ITセキュリティガバナンスの導入に向けた準備

今回は「ITセキュリティガバナンスの導入に向けた準備」についてご紹介します。

関連ワード （セキュリティにおけるグローバルガバナンス、特集・解説等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　本連載では、「情報セキュリティガバナンス」や「ITガバナンス」の中でもセキュリティ対策に関わる部分を全社的・グローバルに、かつスピーディーに企業へ展開できるガバナンスモデルについて解説する。

　前回の記事では、ITセキュリティガバナンスの定義について説明した。今回は、実際にITセキュリティガバナンスを導入する上での準備に向けて、「ポリシーの定義」と「ガバナンス・管理方式」を説明する。

　最初に決めなければいけないのは、「企業や組織としてITセキュリティで守らなければいけない企業の範囲」を明確化にすることである。グループ会社や子会社、海外拠点などがある場合にはこの範囲を必ず明確にしなければならない。

　このポリシーの適用範囲の定義は、以下のような範囲を参照して決める場合もある。

企業や組織におけるコーポレートガバナンスの適用範囲 企業や組織のCIO/CISO（最高情報／情報セキュリティ責任者）の監督者の説明責任の範囲 企業や組織の関連企業（サプライチェーン）を含めたビジネス影響範囲

　ただし、この定義は企業や組織内での組織および体制が複雑で最初に決められないケースも存在する。その場合には、どの範囲まで「ITセキュリティガバナンスの適用を検討するか」を決めた上でポリシー定義を進めていき、ポリシーの検討の中で範囲を明確にしていくステップを踏んだ方が良いだろう。

　次に決めなければいけないポイントは、「運用フェーズ」のどこをカバーするかを明確にしておく点になる。下は、米国標準技術研究所（NIST）のサイバーセキュリティフレームワーク（CSF）を抜粋、簡略化した図である。

　「セキュリティで守る」と言っても、幾つもの工程やフェーズが存在するため、ハイジーン（衛生）領域（特定・防御・検知）とレジリエンス（復元）領域（検知・対応・復旧）のカテゴリーの中で、どの領域のポリシーを定義するのかを明確化する必要がある。

　特定カテゴリーの運用項目の中で、既に一部ポリシーが決まっている場合は、既存のポリシーを更改して、部分的に流用する方法もある。

　次に、ポリシーを決める上で定めなければいけないのは「何を守るのか？」だ。このポリシーの適用対象を明確に決めておかなければ、この後に決めていくポリシーの内容や方法を決めることができない。

　ここで重要なのは、ITセキュリティポリシーの適用範囲を「IT機器全て」と定義してしまうのを避けなければいけないことだ。なぜなら、「IT機器全て」という定義は、人によって解釈が異なることがあるためである。PCやサーバー、ネットワーク機器などはIT機器として判断されると思うが、複合機やプリンターといった事務機器はIT機器に含まれないケースも多々存在する。また、モニターなどについても、IT機器ではあるが、ITセキュリティ対策が施せない機器についても除外する場合もある。

　なお、今回のITセキュリティポリシーの定義では、最初のステップであるインフラの物理的な機器やソフトウェアなどを対象としたポリシーの定義を前提として進めていく。データやIDに関するITセキュリティポリシーについては別の機会で触れてみたいと思う。