への対応として

情報セキュリティガバナンスは、法令や規制への対応としても重要です。特に、ASEAN地域や欧米では次々に個人情報保護法が成立・施行されており、法令違反が発生した場合、現地の法令で裁かれる可能性があります。

海外拠点が現地の個人情報保護法に違反した場合、企業は罰金や業務停止、事業ライセンスのはく奪などの制裁を課せられる可能性があり、事業継続にリスクが及ぶかもしれません。

顧客や取引先からの信頼維持として

情報セキュリティガバナンスは、顧客や取引先からの信頼を維持するためにも重要です。企業が適切な情報セキュリティ対策を実施し、リスク対策を適切に管理することは、顧客や取引先の信頼を得る事につながります。

強固な情報セキュリティガバナンス体制を確立することは、現在の情報を守る盾となるだけではなく、今後新規顧客を獲得する上でも重要な武器となってくるでしょう。

情報セキュリティガバナンスの具体的な実践方法

情報セキュリティガバナンスを実践するためには、いくつかのステップを踏んでいくことが大切です。ここからはセキュリティポリシー・フレームワーク・セキュリティ統制に着目して、どのように実践していくべきなのか解説します。

セキュリティガバナンスポリシーの策定・適用範囲

まずは「セキュリティガバナンスポリシー」を策定していきましょう。ポリシーは今後のセキュリティガバナンスを実施していくための大枠の方向性を定めたもので、ポリシー策定の責任者であるCISO（Chief Information Security Officer）を中心にして策定します。ポリシーには下記のような要素を含めるのが大切です。

上記のような要素をポリシーに明記して、自社の情報セキュリティガバナンスの基本方針を固めていきましょう。

情報セキュリティガバナンスのフレームワーク

ポリシーに続いてフレームワークの策定に入りましょう。フレームワークは「ポリシーをアクション・プロセスに落とし込み、組織全体で効果的に運用できる」ことを念頭に置きます。抽象度の高いポリシーに比べて、やや具体的な内容に踏み込んでいることが特徴であり、情報セキュリティガバナンスを実施していくために必要不可欠な工程です。

以上のような要素をフレームワークに落とし込んでいきましょう。

情報セキュリティガバナンスのセキュリティ統制の確立

情報セキュリティガバナンスの実現にむけてポリシーとフレームワークを策定したら、セキュリティ統制を確立するためにより具体的な施策を実施していきましょう。フレームワークの構成要素を実現するための、具体的な施策・仕組みを作り込むイメージです。

アクセス制御の実施

アクセス制御は、情報システムやデータへのアクセスを適切な権限に基づいて管理することです。これにより、各従業員が必要な情報にアクセスできる一方で、不必要な管轄外の情報へのアクセスを制限し、情報漏洩や不正アクセスのリスクを軽減できます。 具体的な施策としては、役職や部署に応じたアクセス権限の設定や、不正アクセスを検出するためのアラートシステムの導入などが挙げられます。

ファイアウォールなどセキュリティの防御手段の設置と運用

不正アクセスを遮断するためのセキュリティ手段を設置することも重要です。例えばフレームワークの内容に基づいて、ファイアウォールなどのツールのルールを設計し、適切に設置します。

意外と落とし穴なのが、ファイアウォールなどを設置しただけでその後の運用・保守ができず、不正アクセスなどの脅威によってリスクを被ることです。特にグローバル企業など大きな組織は情報セキュリティガバナンスが行き届いていないため、ファイアウォールの継続的な運用は大きな課題となっています。マネージド型のファイアウォールサービスなどを活用し、セキュリティツールの運用・保守及び自社のセキュリティ環境をアップデートしていくことがおすすめです。

パスワードポリシーの策定

パスワードポリシーは、パスワードの取り扱いや管理に関するルールを定めたもので、情報セキュリティの基本的な要素です。強固なパスワードポリシーを策定し、従業員に周知徹底させることで、不正アクセスや情報漏洩のリスクを軽減できます。 パスワードの長さや複雑性、更新頻度、再利用禁止などの基準を設定しましょう。

また、パスワード管理ツールの導入も考えられ、SSO（シングル・サイン・オン）などによって効率的な管理が可能になります。下記記事などを参照しながら自社にどのようなツールが必要なのか確認してみてください。

（参考）ゼロトラストとMFA（多要素認証）・SSO（シングル・サインオン）の関係

システムログの監視と分析

システムログの監視と分析は、情報システムの運用状況やセキュリティ上の問題を把握し、対策を講じるための重要な手段です。システムログには、アクセス履歴やエラーメッセージ、セキュリティイベントなどの情報が記録されており、ログを分析することで、不正アクセスやシステム障害の兆候を早期に検出し、適切な対応が可能となります。 定期的なログの監視により、異常なアクセスや操作を検出した際に速やかな対策を実施でき、問題や脅威の拡大を防ぐことができます。

社員教育の実施

情報セキュリティガバナンスを実践するためには、社員教育の実施も重要です。いくら強固なセキュリティガバナンス体制を構築しても、社員が情報セキュリティに関する知識や意識をもっていなければ、組織全体のセキュリティ対策が脆弱なものとなってしまいます。

そこで、定期的に情報セキュリティ研修を実施し、社員にセキュリティポリシーの遵守やリスク管理、安全な情報取り扱いの方法を理解させることが必要です。社員教育を通じて、情報セキュリティガバナンスの実践を支える人材を育成し、情報セキュリティ体制の強化を行いましょう。

監査の実施

情報セキュリティガバナンスを実践する上で、定期的な監査の実施も必要です。監査は、組織の情報セキュリティ対策が適切に機能しているかどうかを評価し、問題点や改善点を明らかにするための手段です。

