Comments
Description
Transcript
ITガバナンスと情報セキュリティガバナ ンスの構築に向けて
ITガバナンスと情報セキュリティガバナ ンスの構築に向けて ISACA International VP, 日本ITガバナンス協会理事 情報通信総合研究所マーケッティング ソリューション研究 グループ主席研究員 大阪大学大学院特任教授 原田 要之助 目次 1 2 3 4 5 6 7 はじめに ITガバナンスのフレームワーク 情報セキュリティガバナンスのフレームワーク 2つのフレームワークの関係 ISOにおける国際標準化の動向 ITガバナンス、情報セキュリティガバナンスの 構築 COBITの利用 8 まとめ 2 ITは経営の課題 経営面で、ITが議論される割合が高まっている 出典: IT Governance Global Status Report, IT Governance Institute, 2008 3 IT投資の経営への関与が増している 企業は、IT投資(ITガバナンスの重要な要素)について経営の 関与を強く意識するようになっている 出典: IT Governance Global Status Report, IT Governance Institute, 2008 4 ITガバナンスの成熟度が高まっている 3以上の企業が増えてきている ITガバナンスの成熟度の高い(3以上)の企業が50%を超えて いる 出典: IT Governance Global Status Report, IT Governance Institute, 2008 5 日本企業のITガバナンスの現状 大企業はITガバナンスに手がついているが中小企業はこれか ら強化が必要 出典:ITと内部統制に関する調査研究報告書、平成19年度、情報処理開発協会 6 日本企業のガバナンス(IT統制から) 2006年より改善は見られるものの、リスク評価が弱い 出典:ITと内部統制に関する調査研究報告書、平成19年度、情報処理開発協会 7 ITが企業に与える背景とガバナンス 企業は、①競争力向上(正確性、迅速性、完全性)、②コスト削減 (企業内のプロセスの自動化)、③コミュニケーション向上(Web サイト、電子メール) 企業は、ITを広くビジネスプロセスに利用 ITのリスクや情報化の負の側面が無視できなくなった 個人情報のデータベース化→漏えいの大規模化 インターネット利用→不正侵入、情報詐取・改ざん 企業内のIT化→システムダウンによるビジネスの停止 会計情報のIT化→信頼性確保のためIT統制が必須 ITや情報セキュリティが企業ガバナンスの不可欠な構成要素 8 目次 1 2 3 4 5 6 7 はじめに ITガバナンスのフレームワーク 情報セキュリティガバナンスのフレームワーク 2つのフレームワークの関係 ISOにおける国際標準化の動向 ITガバナンス、情報セキュリティガバナンスの 構築 COBITの利用 8 まとめ 9 ガバナンスとは • 『コーポレートガバナンスの財務的側面に関する 委員会報告(Report of the Committee on the Financial Aspects of Corporate Governance)』 (キャドバリー・レポート(Cadbury Report)、1992 年) – – • 企業に対するコントロールと社会に対する説明責任 戦略的目標の設定、リーダーシップの提供、経営の監視、利害関係者に 対するその管理責任に基づく報告義務 国際決済銀行(BIS)は、その『銀行業における コーポレートガバナンスの向上(Enhancing Corporate Governance in Banking Organisations)』 (1999 年) – – – • 組織全体の目的が設定される 目的を達成するための方法 成果をモニタリングする方法 ガバナンスとはステークホルダの価値に対して責務を持つ – 戦略の設定、リスクの管理、価値の提供、成果測定という責務 10 ITガバナンスのフレームワーク ITガバナンスのフレームワークとしては、既存のISO9000やSix Sigma、独自の基準 が減少し、変わって、CobiTやITIL/ISO2000の採用が増えている。 出典: IT Governance Global Status Report, IT Governance Institute, 2007 11 ITガバナンスと コーポレートガバナンス • • • 取締役会と執行役員は、企業ガバナンスをIT の分野 に拡大し、企業のIT が企業の戦略ならびに目標を維 持し発展させるリーダーシップとITガバナンスを運営 する組織体制とプロセスを提供する必要がある。 