企業のセキュリティレベルを"ベンチマーク" - 経産省の新たな取り組み

 

社会的責任にも配慮したコーポレートガバナンスと、それを支える内部統制の仕組みを、情報セキュリティの観点から企業内に構築・運用することを求める「情報セキュリティガバナンス」の確立について検討してきた経済産業省の私的研究会「企業における情報セキュリティガバナンスのあり方に関する研究会」は、最終の報告書を取りまとめ、公表した。

報告書では、情報セキュリティガバナンス確立を推進するため、「情報セキュリティ対策ベンチマーク」など、3つの施策が提示されており、これを受けて経産省は、ベンチマークを利用した自己診断サイトの開設、政府調達における入札基準への活用など、利用の促進を図っていく考えだ。

ITの拡大に伴い、ウイルスなどによるPCやサーバーに対する攻撃以外にも、さまざまな「IT事故」が発生している。IT事故では、最近でも、数十万規模に及ぶ個人情報の流出、航空機のトラブル、銀行ATMのトラブルなど、一般的なウイルスなどによる問題から、社会全体に及ぶ大規模なトラブルまで起きており、今回の研究会はこれを受けて設置、昨年9月から検討を重ねてきた。

今回の報告書では、企業がセキュリティ対策について投資を行う際に、(1)費用対効果が見えない(2)どこまで対策を行えばいいか基準がない--といった障害を抱えており、IT事故のような緊急事態が発生した場合の対応計画も、重要インフラを除くと7.9%しか策定していない、という現状の問題を指摘。その場しのぎの対策ではなく、情報セキュリティに積極的に取り組む必要性を訴える。

企業が対策に積極的になるために、報告書は、(1)投資判断のための指標(2)情報セキュリティに対する取り組みが企業価値向上に寄与する仕組み(3)IT事故発生時の対応を事業継続の観点から定める--という3点の課題を抽出、それに対応する(1)情報セキュリティ対策ベンチマーク(2)情報セキュリティ報告書モデル(3)事業継続計画策定ガイドライン--の3つのツールを提言した。

(1)は、企業を「高水準のセキュリティレベルが要求される層」「相応の水準のセキュリティレベルが望まれる層」「情報セキュリティ対策が喫緊の課題でない層」に分類、組織的な取り組み(7項目)、通信・システムの運用管理(5項目)、事故対応状況(3項目)など25項目をチェックすることで、自社のセキュリティレベルがどの位置にあるかを把握できる、というもの。今回、すでに作成したベンチマークを使って経産省が事前に行った調査から、「得点の高かった上位1/3における平均値を目標としつつ、全体平均値に達していない企業は、その値に早期に達することを暫定目標とする」という「望まれる水準」を設定。これを活用することで、経営陣への対策の推進が促せるほか、ISMS認証のような認証取得への指標が得られる。株主や顧客なども、この値を参考に、その企業のセキュリティレベルが把握できる仕組みだ。

(2)は、企業の情報セキュリティに関する取り組みのうち、社会的関心の高いものを情報開示、株主や投資家などから適正に評価されることを目指すもの。基礎情報から情報セキュリティに関する考え方、体制、目標など、報告書の記載は多岐にわたるが、企業の業態などに応じて任意の項目開示を認める方針で、これによって、顧客の信頼性、投資家らのリスク評価などにつながることを目指す。

(3)は、IT事故が発生したときなど、ビジネスをどう継続させるかを示した事業継続計画(BCP)と、それをマネジメントプロセスに組み込んだ事業継続マネジメント(BCM)の構築を検討する企業に向けたガイドラインで、基本的な考え方から具体的な計画の構築手順を説明、緊急時対応の手順やベストプラクティス事例も示すなど、企業内での説明にも有用、としている。

報告書では、企業だけでなく関係機関・業界、政府に対しても、リスク定量化ツールの提供や、損害保険における評価・料率算定へのベンチマークの適用、啓発活動に加え、政府調達にベンチマークなどを活用すること、内閣府中央防災会議の事業継続計画策定ガイドラインとの連携などの取り組みを求めている。