内部監査や外部の専門家による監査を実施し、情報セキュリティポリシーやセキュリティ統制の適用状況、社員の意識や行動などを評価することが考えられます。情報セキュリティ上のリスクは日々新しい脅威との戦いでもあるため、監査の結果をもとに、情報セキュリティガバナンスの取り組みを見直し、改善しつづけることが重要です。

効果的な情報セキュリティガバナンスのポイント

ここからは情報セキュリティガバナンスを効果的に進めるためのポイントを解説します。

最新動向を踏まえる

情報セキュリティガバナンスで必要不可欠なことが「日々進化する脅威に対応するためにできるだけ最新動向を踏まえる」というものです。サイバー攻撃などの脅威の技術や動向はもちろん、自社と同業界・同規模のセキュリティガバナンス体制についての情報もキャッチアップしていきましょう。フレームワークなどを策定する際も、最新動向を踏まえて適切な要素を盛り込むことで、効果的な情報セキュリティガバナンスが可能です。

なお、近年の動向として一時期少なくなっていた「ランサムウェア被害」が業界問わず増加し始めています。なかでも個人情報を多数抱え且つ身代金要求に応じやすい医療業界などは、下記記事でまとめているようにランサムウェアの恰好の標的になっています。

（参考）医療機関はなぜ狙われるのか？

そのほか、OTシステムの脆弱性を狙った製造業へのサプライチェーン攻撃なども増加傾向で、最新動向を踏まえた専門的な情報セキュリティガバナンスの実践が重要です。下記記事ではOTセキュリティを巡る危機的現状とその打開策を解説しているので、業界内の方はぜひ参考ください。

（参考）OTセキュリティとは？

計画策定と実行

情報セキュリティガバナンスは計画性高く策定していくことが大切です。ポリシー・フレームワークなどの策定段階から、計画性をもって着実に進めていきましょう。また、構築した情報セキュリティガバナンスは、必ず実行することが重要です。実行してようやく情報セキュリティガバナンスは意味を成します。

継続的な効果検証と一元管理

前述の「最新動向を踏まえる」とも重なりますが、情報セキュリティガバナンスで重要なのは常に内容をブラッシュアップしていくことです。実行して一定期間経過したら、内容がリアルタイムのセキュリティ動向や業界水準とマッチしているか検証しましょう。検証の結果、適切な運用状況でなかった場合はアップデートするのが鉄則です。

また、検証をスムーズに実施するためにも、普段から情報セキュリティガバナンスの内容は一元管理しておくと便利です。担当者を定めておくのはもちろん、クラウドやオンプレミスなど管理方法も決めておきましょう。一元管理しておくことで、インシデント対応もスムーズにできるため、被害を最小限に収めることにもつながります。

海外拠点のセキュリティガバナンスは現地状況を踏まえよう

「ガバナンス」は組織の利益を最大限に、そしてリスクを最小限にするためにも必要なことですが、海外拠点などを構えるグローバル企業にとって、ガバナンスの徹底はあらゆる問題の中の最重要懸念事項です。

実際に、グローバル企業向けに様々なセキュリティサービスを展開しているIIJにも、ガバナンスの徹底に四苦八苦しているグローバル企業から問い合わせが多数寄せられています。

最後に「海外拠点などの遠方の拠点に、いかにして情報セキュリティガバナンスを効かせていくのか？」という命題について、IIJ編集部が日々感じている2つのことを紹介します。

グローバルな情報セキュリティポリシーの策定

情報セキュリティガバナンスの策定において、実情に即した内容に落とし込むことは大切なことですが、特にグローバル企業は海外拠点のリアルな事情に寄り添ったガバナンスが重要です。国内の本社だけでなく、海外拠点が抱えている言語・文化・経済などに関する課題も解消できるようなセキュリティポリシーを策定してください。

海外拠点におけるセキュリティ管理の強化

ポリシーをはじめ大枠の方針が固まったら、海外拠点向けのセキュリティ管理を徹底していきましょう。近年ではガバナンスの不徹底により脆弱性のある海外拠点を狙って、あらゆるサイバー攻撃が急増中です。被害に至る細かな背景は様々ですが、共通しているのはセキュリティシステムを適切に運用・保守できていないことが挙げられます。そのため、もっとも有効なのが「マネージド型セキュリティサービスの利用による継続的なセキュリティ運用・保守」です。

既存のセキュリティシステムの運用を外注することで、初期費用を抑えつつも安定的に運用・保守が可能になります。海外向けのサービスはカスタマーサポートや定期レポートを日本語・英語・中国語に適応しているものもあり、海外拠点のスタッフも対応できることが多いです。

情報セキュリティガバナンスの徹底にIIJ Firewall Management Serviceがおすすめ

今回は情報セキュリティガバナンスの概要から、効果的なガバナンスを組み立てていくポイントまでの解説でした。これまでIIJではグローバル企業を中心に多数の企業・組織の方々と、ITやセキュリティの施策について併走しつつ熟慮してきました。IIJ編集部ならではの視点も交えた本記事の内容が少しでもお悩みの解消に役立てば嬉しいです。

IIJではこれまでの経験を活かして、マネージド型セキュリティサービス「IIJ Firewall Management Service」を提供しています。セキュリティ対策にマストで必要なファイアウォールサービスの一つです。グローバル企業の悩みを解決してきたITセキュリティのプロが運用・保守するため、国内外の情報セキュリティガバナンスに苦慮している担当者の方にはおすすめのサービスです。まずは無料でお気軽にお問い合わせください。

【公式】IIJ Firewall Management Service（IFMS）