IT ガバナンスは、学問分野ではない。IT ガバナンス は、企業のガバナンス全体の不可欠な構成要素であ る。 IT ガバナンスをガバナンス全体に統合する必要があ る。IT は、企業の内部で他から隔離されたものでは なく、企業の一部である。 出典: IT ガバナンス協会,『取締役会のためのIT ガバナンスの手引き、第2 版』, 2005 12 ITGIのITガバナンスとは ガバナンスとは、戦略的指針を与え、目標が達成されるこ とを保証し、リスクが適正に管理され、企業の資源が妥当 な形で利用されていることを確実にすることを目標とした、 取締役会と役員が実行する任務ならびにプラクティスの総 体である。 出典: IT ガバナンス協会,『取締役会のためのIT ガバナンスの手引き、第2 版』, 2005 13 ITガバナンスのさまざまな定義 1 通商産業省(当時)と日本情報処理開発協会:「企業が競 争優位性構築を目的に,IT戦略の策定・実行をコントロ ールし,あるべき方向へ導く組織能力」 2 日本監査役協会:「リスクマネジメントとパフォーマンスマ ネジメントを実施するにあたっての健全性確保のための コンプライアンスマネジメントの確立」 3 日立の例:「ITガバナンスとは統制と自律の最適な配置 を議論し,合意,遂行すること」。この考え方に基づき,グ ループ内のIT活動を統制するものと自律させるものに分 類 – (1)共通業務の徹底した統合・集約化による分散損の排除,コス ト削減,高位標準化をねらう領域 – (2)それぞれの事業の経営判断に委ねることによる競争優位性 14 システム管理基準のITガバナンス 前文 • • – – – – 今日、組織体の情報システムは、経営戦略を実現するための組織体の重 要なインフラストラクチャとなっている。さらに、それぞれの情報システムが ネットワーク化されることにより、社会の重要なインフラストラクチャとなって きている。一方、情報システムはますます多様化、複雑化し、それに伴い 様々なリスクが顕在化してきている。また、情報システムに係わる利害関 係者も組織体内にとどまらず、社会へと広がっている。従って、このような 情報システムにまつわるリスクを適切にコントロールすることが組織体にお ける重要な経営課題となっている。システム監査は、組織体の情報システ ムにまつわるリスクに対するコントロールが適切に整備・運用されているこ とを担保するための有効な手段となる。また、システム監査の実施は、組 織体のITガバナンスの実現に寄与することができ、利害関係者に対する説 明責任を果たすことにつながる。 組織体が情報システムにまつわるリスクに対するコントロールを適切に整 備・運用する目的は、以下の通りである。 情報システムが、組織体の経営方針及び戦略目標の実現に貢献するため 情報システムが、組織体の目的を実現するように安全、有効かつ効率的に機能 するため 情報システムが、内部又は外部に報告する情報の信頼性を保つように機能す るため 情報システムが、関連法令、契約又は内部規程等に準拠するようにするため 15 目次 1 2 3 4 5 6 7 はじめに ITガバナンスのフレームワーク 情報セキュリティガバナンスのフレームワーク 2つのフレームワークの関係 ISOにおける国際標準化の動向 ITガバナンス、情報セキュリティガバナンスの 構築 COBITの利用 8 まとめ 16 情報セキュリティガバナンスの背景 個人情報保護、CSR、 リスクマネジメント、セキュリティ事後 などが重要な要素 となっている 出典:産業構造審議会情報セキュリティ基本問題委員会中間とりまとめ ~企業における戦略的な情報セキュリティガバナンス の確立に向けて~ 平成20 年6月より 17 情報セキュリティガバナンスの背景2 情報セキュリティガバナンス シンポジウム 2008 アンケート結果 情報セキュリティは、経営トップ、組織・体制、効果測 定・評価方法の観点=情報セキュリティガバナンスの 面で改善が求められている 出典:産業構造審議会情報セキュリティ基本問題委員会中間とりまとめ ~企業における戦略的な情報セキュリティガバナンス の確立に向けて~ 平成20 年6月より 18 情報セキュリティガバナンスの背景 • • • • • 米国で、2004年に民間を主体にして、「Corporate Governance Task Force, ‘Information Security Governance: Call to Action’」が提起された 情報セキュリティは、技術に関わる問題であるばかりでなく、十分なリスク管理、 報告、説明責任に関わるビジネスとガバナンスの課題でもある。