【解説】
情報セキュリティ・ガバナンスの潮流――注目集める、中央集権型と分散型のハイブリッド

独立性を特徴とする分散型に中央集権型の効率性をミックス

（2008年09月05日）

情報セキュリティ・ガバナンスは、規模の大小にかかわらず、あらゆる企業・組織に共通する重要な課題である。ガバナンスの方法は大きく中央集権型と分散型に分けられ、どちらにも一長一短があるが、「エンロン事件」以降、両方のよいところをミックスしたハイブリッド・モデルを採用する企業が増えている。

Audrey Agle
CSO米国版

中央集権型と分散型

　情報セキュリティのガバナンス・プログラムを形作るポリシーや手順、プロセスは、社内の中央基幹的な組織が考案し、管理するべきなのか。それとも、情報セキュリティへの責任は個々の部署が負ったほうがよいのだろうか。

　この問いに対する解は、何を重視するかで変わってくる。部門どうしの調和を重視するのであれば、中央集権型の管理方式が最適解となる。ガバナンス・プログラムの実施・運用は中央管理組織が主導して行い、全部門に統一方針および規定を順守させるのである。

　会社上層部や取締役の側からすれば、1つの組織が情報セキュリティの実権を握るという点で、中央集権型のモデルには明らかなメリットがある。また、リソースを費用効果の高い方法で全社に行き渡らせ、その結果、人材やツールが重複して使用されるのを防ぐことができることからも、中央集権的なリスク管理は効率が最もよいと考えられる。

　そのほか、個々の部門の収益性がガバナンス・プログラムの質を左右するおそれがないため、株主からの信頼が得られ、プログラムの持続可能性が高まることも、中央集権型の長所だと言える。さらに何らかのアクシデントが発生したときにも、経営陣による全面的な監督の下、一貫した姿勢で事態に向き合うことが可能になる。

　しかしながら、情報セキュリティ・ガバナンスの中央集権型モデルにはいくつかの問題がある。しかも、そうした問題には、各部署が独自の情報セキュリティ・プログラムに責任を持つ分散型モデルのほうがうまく対処できる。

　分散型のアプローチの場合、自分自身で規定や基準を決定するので、ガバナンス・プログラムを受け入れ、必要なリソースを配分し、実践を徹底するのが中央集権型よりもはるかに容易だ。組織全体に適用すべく包括的なポリシーを運用するのに比べ、各部門がそれぞれ持つ特有のビジネス・モデルに合わせたポリシーを作成できる点が、分散型の強みである。また、各部門が独立して動けることから、ポリシーが変わったり、インシデントの調査が必要になったりしたときでも、理論上はより柔軟な対応ができるはずだ。

ハイブリッド型アプローチのメリット

米国Enronの粉飾会計を指図した1人とされる元CEOのジェフ・スキリング（Jeff Skilling）氏

　「エンロン事件」（米国の総合エネルギー会社Enronが2001年12月、巨額の粉飾決算で破綻した事件）で注目されるようになった「アカウンタビリティ（説明責任）」は、今ではだれもが知っている概念だ。今日、株主は企業の経営陣に対して、彼らが率いている組織の行いについて熟知していることを強く望むようになった。重大な情報セキュリティ侵害が起こった場合、会社上層部は直ちに呼び出され、詳細を説明するよう求められるはずである。

　多くの企業は、このような事態に陥るのを避けるため、独立性を特徴とする分散型モデルの長所を生かしながら、中央集権型モデルのメリットをも取り入れたハイブリッド型アプローチを採用し始めている。ガバナンス・プログラムの成果に注力する中央管理組織を構築すると同時に、各部門にはプログラムの進め方に関する決定権を持たせることで、両モデルの連携が可能になるからだ。

　こうしたハイブリッド型アプローチでは、中央組織と各部門が互いに力を合わせ、プログラム全体の目標を達成できるよう努めることが大切になる。以下、情報セキュリティ・ガバナンスのハイブリッド型プログラムを立ち上げ、中央組織と各部門で責任を分担していくためのポイントを紹介しよう。

｜1｜2｜ > 次のページへ