今後、経産省では、政府調達への活用について総務省と協議する意向で、さらにこれらを活用してもらうよう、業界団体や各企業への説明を実施、多くの参加を求めていく方針だ。情報セキュリティ対策ベンチマークについては、今年の秋ごろをめどにWebサイト上で公開していきたい考えだ。

今回の報告書で情報セキュリティガバナンス研究会は終了するが、ベンチマークなどは、今後の技術動向、社会情勢などを踏まえつつ、適宜改良を加えていく予定だという。

関連記事

医療機関、その個人情報保護法への対応は
[2005/3/29]
対策が不十分で個人情報漏えいが7割、情報窃盗の刑罰化も求める
[2005/3/25]
個人情報を漏えいしたら罰則を - 総務省
[2004/12/24]
情報セキュリティ基本問題委員会「第1次提言」を発表
[2004/11/16]
個人情報保護法施行に向け変化する経営リスク管理
[2004/10/7]
「基準に従っているから大丈夫」は危険なサイン - 企業の情報セキュリティ
[2004/9/15]
システムダウンで仕事できない……セキュリティ対策を怠る危険度は3倍に
[2004/9/14]
警察庁、情報セキュリティ政策大系を4年ぶりに見直し
[2004/8/21]
Microsoft社内のセキュリティ対策と日本政府の目指す情報セキュリティ
[2004/7/8]
世界最高水準のネットワーク社会からユビキタス社会実現へ - 情報通信白書
[2004/7/6]
上場企業のセキュリティ対策、いまだ低い水準に - 被害復旧コストは12億円
[2004/7/5]
個人情報、企業は「利用したい」、しかしセキュリティ対策は「遅れ気味」
[2004/3/4]
個人情報の漏えい防止へ、経産省が体制を整備 対処方針のガイドラインも
[2004/3/3]
ITの安全性評価・認証を国際的に相互承認する制度に日本も参加へ
[2003/11/4]
公正/公平なセキュリティ監査実現を目指す、日本セキュリティ監査協会設立
[2003/10/16]
Webアプリの危険性の対応について、経産省が対応求める、業界団体に
[2003/8/12]
【Internet Week 2002レポート】日本政府版"今そこにある危機" - サイバーテロを防止する(1)
[2002/12/24]
中小企業のセキュリティ対策、実施率は低いが意識の高まり - 総務省調査
[2002/9/17]


転職ノウハウ

あなたが本領発揮できる仕事を診断
あなたの仕事適性診断

シゴト性格・弱点が20の質問でサクッと分かる!

「仕事辞めたい……」その理由は?
「仕事辞めたい……」その理由は?

71%の人が仕事を辞めたいと思った経験あり。その理由と対処法は?

3年後の年収どうなる? 年収予報
3年後の年収どうなる? 年収予報

今の年収は適正? 3年後は? あなたの年収をデータに基づき予報します。

激務な職場を辞めたいが、美女が邪魔して辞められない
激務な職場を辞めたいが、美女が邪魔して辞められない

美人上司と可愛い過ぎる後輩に挟まれるエンジニアの悩み

人気記事

一覧

イチオシ記事

新着記事

【特別企画】カシオ「EXILIM」とリプレックス「Scene」の連携に見る - ハードウェアとサービスの幸せな関係
[07:00 9/28] スマホとデジタル家電
お金の神様 第20回 ボーナスが実力主義
[07:00 9/28] マネー
ココリコ、ガムを噛みながら打席に入る"メジャー級"の中学同級生が登場
[07:00 9/28] エンタメ
平井理央、"優良物件"のような同級生登場 - グループ交際でディズニーにも
[07:00 9/28] エンタメ
ランドセル選びってどうだった? ママ・パパ300人に直撃--35%が後悔した事は
[07:00 9/28] ライフスタイル

求人情報