セキュリティが 有効であるためには、役員が、発生しつつある脅威とそれに対する組織の対応 を評価する過程に積極的に関与することが必要である 取締役会の責任をレビューおよび承認の側面に重点を置いており、最近、取締 役会が情報セキュリティに関する戦略的なオーバーサイトを行うべきことを勧告 1. 情報および情報セキュリティの組織にとっての重要性を理解する 2. 情報セキュリティへの投資について、組織の戦略とリスクプロフィールと の整合をレビューする 3. 包括的な情報セキュリティプログラムの開発ならびに導入を承認する 4. プログラムの妥当性ならびに有効性に関して、取締役・役員に定期的な 報告を求める IBMはこれを受けて2005年に、「Data Governance Council, Oversight of Information Security」のプロジェクトを編成して概念フレームワークとした ISACA/ITGIでは、上記の流れを受けて、ITガバナンスのフレームワークをベー スにして「情報セキュリティガバナンス」を定義した 19 情報セキュリティガバナンスとは • • • 情報セキュリティガバナンスとは、取締役会と上級役員の 責務である。情報セキュリティは、企業のガバナンスにとっ て不可欠で透明性を有する部分であり、ITガバナンスフレ ームワークと整合している必要がある。 上級役員は情報セキュリティにより発生する事故によるサ ービス中断や情報漏えい機密性に対応する責任がある。 また、取締役会は、情報セキュリティを企業ガバナンスの取 り組みの中心的な部分として、IT ガバナンスの目標と整合 し、資源を管理するために実施するプロセスと統合する必 要がある。 IT ガバナンス協会, 『情報セキュリティ ガバナンス -取締役と役員に対する ガイダンス』、第2 版, 2006 『情報セキュリティ ガバナンス -情報セキュリティマネジャ に対するガイダンス』, 英文,2007 20 情報セキュリティガバナンス 1 2 3 4 情報セキュリティガバナンスの定義 情報セキュリティガバナンスは、企業ガバナンスの部 分集合であり、戦略的指針を提供し、目標が達成さ れることを保証し、適切にリスクを管理し、組織の資 源を妥当な形で利用し、企業のセキュリティプログラ ムが成功したか失敗したかをモニタリングするもので ある。 情報セキュリティは、情報のあらゆる側面(口頭、文 書、印刷、電子的媒体その他の媒体)および情報の 処理(作成されたもの、閲覧されたもの、転送された もの、保存されたもの、破壊されたもの)を取り扱う 情報セキュリティは、IT セキュリティ(ITに対する情報 セキュリティ)とは対照をなす 出典: IT ガバナンス協会,『情報セキュリティ ガバナンス -取締役と役員に対するガイダンス』、第2 版, 2006 21 情報セキュリティガバナンス 1 役員の情報セキュリティガバナンスに対する役割 – – 2 包括的な情報セキュリティプログラムの開発と維持 方向づけを行うためのフレームワークの確立と維持 情報セキュリティガバナンスのフレームワークは、一 般的に次の要素から構成されている。 – – – – – 情報セキュリティガバナンスのリスク管理の方法論 ビジネス目標およびIT 目標に明確にリンクした包括的なセ キュリティ戦略 有効なセキュリティ組織構造 保護される情報の価値を取り上げたセキュリティ戦略と、そ の提供 戦略、コントロール、規制の各側面に対処するセキュリティポ リシー 出典: IT ガバナンス協会,『情報セキュリティ ガバナンス -取締役と役員に対するガイダンス』、第2 版, 2006 22 組織の情報セキュリティガバナンス • 達成目標 – リスク削減 • – 情報資産の保護 • • リスクを許容できるレベルにする(情報セキュリティ事故 が起きないようにするなど) 情報資産の損失リスク、業務中断、情報資産の悪用、機 密情報の漏えい、情報に適切にアクセスできないための 機会損失 情報セキュリティを適切にできない場合 – – 増加する情報が不正確なことによる損害 情報漏えいなどで法律的な責任 出典: IT ガバナンス協会,『情報セキュリティ ガバナンス -取締役と役員に対するガイダンス』、第2 版, 2006 23 情報セキュリティガバナンス(日本) • 社会的責任にも配慮したコーポレート・ガバ ナンスと、それを支えるメカニズムである内部 統制の仕組みを、情報セキュリティの観点か ら企業内に構築・運用すること。 