見える化から始める情報セキュリティマネジメントシステム
コンサルタント 村木 良知
2009年7月24日(金曜日)
多くの企業で情報セキュリティ投資が一段落し堅調な推移を見せる中、より無駄のない情報セキュリティ推進と、情報セキュリティ投資に対する根拠ある効果測定が、大きな課題として浮上しています。
こうした情報セキュリティを推進・管理する枠組み(情報セキュリティマネジメントシステム)の現状を見える化し、再構築につなげる取り組みの事例として、本稿では、製造業X社様のケースをご紹介します。
- 事例概要
X社様では、今までコーポレート部門が個々の守備範囲の中で情報セキュリティを推進し、グローバル全体で基本レベルの情報セキュリティを実現達成してきました。しかし、企業経営における情報管理の重要性が高まる中、より効果的・効率的な推進実現に向け、全社的な見直しが求められていました。
富士通総研では、情報セキュリティに関する他社事例や統計データ等の外部動向調査に基づき、X社様の主要課題を体系的に見える化し、あるべき姿に向けたマネジメントシステム構築を支援しております。 - X社様の課題
情報セキュリティを効果的に推進するには、情報資産や業務の特性だけでなく、事業を展開する地域ごとの法制度や商慣習を考慮することが不可欠です。
我々はグローバルに事業を展開しているX社様に対し、情報セキュリティ推進体制・マネジメントプロセスの観点から現状を見える化し、次のように主要課題を定義しました。
【主要課題】
- 推進体制の曖昧化
課題共有の場・経営者による方向付けの場・リスク特性に応じた検討の場が不明確であるなど、情報セキュリティ推進のための組織・運営体制が曖昧になっていました。 - 海外事業部門や子会社における統制の不徹底
海外組織にも責任者を任命し、傘下企業への統制を図っていましたが、地域特性に即した方針・対策の徹底は十分ではありませんでした。 - IT対策の経営効果が不明確
ネットワークやサーバ、パソコン等を対象に、様々なIT対策が講じられていましたが、対策導入による経営的な効果を測定する基準は未整備でした。
- 推進体制の曖昧化
- ブレークスルーに向けた取り組み
本事例の特色は、上述の課題可視化から、情報セキュリティ推進に関わる複数部門を巻き込んだあるべき姿の策定へ、活動を発展させている点です。様々な部門間調整が必要な情報セキュリティ推進において、複数部門を巻き込むことはブレークスルーの鍵と言えます。
複数部門合同で、あるべき姿の実現に向け、次のような考え方からアプローチを進めております。
【あるべき姿へのアプローチ】- 推進体制について
情報セキュリティ推進部門と管理対象を網羅的に整理し、組織・物理・人・ITの各情報セキュリティ分野における対策の主管部門と、その支援的な位置づけの関連部門とを明確化しました。主管部門と関連部門がスムーズに連携し、意思決定を行えるよう、委員会・会議体のシンプル化をコンセプトに、意思決定体制のあるべき姿を検討しております。 - 海外における統制について
推進・徹底の阻害要因を洗い出した上で、各地域へのガバナンス力を強化するための組織連携のあり方を中心に、新たな体制検討を進めております。 - IT対策の経営効果について
「対策費用の最適化」を経営効果と定義し、現状の従業員1人当たりの年間対策費用を試算しました。本数値を基準とし、セキュリティレベルを見直しながら費用を最適化していくスキームを検討しております。
X社様ではこれらの検討結果を基に、中期的に取り組むべき重点テーマ抽出が、今後予定されています。 - 推進体制について
- 新たな価値提供に向けて
投資状況も含め自社の情報セキュリティの現状を見える化し、あるべき姿の検討に取り組む企業はまだ多いとは言えない状況です。富士通総研は、これまでの実績や独自の調査内容に加え、富士通本体の情報セキュリティ推進部門と連携し、情報セキュリティマネジメントに関するノウハウを蓄積しています。
我々はこれらを活用し、お客様企業における情報セキュリティの推進効率化や経営貢献度の向上を支援して参ります。
関連サービス
富士通総研の情報セキュリティコンサルティングは、お客様が持つ機密情報や個人情報、その他の情報の漏えいや改ざんなどのリスク対応について、情報セキュリティの全体最適化を図った企画立案を支援します。