一般に階段を上がるのは、キツイものです。楽な方法はないかな?と、ネットを検索すると筋肉の鍛え方や、身体の使い方や、そもそも体重を落とすこと、など色々な指南が見つかります。見ていてそれぞれなるほど、と思ったのですが、ふと気づいたのは、インターネットは商売をして儲けたいという人々が多く発信する場ですから、何らかのサービスや商品に話がつながる情報も多いということです。

そこで自分の頭で考え直してみると、楽しく喋りながら上がるという小学生の頃には当たり前だった光景が浮かんできました。大人になってもそこそこ歳がいっても、人と夢中になって話しながら登る階段や坂は、何てことありません。

さて、比喩ではありますが、ガバナンスの質を上げていくための階段を上がるのも、実に大変な労力が要るものです。コーポレートガバナンスももちろんそうですが、サイバーセキュリティのガバナンスには、また独特の難しさがあります。世界的にも企業におけるサイバーセキュリティのガバナンスの質の向上が長年課題とされていますが、いったいどのような階段が何段あって、世界の一流企業は、どのくらい上まで行っているのでしょうか。そして楽な方法は本当にあるのでしょうか。

まずは、何階まであるのかということですが、いつもの通り、ISFの数え方をご紹介しましょう。

(ここから引用)


情報セキュリティガバナンスの5階梯を上り詰める

Published:March23,2023
SOURCE:Forbes 
SteveDurbin,ChiefExecutive,InformationSecurityForum
 

出典:GETTY

情報セキュリティのガバナンスとは、さまざまなリスク軽減の取り組みを会社全体のビジネスと整合性のある戦略となるよう、束ねて方向付ける指針と言えます。とは言え、企業は絶え間なく変化する状況の中で活動するダイナミックな存在ですから、各社でサイバーセキュリティ機能の成熟度も異なり、優先すべき諸課題は一様でないこともあり、一口にガバナンスと言っても非常に難しいものがあります。

ガバナンスの方向性を誤ると、企業はさまざまなリスクにさらされ、セキュリティ体制全体が弱体化する可能性も出て来るわけですが、積極的にガバナンスに取り組むことによって、サイバー攻撃に対する耐性を高め、ひいては長期的なビジネスの成功に大きく貢献することにつなげて行くことができます。

では、どうしたら会社として、積極的にガバナンスに取り組んでいけるのでしょうか?それについては、情報セキュリティ担当者の能力とスキルが高まるだけでなく、情報セキュリティ機能が成熟していくことに秘訣があると言えるでしょう。

セキュリティ成熟度の5階梯と、ガバナンスへの作用

企業におけるセキュリティの成熟度は、5階梯に分類することができます。さっそく、それぞれの階梯はどのようなものか、情報セキュリティを自社の目標や戦略とうまく連携させるためには、どのような戦略をとればよいかをご説明していきたいと思います。

1.アドホックなガバナンス(1階)

新興企業や中小企業においては、ガバナンスが未発達な状態にあることは珍しくはありません。そうした企業は、セキュリティの行動様式においても同じ特徴が見られますが、ポリシーやコントロールやアクションといったものが会社の安全性を高めているのかどうかを見極めるという考えは無く、さまざまな活動が無秩序に混在している状態です。

この段階においては、情報セキュリティの機能も専門部隊としては存在せず、ほとんどの担当者は、計画的にガバナンスにかかわるよりも、むしろシステムの維持運用に多く携わっている状態です。

こういう状態にある場合、まずは、すべてのセキュリティ活動をログや記録で保持し、何が何故行われたのかを明示することが望まれます。また、セキュリティ担当者のスキルや能力について記録しておくことも望まれます。そうすることで、現時点でセキュリティが機能として行えていること、今後すべきこと、そしてそれが実行できるかどうか、の間にどれくらい開きがあるかが明らかになるからです。

2.基本的な体制とプロセスの確立(2階)

この段階になると、場当たり的にバラバラに対応していた状態のガバナンスから一段上がったことを意味します。セキュリティ機能がこの階層を目指す動機は幾つかあります。突然規制当局に対応しなければならなくなった、重大なインシデントが発生してセキュリティの行動様式についてメスが入った、企業買収によって従来のガバナンスプロセスに変化がもたらされた、などが挙げられるでしょう。

この場面では、セキュリティ実務に関する理解は得られつつありますが、ポリシー、スタンダード、そしてコントロールが従業員の日々の業務をこなすのにどう影響するかについては、それほど理解されているという訳ではありません。

そこで、まずセキュリティ機能が基本方針を定義し、自社がコンプライアンスや規制上の義務を確実に果せるようにして、正しくサイバーセキュリティをすることはどういうことなのか、という基本的な期待値を設定することが重要になってきます。これには、個別のポリシー策定を行うべき人々の名前を明記することも含まれます。セキュリティ機能は、ポリシーをアーカイブする全社リポジトリを作成し、ポリシー案が出されると、誰が、なぜ、何を、いつ、どこで、どのようにセキュリティに対処するのかを確認できるようにします。また、セキュリティ機能は、各ポリシーを採用することで今の仕事のやり方がどうなるのか、影響と効果についても評価を加え、ポリシー群を定期的に改善するための見直しプロセスも確立します。