出典「企業における情報セキュリティガバナンスのあり方に 関する研究会報告書」経済産業省、平成17 年3 月 24 企業における情報セキュリティガバナンスの 概念イメージ 出典「企業における情報セキュリティガバナンスのあり方に関する研究会報告書」経済産業省、平成17 年3 月 25 目次 1 2 3 4 5 6 7 はじめに ITガバナンスのフレームワーク 情報セキュリティガバナンスのフレームワーク 2つのフレームワークの関係 ISOにおける国際標準化の動向 ITガバナンス、情報セキュリティガバナンスの 構築 COBITの利用 8 まとめ 26 ITガバナンスと情報セキュリティガバナ ンスの関係 コーポレートガバナンス ITガバナンス ITセキュリティ ガバナンス 情報セキュリティ ガバナンス 27 情報セキュリティガバナンスとITガバナンスと の関係 • 情報セキュリティは、IT ガバナンスと整合して コーポレートガバナンスを支える – – – 戦略、概念、計画、導入、運用に統合された、コー ポレートガバナンスにとって不可欠な構成要素 情報の保護は、マネジメントの戦略の中で検討さ れるべき主要なリスクの一つであり、ビジネスが成 功する重大な要素 情報セキュリティガバナンスには、上級役員のコミ ットメント、セキュリティを意識した文化、良好なセ キュリティのプラクティス、さらに方針へのコンプラ イアンスが必要 出典: IT ガバナンス協会,『情報セキュリティ ガバナンス -取締役と役員に対するガイダンス』、第2 版, 2006 28 目次 1 2 3 4 5 6 7 はじめに ITガバナンスのフレームワーク 情報セキュリティガバナンスのフレームワーク 2つのフレームワークの関係 ISOにおける国際標準化の動向 ITガバナンス、情報セキュリティガバナンスの 構築 COBITの利用 8 まとめ 29 ISOにおけるITガバナンス • ISO/IEC 38500 - International Standard for Corporate Governance of IT (IT Governance) – • オーストラリアのITガバナンスの 国内基準AS 8015:2005が国際標準となる ITガバナンス関連の検討体制 SC7,SC27をベースにITガバナンス関連のプロジェクト が編成され、国際標準を目指して検討中 – SC7傘下にWGとNP(新規プロジェクト)が編成 – SC27傘下にSP(プロジェクトの検討)が開始 – JTC1にSG(検討グループ)が編成 出典:ISO38500 30 ISO38500/AS8015のITガバナンス • 幹部(組織のガバナンスを実施するメン バで、組織のオーナ、ボードメンバ、パ ートナー、上級幹部など)は、以下を実 行する (a) 現在と将来のITの利用について評価する (b) ITの利用が組織のビジネス目標に合致す るように計画とポリシを策定し、実施する (c) ポリシへの準拠と計画に対する達成度をモ ニタする 出典:ISO38500 31 ISO38500のICTガバナンス 6つの原則: • ICTに対する責任を明確にする • ICTは組織の目的を最大限支援する • ICTの有効性を高める • ICTの可用性を高める • ICTが法令や企業の内部の取決めに準拠す る • ICTは人的要素を考慮している 出典:ISO38500 32 目次 1 2 3 4 5 6 7 はじめに ITガバナンスのフレームワーク 情報セキュリティガバナンスのフレームワーク 2つのフレームワークの関係 ISOにおける国際標準化の動向 ITガバナンス、情報セキュリティガバナンスの 構築 COBITの利用 8 まとめ 33 ITガバナンスと情報セキュリティガバナンス のフレームワーク:COBIT IT IT Governance ガバナンス Domains ry t Al 価 V値a lu実 De の liv e 現 e Risk Mリaス naクgの em 管e理 n ic合 t g 整 te en 的 a r St略ignm 戦 e anc orm 定ent 測 Perf sの em a ur 成e果 M フレームワークは共通 • ビジネス戦略との整合 • 価値の実現 • リスクの管理 • 資源の管理 • 成果の測定 Resource 資源の管理 Management 出典:CobiT4.1、ITGI(日本語版) 34 ITガバナンスの構築の進め方 戦略的整合 リスクの管理 価値の実現 資源の管理 成果の測定 出典: IT ガバナンス協会、IT governance Implementation Guide 2nd Edition, 2006 35 ITガバナンスの構築の段階プロセス 出典: IT