Top Story（5）
着実かつ効率的に内部統制整備を進めていただくために
内部統制構築を支援する富士通のITソリューション

情報セキュリティガバナンスを強力に推進する
セキュリティアーキテクチャーとセキュリティソリューション

近年、企業経営においては、「コンプライアンス」「内部統制」の観点から、情報セキュリティに関するマネジメントの強化が不可欠となっています。富士通では、情報セキュリティ投資の有効性・効率性を追及する情報セキュリティガバナンスの考え方に基づき、効果的なセキュリティ投資を実現するエンタープライズセキュリティアーキテクチャーと、これに基づいて企業の情報セキュリティマネジメントを強化するセキュリティソリューションをご提供します。

情報セキュリティ対策を信頼確保のための
投資として捉える情報セキュリティガバナンス

今日の企業においては、ITシステムは業務に不可欠なインフラになっています。そして、このITシステムをリスクから守るために必要なセキュリティ対策を欠かすことができません。一般的に、これまではセキュリティ対策に掛ける投資金額は、IT全体に対する投資の3～5％程度であると言われてきました。今日の我が国においては、セキュリティ投資比率はそれ以上に増加しており、平均すると5％を超えるという調査報告も公表されています。（日本ネットワークセキュリティ協会「ITセキュリティ対策施策の導入・実施状況とその満足度調査」、2004年）
しかしその一方で、企業からの個人情報漏洩や社会システムのダウン等、重大なセキュリティ事故も後を絶ちません。このことは、いまなお多くの企業において、セキュリティ対策がいわば「場当たり」的な発想で行われており、投資に対するセキュリティ対策効果が思うように現れていないという現実の状況を示しています。
そこで、従来のように情報セキュリティ対策を後ろ向きの出費とみなし、場当たり的に対応するのではなく、逆に適切な情報セキュリティ対策で、ITシステム及びITインフラを保護することが企業価値の向上につながると考え、信頼確保のための投資として企業全体で取り組む考え方が提唱されるようになりました。これが「情報セキュリティガバナンス」と呼ばれる概念です。
情報セキュリティガバナンスの目標の一つは、導入している情報セキュリティ対策の効果を客観的に第三者に説明できるようにすることです。即ち、情報セキュリティ対策の有効性（対策として役に立っているか）と効率性（効果に対して投資が過剰になっていないか）を、株主をはじめとするステークホルダーに説明できることが必要です。

効率的セキュリティ投資に不可欠な
エンタープライズセキュリティアーキテクチャー

近年のシステムのオープン化に伴い、利用者は自らの責任で各構成機器を選択しなければならなくなりました。機器同士の相互接続性、データフォーマットの一致、管理方法の整合性等、統一したシステムとして運用するために、利用者は細心の注意を求められます。結果的に、不適切な組み合わせによる事故や問題が多数発生することになり、「情報セキュリティは難しい」「情報セキュリティはコストがかかりすぎる」という概念が定着してしまいました。

[図6]ESA不在の問題点

この問題を解決するのが「エンタープライズセキュリティアーキテクチャー（ESA）」です。ESAは、企業内における情報セキュリティ対策の技術的な基本方針を明確化する文書です。企業は、情報セキュリティ対策のシステムを構築する場合、あるいは機器を調達する場合に、常に自社のESAへの適合性をチェックします。その結果、ESAに適合しないと認められたシステムや機器は、企業内で採用することは認められません。こうすることで、企業内の情報セキュリティは統一的で整合が取れたものになり、セキュリティ投資の有効性と効率性が保証されます。

ページの先頭へ

前へ 1 2 3 4 5 6 7 8 次へ