情報セキュリティでは、対象とする組織や業務により、「コスト」、「セキュリティ」、「利便性」の相互要素が複雑に絡み合っているため、一律的なリスクマネジメントの確立は困難である。

そこで、経営戦略に基づいた情報セキュリティポリシーを満たす「バランスポイント」を見極め、当該組織や業務の状況に応じた投資対効果の高いセキュリティ対策を選定し、段階的に導入していくことを提案する。

さらに、情報セキュリティにおける「経営戦略とリスクマネジメントとの融合」へのステップは、経営者のみならず全従業員の「安全」から「安心」への架け橋であるという全社共通の認識の基で、①個別対策から全体最適へ、②情報セキュリティのリスクアセスメントによる「脅威・脆弱性の可視化」を実施することが必要であると考える。

特に、全体最適のためには、場当たり的な対応では効果的なセキュリティ対策にならない様に、経営基盤全体の計画と整合性の取れた全体最適解を模索すべきであり、全社レベルで秘密情報の安全管理を適材適所で選択し、情報セキュリティ確保のための業務プロセスや制度を確立し、全社レベルで意識して取り組んでいくことが重要である。

さらに可視化のためには、脅威・脆弱性と実施した対策にギャップはあるのか無いのか、あるとすれば「何を」、「どこまで」取り組めばよいのかを明確にし、各個別対策の全てについて定量把握による「実施状況の可視化」に向けて、マネジメントサイクルを自立的・継続的に強化するための全組織共通の尺度や指標を設定し、対応状況を継続してモニタリング・コントロールしていくことが重要である。

経営戦略とリスクマネジメントとの融合

以上、情報セキュリティにおける「経営戦略とリスクマネジメントとの融合」に向けての取組みについて提案したが、これまでの審査経験からポイントを以下に提言する。

①経営戦略実現の重要要素としてリスクマネジメントを位置づけ、両社の融合を推進する。

②セキュリティ対策は会社としての必須要件であることを全社員が認識する。

③課題は広く・深く分析し、技術的要素だけではなく制度的改革を考慮する。

④完璧はあり得ないが、及第点は狙える。

⑤相反要素のバランスポイントを常に求める。また、企業や組織、業務により見極める。

⑥要求レベルに応じた体制を確立し、適切に投資する。

⑦強制事項は徹底して守らせる仕組みを構築する。

⑧全社員の意識の高さがセキュリティレベルを決めることを認識し、啓蒙と教育を継続する。