ガバナンス協会、IT governance Implementation Guide 2nd Edition, 2006 36 ITガバナンスの構築:目標の設定 ITガバナンスのサイクル 出典: IT ガバナンス協会,『情報セキュリティ ガバナンス -取締役と役員に対するガイダンス』、第2 版, 2006 37 ITガバナンスの構築:ステークホルダとの関係 戦略、プロセス、資源、結果の関係の関係 出典: IT ガバナンス協会,『情報セキュリティ ガバナンス -取締役と役員に対するガイダンス』、第2 版, 2006 38 ITガバナンスの構築:PDCAサイクル 出典: IT ガバナンス協会,『情報セキュリティ ガバナンス -取締役と役員に対するガイダンス』、第2 版, 2006 39 IT ガバナンスの導入準備 取締役会がIT ガバナンスのオーナーシップを取 り、指針とフレームワークを設定 • • • • • 検討事項にIT を含める IT の問題について議論し、対応策を議論する IT 関連のリスクによるビジネスへの影響を評価する IT 導入成果を測定して報告される IT 戦略委員会を持つ – • 取締役会と経営者の責務を明確にする 共通のIT ガバナンスのマネジメントフレームワーク( 例、COBIT)を採用する 出典: IT ガバナンス協会,『情報セキュリティ ガバナンス -取締役と役員に対するガイダンス』、第2 版, 2006 40 IT ガバナンスの導入計画1 IT ガバナンスの組織的フレームワークを設 定し、責務と目標を明確化し、全ての利害 関係者の参加を得る IT とビジネスの目標との整合を図る 1 2 – – コスト削減、競合上の優位性、合併/買収。ビジ ネス環境、リスク選好度、ビジネス戦略のIT と の関連について、十分に理解する 経営者の検討課題におけるIT の最重要課題 を特定する 出典: IT ガバナンス協会,『情報セキュリティ ガバナンス -取締役と役員に対するガイダンス』、第2 版, 2006 41 IT ガバナンスの導入計画2 3 トップマネジメントに対し、ビジネスに導入す るIT について、リスクを明らかにする ・過去のIT 導入についての履歴 ・現在のIT の組織的な要因 ・既存あるいは計画中のIT 環境の複雑さ、規模/範囲 ・既存あるいは計画中のIT 環境に内在する脆弱性 ・検討中のIT についての検討 開発プロジェクト、アウトソーシングの検討、アーキテクチャ 出典: IT ガバナンス協会,『情報セキュリティ ガバナンス -取締役と役員に対するガイダンス』、第2 版, 2006 42 IT ガバナンスの導入計画3 ITの対象領域を決定する。 4 – – 5 リスク管理の対象となるIT プロセスを特定する COBIT プロセスフレームワークをガイドとして 使用する 現在のITを分析しギャップを特定する – – 成熟度評価を実施し、改善が最も必要とされて いる部分を特定する。 COBIT マネジメントガイドラインをガイドとして 使用する 出典: IT ガバナンス協会,『情報セキュリティ ガバナンス -取締役と役員に対するガイダンス』、第2 版, 2006 43 COBIT マネジメントガイドライン成熟度分析 について 44 IT ガバナンスの導入計画4 6 改善の戦略を策定して、最も優先度の高い プロジェクト(経営面から重要なITのガバナ ンスの改善)を決定する – – – 導入により利益を上げる可能性、および導入の 容易さに基づく 重要なIT プロセスおよびコアコンピテンシーに 重点を置いて行う IT ガバナンスプロジェクトを継続的な改善のイ ニシアチブの、第一歩とする 出典: IT ガバナンス協会,『情報セキュリティ ガバナンス -取締役と役員に対するガイダンス』、第2 版, 2006 45 IT ガバナンスの導入計画5 7 結果の測定 – – バランススコアカードによる評価方法を確立する 新たな改善の結果について、以下をモニタリン グする • • • • 組織的構造は、戦略の導入をサポートするか? リスク管理の責務が、組織に組み込まれているか? 重要なビジネス情報の創出および共有を促進しサポ ートするインフラストラクチャは存在しているか? 戦略と達成目標が、必要のある組織内の関係者に周 知されているか? 出典: IT ガバナンス協会,『情報セキュリティ ガバナンス -取締役と役員に対するガイダンス』、第2 版, 2006 46 ITガバナンスの構築:ビジネスとの関係 出典: IT ガバナンス協会,『情報セキュリティ ガバナンス -取締役と役員に対するガイダンス』、第2 版, 2006 47 情報セキュリティガバナンスの構築 • 情報セキュリティは、IT ガバナンスと整合し、戦略、概念、計画、 導入、運用に統合された、企業ガバナンスにとって不可欠な構 成要素である。 • • 情報の保護は、マネジメントの戦略の主要なリスクの一つ 企業での情報セキュリティを成功させる要因 • • • • • • 情報セキュリティガバナンス 上級役員のコミットメント セキュリティを意識した文化 良好なセキュリティのプラクティス 方針への準拠性 情報セキュリティをアウトソーシングできない理由 • 企業の情報セキュリティ文化を変えるより、ソリューションを買う方 が容易であるが、最も安全なシステムであっても、教育を十分に受 けず、訓練を受けず、また注意力がなく無関心な人員によって使用 された場合には、十分なレベルでのセキュリティを達成することはで きない。 出典: IT ガバナンス協会,『情報セキュリティ ガバナンス -取締役と役員に対するガイダンス』、第2 版, 2006 48 情報セキュリティガバナンスの構築 • 情報セキュリティは、企業のビジネスプロセスや戦略と明確にリ ンクした包括的なセキュリティ戦略を必要とするトップダウンのプ ロセス • • 情報セキュリティは、全ての組織プロセスに対処することが必要 情報セキュリティガバナンスは、 • • • • • トップダウン 方針を決め組織が統一のとれたセキュリティ戦略 外部との整合性の必要(情報交換) セキュリティ標準の利用 マネジメントとして利用できるフレームワーク、ガイドライン • • • COBIT ISO 27000シリーズ 米国のFIPS 200 やNIST 800-53 出典: IT ガバナンス協会,『情報セキュリティ ガバナンス -取締役と役員に対するガイダンス』、第2 版, 2006 49 情報セキュリティガバナンスの構築 • 有効なガバナンスを提供には • • • 情報セキュリティに関する役割ならびに責任を割り当てる 全ての人員に対して教育、意識、訓練を行い、セキュリティが確保された行動を 保証する セキュリティポリシーの作成/維持 • • • • • • • • • • • • • • 役割、責任、権限、説明責任の割り振り セキュリティフレームワーク(標準、指標、プラクティス、手続き)の作成/維持 定期的なリスク評価およびビジネスインパクト分析 情報資産の所有者の分類と割り振り 人、プロセス、技術に対するコントロール 全ての組織のプロセスに情報セキュリティを統合 セキュリティのモニタリング 情報セキュリティのインシデント管理 本人確認ならびにアクセス管理 全てのユーザ、役員、取締役会の構成員への、情報セキュリティ教育 年次的に情報セキュリティ評価と、成果レポートを取締役会に提出 情報セキュリティの欠陥への是正措置の計画 セキュリティプロセスの訓練 業務継続計画とテスト 出典: IT ガバナンス協会,『情報セキュリティ ガバナンス -取締役と役員に対するガイダンス』、第2 版, 2006 50 情報セキュリティガバナンスのフレームワーク ISMS 出典: IT ガバナンス協会,『情報セキュリティ ガバナンス -取締役と役員に対するガイダンス』、第2 版, 2006 51 情報セキュリティガバナンスの構築とフレ ームワーク 1. 戦略的整合 情報セキュリティとビジネスの戦略が戦略的に整合して、組織の目標をサ ポートしている 2. リスクの管理 情報資源に影響を与えるリスクを管理・軽減し、損害がおきても許容可能 なレベルにまで減少する対策 3. 資源の管理 情報セキュリティに対する組織内の人やITを効率的かつ有効に利用する 4. 成果の測定 情報セキュリティガバナンスの指標を測定し、モニタリングし、またこれにつ いて報告し、組織の目標が達成されていることを保証している 5. 価値の実現 組織の目標をサポートする情報セキュリティ投資を最適化することで、価値 が実現されている 出典: IT ガバナンス協会,『情報セキュリティ ガバナンス -取締役と役員に対するガイダンス』、第2 版, 2006 52 ITガバナンスと情報セキュリティガバナ ンスの構築に向けて 出典: IT ガバナンス協会、IT Control 第2 版, 2006 53 目次 1 2 3 4 5 6 7 はじめに ITガバナンスのフレームワーク 情報セキュリティガバナンスのフレームワーク 2つのフレームワークの関係 ISOにおける国際標準化の動向 ITガバナンス、情報セキュリティガバナンスの 構築 COBITの利用 8 まとめ 54 CobiTはITガバナンスに最も利用されている 出典: IT Governance Global