一般社団法人 先端技術産業戦略推進機構
トップページ
セミナー・講演会のご案内
先端技術産業戦略推進機構について
事業概要
セミナー・講演会の開催結果
調査研究一覧・詳細情報
出版物・広報誌
中小企業技術経営大学校
入会のご案内
サイトマップ
お問い合わせ(メール)

講演内容概要


[第120回研究会] 情報通信部会研究会
情報セキュリティガバナンスと情報セキュリティ監査

日  時: 平成21年9月30日(水) 午後2時-午後3時30分
会  場: 如水会館2階「ペガサス」(東京・竹橋)
講  演: 『情報セキュリティガバナンスと情報セキュリティ監査』
土居 範久 氏 中央大学 理工学部 教授

 情報社会の進展により、IT(情報技術)は経済をはじめ行政上の諸活動、国民生活の様々な分野において、必要不可欠な社会基盤を構成するようになった。それに伴い、インターネット上でのウィルス対策や、侵入防止、なりすまし、改ざんといったセキュリティの技術的課題に加え、昨今では、社内における情報管理、個人情報の漏えい、システム障害による被害など、企業の内部統制に踏み込んだ経営課題として、総合的な情報セキュリティ対策が問われるようになってきている。
 折しも企業の社会的責任が問われる中、情報セキュリティの確保もその根幹をなすものと認識され、組織全体での具体的取り組みが問われている。経済産業省においても、05年「企業における情報セキュリティガバナンスのあり方に関する研究会」報告書において、情報セキュリティの観点からコーポレート・ガバナンスの仕組みを構築・運用するための「情報セキュリティガバナンス」を定義、その具体的な取り組みや仕組みを提供している。
 今回の情報通信部会は、上記の研究会座長をつとめられた他、文部科学省科学技術・学術審議会委員、総務省情報通信審議会委員、経済産業省産業構造審議会専門委員などを歴任され、政府の情報セキュリティ政策の策定に全般的に参加されている、中央大学教授 土居範久 先生をお招きして、企業における情報セキュリティガバナンスのあり方についてご講演頂いた。(土居先生は本年7月よりHIA 理事・情報通信部会部会長にご就任)

 インターネットの爆発的普及等を通じて、ITはネットベンチャーやハイテク産業といった特殊な世界の出来事から、家庭での電子メール活用、職場での一人一台PCなど、身近な生活の出来事に変化した。産業の現場でも、電子商取引の拡大、自動車の電子制御化などのように、ソフトウェア化・ネットワーク化が進展。今やITは、産業・社会の隅々に浸透し、物理的活動等を代替し、社会の「神経系」にまで進化している。
 その反面、情報システムに関する脅威も増大している。経済システムと情報システムが密接に絡み合うことで、リスクがどこにどれくらいあるのか、識別・評価が極めて困難になっている。サイバー恐喝、標的型攻撃メール、フィッシング詐欺等の新たな脅威に関する事件や、中国などの海外からの不正アクセスによる情報流出等も増加。また近年、コンピュータウィルス・ワームの感染拡大、企業の保有する機密情報・個人情報の流出による金銭的被害がもたらす企業経営への影響が顕在化してきた。システムダウンによる業務の停滞等の「IT事故」が相次いで発生し、社会全体に影響が波及する事例も発生している。
 これに対処するには、技術的対応とマネジメント的対応が不可欠であり、情報セキュリティ監査制度(管理・監査・認証等)、そして情報セキュリティガバナンスも有用である。
 ところが、監査制度については、実施件数は確実に増加しているが、管理基準の改正による詳細管理策の見直しや事例セミナーの実施、監査に対する理解を促進することにより、より意識を高めることが必要であろう。
 一方、情報セキュリティガバナンスに関しては、費用対効果が見えない、どこまで行うかの基準がない、という理由から、我が国企業の緊急事態対応計画は策定済み、作成中を合わせても20%に満たない。IT事故の発生可能性をなくすことはできない以上、IT事故発生時の被害局限化と早期復旧が重要であり、情報セキュリティガバナンスを確立することにより企業が社会的責任の観点も踏まえた形で情報セキュリティ対策に積極的に取り組むことが急務とされる。
 注意すべきは不要な情報まで開示されることがないよう配慮が必要であること。問題点を克服し、企業が情報セキュリティガバナンスの確立を促進するために経済産業省の研究会とIPA とで開発した
(1)情報セキュリティ対策ベンチマーク
(2)情報セキュリティ報告書モデル
(3)事業継続計画策定ガイドライン
を活用することが望まれる。
そうした取り組みを通じて、企業の社会的責任とコーポレート・ガバナンスを支えるメカニズムである内部統制の仕組みを、情報セキュリティの観点から企業内に構築・運用すること、すなわち真の意味での「情報セキュリティガバナンス情報セキュリティガバナンス」の確立と、安全な情報社会の形成が求められる。