第286号コラム:丸山 満彦 監事
(デロイト トーマツ リスクサービス株式会社 パートナー、
公認会計士、公認情報システム監査人)
題:「セキュリティガバナンスはできる範囲だけやればよいのか?」

 情報漏えい事件がおこったり、企業のネットワークに侵入された可能性があったりとあいかわらず情報セキュリティにまつわる事件、事故というものはなくなりません。こういった事故や事件が発生するたびに企業全体(もちろん、親会社だけでなくグループ企業も)の情報セキュリティガバナンスの重要性がいわれます。

 経済産業省も平成16年(2004年)9月から翌3月にかけて「企業における情報セキュリティガバナンスのあり方に関する研究会」を開催し、「社会的責任にも配慮したコーポレート・ガバナンスと、それを支えるメカニズムである内部統制の仕組みを、情報セキュリティの観点から企業内に構築・運用すること、すなわち「情報セキュリティガバナンス」の確立が求められる。」とし、情報セキュリティガバナンスの確立を促進するための施策ツールとして情報セキュリティ対策ベンチマーク、情報セキュリティ報告書モデル、事業継続計画策定ガイドラインを提示しました。問題意識まではよかったものの、その対策のための方策が適切でなかったのではないかと思います。その後の情報セキュリティガバナンスの普及にはあまりつながらなかったように感じています。続いて、平成19年(2007年)1月から3月にかけて「情報セキュリティガバナンス研究会」が開催され、「情報セキュリティガバナンス研究会報告書 ~情報セキュリティによる企業価値創造に向けて~」が公表されましたが、これもまた普及にはそれほどつながらなかったのではないかと思います。

 情報セキュリティガバナンスは、企業全体のガバナンスのサブセットと考えることができます。企業全体のガバナンスを考える上でのひとつのテーマと考えたほうがよいでしょう。企業全体のガバナンスの実現を考えていない経営者に情報セキュリティガバナンスの普及を考えろと言っても無理ですし、たとえ、企業全体のガバナンスの実現を考えている経営者であっても、情報セキュリティのガバナンスを考える前に、会計、コンプライアンス、情報システムなどのテーマが優先しているかもしれません。いずれにしても、情報セキュリティガバナンスは、企業全体のガバナンスの一部として考えるべきでしょう。

 そこで、今回の主題の「セキュリティガバナンスはできる範囲だけやればよいのか?」の話です。問題意識は、情報セキュリティガバナンスの範囲に「制御系システム」をいれていないケースが多いのではないかという話です。制御系システムとは、たとえば、列車制御系システム、発電所タービン等の制御系システム、工場の機械の稼動制御系システム、水道システム制御系システムなどです。これらの制御系システムは従来はネットワークにつながっていなかったことや、特殊な機器や仕様があったことからいわゆる情報システム部門や、本社の管理部門の管轄外におかれていたことが多かったように思います。ただし、現在ではこれらの制御系システムもネットワークでつながっていたり、ネットワークにつながれる機器を介して保守を行ったりすることから、情報セキュリティの課題が認識されています。

 情報セキュリティガバナンスを考えるのであれば、この「制御系システム」の情報セキュリティにも目を向けなければいけません。制御系システムも含めて企業全体の情報セキュリティガバナンスをどのように構築するのか、情報セキュリティ統括責任者(CISO)は考えなければいけないでしょう。そして、その範囲には、制御系システムのデジタルフォレンジックも含まれるはずです。

 これからのCISOは制御系システムにも当然に目をむけ対応をしていく必要があります。
*本文中の意見にわたる部分は所属する法人等の公式見解ではなく、筆者の私見です。

【著作権は丸山氏に属します】