Status Report, IT Governance Institute, 2007 55 COBIT:ITガバナンスのフレームワーク • CobiTは、ITガバナンスからITのマネー ジメント、さらに、具体的なITプロセスを 繋げるITガバナンスのフレームワーク CCobiT OBIT good best practices practices repository for IT Processes IT Management Processes IT Governance Processes 56 COBIT:ITとビジネスの関係 資源(人、もの)がIT IT 資源(人、もの)が 資源(人、もの)がIT を利用できるように を利用できるように する する IT IT 資源 資源 要件に対して 要件に対して ITを利用する を利用する ITITを利用する B u s in e s s R e q u ire m e n ts IT P ro c e s s e s IT R e s o u rc e s ビジネス ビジネス の要件 の要件 IT IT プロセス プロセス アプリケション 計画と組織 データ 調達と導入 技術(インフラ) サービス提供と サポート 人的資源 利用者のIT IT利用へ 利用へ 利用者の 利用者のIT利用へ の期待 の期待 モニタリングと 評価 有効性 効率性 機密性 完全性 可用性 準拠性 信頼性 出典: IT ガバナンス協会,『情報セキュリティ ガバナンス -取締役と役員に対するガイダンス』、第2 版, 2006 57 ビジネスの目標 Criteria COBITの フレームワーク • • • • • • • Effectiveness Efficiency Confidentiality Integrity Availability Compliance Reliability IT 資源 • • • • モニタリング と評価 Applications Information Infrastructure People IT Life Cycle サービス提供 とサポート 計画と組織 調達 と導入 出典:CobiT4.1、ITGI(日本語版) 58 COBITの4つのドメイン CobiTでは、ITのマネジメントを 4つのドメインに分けている Plan and Organization (計画と組織) Acquisition and Implementation (調達と導入) Delivery and Support (サービス提供とサポート) Monitoring and Evaluation (モニタリングと評価) 出典:CobiT4.1、ITGI(日本語版) 59 IT達成目標および ITに関するエンタープラ イズアーキテクチャの定義 出典:CobiT4.1、ITGI(日本語版) 60 IT達成目標の実現に向けたIT資源の管理 出典:CobiT4.1、ITGI(日本語版) 61 ITガバナンスと情報セキュリティガバナンス の達成目標 ITガバナンス 情報セキュリティガバナンス 不正アクセスに対する脅威 出典:CobiT4.1、ITGI(日本語版) 62 ITガバナンスと情報セキュリティガバナンス の成果測定 情報セキュリティ ガバナンス ITガバナンス 出典:CobiT4.1、ITGI(日本語版) 63 IT達成目標と成果の関係 出典:CobiT4.1、ITGI(日本語版) 64 まとめ ITガバナンス、情報セキュリティガバナ ンスについては、多数のフレームワーク がある。CobiTが最も適している。 – – – ITは経営の重要な一部であり、IT戦略、プ ロセスへの適用、IT資源配分、モニタリング が重要 組織の幹部が主体的にITガバナンスに関 与することが重要 組織内部のITガバナンスについてのPDCA を構築する 65 CobiT実践ガイドのご紹介 日経BPから9月8日に発売 CobiTの実務者向けのガイド ブック • コントロール目標 • コントロールの実装 • コントロール間の関係 日本企業の場合を想定して 必須、望ましい、なくて も良いものに整理 66 問い合わせ、資料の入手 [email protected] また、ITGI関連の資料は、 ・日本語版:http://itgi.jp/ ・英語版:http://www.itgi.org/ ・経済省情報セキュリティガバナンス: http://www.meti.go.jp/po licy/netsecurity/sec_gov -TopPage.html その他は、Yahoo, Googleな どで検索ください 67 情報セキュリティガバナンス: 取締役の責務 取締役会は、組織が情報に依存していることを理解しているか 組織が情報セキュリティの価値と重要性を認識し、セキュリティを意識した環境を育むというあるべき経営トップの姿勢を定 着させているか 組織にはセキュリティ戦略があるか。