【 ここから本文 】
セキュリティ・マネジメント
ソーシャルブックマークに登録 :
印刷用ページの表示
【解説】
情報セキュリティ・ガバナンスの潮流――注目集める、中央集権型と分散型のハイブリッド
独立性を特徴とする分散型に中央集権型の効率性をミックス
(2008年09月05日)
情報セキュリティ・ガバナンスは、規模の大小にかかわらず、あらゆる企業・組織に共通する重要な課題である。ガバナンスの方法は大きく中央集権型と分散型に分けられ、どちらにも一長一短があるが、「エンロン事件」以降、両方のよいところをミックスしたハイブリッド・モデルを採用する企業が増えている。
Audrey Agle
CSO米国版
中央集権型と分散型
情報セキュリティのガバナンス・プログラムを形作るポリシーや手順、プロセスは、社内の中央基幹的な組織が考案し、管理するべきなのか。それとも、情報セキュリティへの責任は個々の部署が負ったほうがよいのだろうか。
この問いに対する解は、何を重視するかで変わってくる。部門どうしの調和を重視するのであれば、中央集権型の管理方式が最適解となる。ガバナンス・プログラムの実施・運用は中央管理組織が主導して行い、全部門に統一方針および規定を順守させるのである。
会社上層部や取締役の側からすれば、1つの組織が情報セキュリティの実権を握るという点で、中央集権型のモデルには明らかなメリットがある。また、リソースを費用効果の高い方法で全社に行き渡らせ、その結果、人材やツールが重複して使用されるのを防ぐことができることからも、中央集権的なリスク管理は効率が最もよいと考えられる。
そのほか、個々の部門の収益性がガバナンス・プログラムの質を左右するおそれがないため、株主からの信頼が得られ、プログラムの持続可能性が高まることも、中央集権型の長所だと言える。さらに何らかのアクシデントが発生したときにも、経営陣による全面的な監督の下、一貫した姿勢で事態に向き合うことが可能になる。
しかしながら、情報セキュリティ・ガバナンスの中央集権型モデルにはいくつかの問題がある。しかも、そうした問題には、各部署が独自の情報セキュリティ・プログラムに責任を持つ分散型モデルのほうがうまく対処できる。
分散型のアプローチの場合、自分自身で規定や基準を決定するので、ガバナンス・プログラムを受け入れ、必要なリソースを配分し、実践を徹底するのが中央集権型よりもはるかに容易だ。組織全体に適用すべく包括的なポリシーを運用するのに比べ、各部門がそれぞれ持つ特有のビジネス・モデルに合わせたポリシーを作成できる点が、分散型の強みである。また、各部門が独立して動けることから、ポリシーが変わったり、インシデントの調査が必要になったりしたときでも、理論上はより柔軟な対応ができるはずだ。
ハイブリッド型アプローチのメリット
| 米国Enronの粉飾会計を指図した1人とされる元CEOのジェフ・スキリング(Jeff Skilling)氏 |
「エンロン事件」(米国の総合エネルギー会社Enronが2001年12月、巨額の粉飾決算で破綻した事件)で注目されるようになった「アカウンタビリティ(説明責任)」は、今ではだれもが知っている概念だ。今日、株主は企業の経営陣に対して、彼らが率いている組織の行いについて熟知していることを強く望むようになった。重大な情報セキュリティ侵害が起こった場合、会社上層部は直ちに呼び出され、詳細を説明するよう求められるはずである。
多くの企業は、このような事態に陥るのを避けるため、独立性を特徴とする分散型モデルの長所を生かしながら、中央集権型モデルのメリットをも取り入れたハイブリッド型アプローチを採用し始めている。ガバナンス・プログラムの成果に注力する中央管理組織を構築すると同時に、各部門にはプログラムの進め方に関する決定権を持たせることで、両モデルの連携が可能になるからだ。
こうしたハイブリッド型アプローチでは、中央組織と各部門が互いに力を合わせ、プログラム全体の目標を達成できるよう努めることが大切になる。以下、情報セキュリティ・ガバナンスのハイブリッド型プログラムを立ち上げ、中央組織と各部門で責任を分担していくためのポイントを紹介しよう。
【解説】時代の要請に応える、セキュリティ・マネジメント「構築の実際」


自社のIT/情報資産を取り巻く脅威を知り、バランスのとれた対策を実施する
【RSA Conference 2008】業界のビッグネームたちが語る、情報セキュリティ対策の“勘所”


対策のカギは「情報中心型セキュリティ」のアプローチにあり
[シンガポール]【IDC Security Vision 2008】IT業界の識者たちが語る「新時代の情報セキュリティ」

Web 2.0や内部起因リスク、コンプライアンスとセキュリティの関係に着目せよ
【特別企画】配布文書の動的統制で情報セキュリティのあり方を変える

自由な情報デリバリーと強固な情報漏洩対策の両立に向けて
[国内]【SANS Future Vision 2007 in Tokyoリポート】「今日の企業に求められているのは“信頼資産”の形成」――NRI村上会長が今後の情報セキュリティを語る

進化した情報システム環境の中で企業が進めるべき取り組みを提言
[米国]連邦政府機関の情報セキュリティ管理は依然として不十分
「重要な情報が危険にさらされている」と会計検査院が厳しく批判









