人間とコンピュータの距離
わたしが新入社員だった30年ちょっと前の1990年、人間とコンピュータは距離がありました。
この時代のホワイトカラーの職場イメージをうまく切り取っているのが、映画「私をスキーに連れてって(馬場康夫監督)」です。この映画を見ると、社員の机にはパソコンが置かれていないことが分かります。もちろん、当時から伝票入力などの作業でコンピュータは使われています。ただ、日々の仕事でコンピュータを使う必要性はあまりありません。月末近くになると、入力端末が置かれている場所に社員が移動して作業していました。データ入力の仕事はほぼ女性社員です。若手の男性社員は事務所にいることは少なく外で商談をしていました。管理職は机でたばこを吸いながら新聞を読み、申請書が回ったら押印していました。
IT統制の策定
いまは人間の仕事とコンピュータが密接に関わっています。いや、仕事はコンピュータに依存しているとも言えます。
会社はルールを守り、健全な事業活動を遂行するため内部統制を定めています。その中でもITと業務の関わりについて定めたのがIT統制です。
普段おこなっている業務を効率的にこなすためにあらゆるシーンでITが導入されています。皆さんが勤めている会社のなかで稼働しているITシステムの数は、皆さんが想像するよりはるかに多いはずです。ですので、IT統制を策定するのは、相当に骨の折れる作業です。
しかし、ITの活用による標準化された業務手順を組織で共有化できるメリットは多く、IT統制の策定により次の効果が期待できます。
- 業務を効率的に遂行できる。
- システムの誤操作を軽減できる。
- 権限に応じたシステムの利用ができる。
一方、わたしたちの仕事がコンピュータに依存していることの脅威があります。コンピュータにウイルスなどのマルウェア感染が起きたり、災害による電源消失でサーバーが稼働しなくなったら、仕事が全くできない状態になるかもしれません。仕事がアナログからデジタルに変わることで、一見、統制が取れているようでも、ひとたびセキュリティ事故が起きると無秩序状態に陥ります。
障害を防ぐため、サーバーのCPUやメモリーなどのリソースを監視し、アクセス数に応じてスケールアウトとインを繰り返すことが大切です。
しかし、障害の予防策をとっても事故は発生する前提にたつべきでしょう。
情報セキュリティガバナンスとは
IT統制とともに検討するのが望ましいルールが「情報セキュリティガバナンス」です。この言葉は経済産業省の「企業における情報セキュリティガバナンスのあり方に関する研究会報告書」にて次のように定義しています。
- 社会的責任にも配慮したコーポレート・ガバナンスと、それを支えるメカニズムである内部統制の仕組みを、情報セキュリティの観点から企業内に構築・運用すること。
情報セキュリティガバナンスは、事故が起きることを前提として、情報セキュリティのCIAである機密性、完全性、可用性を維持するため、組織のリスク統治能力を高めることを狙いとしています。
「情報セキュリティガバナンス」の実行力を発揮するうえで、鍵となる組織がCSIRT(シーサート)です。CSIRTは、組織の情報セキュリティの責任を追う、CISO(最高情報セキュリティ責任者)の配下に置かれ、セキュリティインシデントを対応する組織の総称です。日本でCISOやCSIRTを設置している企業はまだ少数だと思いますが、情報セキュリティのリスクは高まる一方なので、これからはもっと増えていくと思います。
インシデントが発生した際は下図のような対応フローにのっとって実施します。このような対応フローは「情報セキュリティガバナンス」の設計の成果物であり、会社・組織により適宜策定されます。