もしそうであれば、このセキュリティ戦略はビジネス戦略と整合しているか 取締役会は、規制を遵守していない場合は、組織が賠償責任を負う可能性があることを理解しているか。機密情報が損な われた場合は、損害賠償が発生する可能性があることを取締役会は理解しているか 組織が大規模なセキュリティのインシデントを被った経験があるか。このインシデントの組織に対するコストは、算定されてい るか 情報セキュリティが取締役会の基本方針の項目であるか。情報セキュリティプログラムの状態について取締役会に報告す るスケジュールがあるか マネジメントは、情報セキュリティに関して方針声明を発したことがあるか。もしあれば、この方針声明は検討、更新、承認を 受けるものか? 最重要の情報が利用不可能になったり、損なわれたり失われたりした場合、組織は営業を続けられるか。収益の損失、顧 客の喪失、投資家の信頼の喪失に関して、セキュリティのインシデントがどのような結果をもたらすか。インフラストラク チャが操業停止になったときに、どんな結果が生じるか 情報資産は法律と規制に準拠しているか。取締役会は、準拠性を保証するために、何を始めたか 監査委員会は情報セキュリティにおけるその役割を理解しているか、また、役員および監査人と共に、どのようにして指針を 設定しているか CISO あるいは組織の情報セキュリティの管理を専門に担当する役員がいるか 人員がそのセキュリティについての責任を意識した状態を保証するための、適切な訓練と意識向上プログラムがあるか 出典: IT ガバナンス協会,『情報セキュリティ ガバナンス -取締役と役員に対するガイダンス』、第2 版, 2006 68 情報セキュリティガバナンス 役員の責務 取締役会は、どのようにして情報セキュリティに関する問題について情報を得られる状況を維持しているか。セキュリティのリスクならびにセキュリティの 改善の状況について取締役会に対して行った最後の報告は、いつ行われたか。 情報セキュリティプログラムの作成、導入、管理について責任を負う者として、誰か任命されているか、またこの者には説明責任が常に与えられているか セキュリティ関連の役割と責任が明確に定義され、周知されているか CISO、あるいはセキュリティ目標を達成するのに十分な権限と資源をもった役員がいるか 組織はそのネットワークセキュリティをサードパーティによってチェックしてもらったことがあるか ビジネスインパクト評価が行われたことがあるか 情報セキュリティ資産の重大性ならびに機密性に関して最後にリスク評価が行われたのはいつか。次回のリスク評価はいつの予定か リスク評価は、最重要の情報が利用不可能になったり、損なわれたり失われたりした場合、組織は営業を続けられるかという問題を考慮しているか。収 益の損失、顧客の喪失、投資家の信頼の喪失に関して、セキュリティのインシデントがどのような結果をもたらすか、リスク評価はカバーしている か。リスク評価は、インフラストラクチャが操業停止になったときに、どんな結果が生じるかを判断しているか CEO が、情報セキュリティ評価を要請しており、結果をスタッフと検討し、取締役会に報告しているか 情報セキュリティのインシデント/緊急事態に対処する、有効で実証済みのプロセスがあるか 業務継続/災害復旧計画が実施されているか。この計画は実際の状況で検証されているか。定期的にテストが行われているか リスク評価は、どの情報資産が法律と規制に準拠しているかを考慮しているか。リスク評価は、法律と規制への準拠性を保証するための十分な手続きに つながっているか 情報セキュリティのリスク評価は、IT マネジメントおよびビジネスマネジメントの会合で通常基本方針の項目であるか。役員は改善のイニシアチブを追求 しサポートしているか 組織にはセキュリティ戦略があるか。もしそうであれば、このセキュリティ戦略はビジネス全体の戦略と緊密に整合しているか 情報セキュリティとビジネス目標の整合を保証するための、現在行われているプロセスがあるか 人員がそのセキュリティについての責任を意識した状態を保証するための、適切な訓練と意識向上プログラムがあるか 情報資産が十分に保護されていることを保証するための、情報資産分類プロセスが実施されているか 出典: IT ガバナンス協会,『情報セキュリティ ガバナンス -取締役と役員に対するガイダンス』、第2 版, 2006 69