#4 CISSPで学ぶ「セキュリティガバナンス」
はじめに
記事の目的
本記事は、私がCISSPを目指して学習する中で得た知識や考え方を、自分なりに整理したものです。
同じようにCISSPを目指している方や、セキュリティに関心を持っている方にとって、学習の整理や理解を深めるきっかけになれば幸いです。
記事の対象者
- セキュリティに興味のある方
- 情報処理安全確保支援士取得後の勉強に困っている方
- CISSPを目指す方
セキュリティガバナンス
「組織のビジネス目標を達成するために、情報セキュリティをどのように方向づけ、制御するか」という仕組みのこと。
「セキュリティ対策(マネジメント)」と混同されがちですが、ガバナンスの本質は「経営層による統治」である。
他にもコンプライアンスと混同されることもあるが、コンプライアンスは倫理を守ることであり、ガバナンスは管理体制としての方向性を決めることである。
| 要素 | 説明 | 実施者 |
|---|---|---|
| ガバナンス | ステークホルダーとの信頼関係 | CEO、CIO、CSO |
| マネジメント | ビジネス目標の達成 | セキュリティ専門家 |
事業戦略との整合性
実行するセキュリティ対策が事業戦略を達成することができるかどうかを常に考える必要がある。
もし、そのセキュリティ機能が事業戦略の達成を妨げるようなものである場合は、そのセキュリティ機能を持たないという選択肢も視野に入れる必要がある。
お客さんに提供するサービスのセキュリティを完璧にしたいという考えは素晴らしいが、あまりにセキュリティを強固にし過ぎると、サービスの品質低下を招いてしまうかもしれない。
組織のプロセス
組織の意思決定は企業目標によって変化する。
ITガバナンス委員会
最高意思決定機関の一つであり、ルールを定め、変更し、その運用を監督(例外対応を含む)する場。
ルールに従い、ガバナンスの判断を行う。事業方針自体に関わるため、委員会の判断が変わることはほとんどない。そのため、理性的な判断が求められる。
買収/合併(M&A)、売却
買収、合併、売却した際にはそれぞれの会社のルールが全く同じということは無い。その際は、前提となっているガバナンスのルールの統合をする必要がある。
役割と責任
組織において誰がどんな役割を持っているかは理解しておく必要がある。ただし、企業によって体制は異なるため、以下に登場する役職が全ての企業に存在するわけではない。
| 役職 | 役割 |
|---|---|
| ビジネスオーナー(役員) | 組織において情報セキュリティの最高責任者であり、すべての資産を保護する責任がある。人員配置や、資金提供を確保し、企業目標を達成するための体制を整える。 |
| システムオーナー | 現場において情報セキュリティの最高責任者であり、セキュリティポリシーの承認やリソースの確保をする。また、メンバー間の対立を仲裁する役割もある。 |
| システム管理者 | システムオーナーのもとで実際に業務を行う者。パッチを当てたり、セキュリティインシデント等の報告をする。 |
| セキュリティマネージャ | 企業目標を理解しセキュリティポリシーの草案作成、セキュリティの運用管理を行う。 |
システム管理者は、システムの開発運用するチームと、セキュリティを担当するチームが別々で存在する場合もある。その場合は、開発運用チームがシステムによる実現性を検討し、そのシステムがセキュリティ要件を満たすかどうかをセキュリティチームが確認するという体制になる。
まとめ
- 事業目標を達成を促すセキュリティ機能を考えること
- ガバナンスとは利害関係者の信頼関係を維持するための管理体制
- マネジメントはガバナンスを前提として事業戦略を達成するために現場を管理すること
- ビジネスオーナーは企業の最高責任者、システムオーナーは現場の最高責任者、システム管理者は現場の作業者である
- セキュリティマネージャーは企業がセキュリティを守れているか監視し、ビジネスオーナーに助言などを行う
関連記事
注意事項
この記事の内容は、筆者の理解をもとに執筆していますが、一部に誤りが含まれている可能性があります。また、学習する際はAIを活用しております。もし不正確な箇所や改善点を見つけた場合は、ぜひコメントやフィードバックでお知らせいただけると幸いです。
より正確な情報を提供できるよう、随時修正・更新を行っていきます。
ご理解とご協力をよろしくお願いします。
Discussion