情報セキュリティ監査とはどのような手法なのか(後編):HH News & Reports:ハミングヘッズ

ITをもっと身近に。新しい形のネットメディア

- Home > コラム > インタビュー記事 > 情報セキュリティ監査とはどのような手法なのか(後編)
 コラムトップページ
 インタビュー記事 ▼
 イベント・セミナーレポート ▼
公認会計士松澤大之
内部統制で変革すべき
は“個人の意識”
(動画あり)

永宮直史  公認情報セキュリティ主席監査人に聞く「情報セキュリティ監査とはどのような手法なのか(後編)」

公認情報セキュリティ主席監査人
永宮 直史
「情報セキュリティ監査とはどのような手法なのか(後編)」

大切な現場の声

―現場の声が、伝わってくるという所も大切ですよね。

現場の声について語る永宮氏
現場の声について語る永宮氏
永宮氏 実は独立した専門家の良さというのは、現場の人々が抱えていて、しかも企業内の誰にも相談できないでいる悩みを聞くことができることにもあります。誰にも言えない悩みを聞き取り、専門家としての立場できちんと理解した上で、企業に改善点を示唆できることが強みです。
 その際に、技術的で専門的な用語などを、伝える対象にわかる言葉に訳す必要があります。言葉を訳すことができなければ、技術レベルのリスクを理解している技術者同士では話が通じるが、経営者と対応方針をどうするかという話はできません。一方で経営者同士もマネジメントなどの話はできるが、現場レベルでの実情はわからない。このような水と油の世界になってしまうのです。
 したがって、それらを上手く翻訳できる専門家が必要になってくるといえます。

現場で感じること

―情報セキュリティの監査を行ってこられた上で、最近お気づきになられたことはありますか。それは、何年か前とはまた変わってきているのでしょうか。

永宮氏 まず1つ目ですが、最近心配しているのは、先ほど申し上げた形骸化です。つまり「経営者も現場も変わって、守るべき基準も変わっているはずなのに、方法というかたちだけが残っている」というものが出始めているのではないかということです。

 マネジメントには、どうしても文書化の要求があります。文書を作成すれば、様々な変化に対応して改訂し、実態と常に合っている状態にしなければなりません。しかし、日本の企業は頻繁に組織変更するので、極端に言うと規定文書の部の名前を変更するだけでも、ものすごく大変なことになりがちです。そのため、文書の改訂が追い付かず、実態に合わなくなる。しかし文書が実態に合わないと、やることも実態に合わなくなる。それで皆がなんとか今の実態に合わせるのに手一杯になってしまい、本来あるべきリスクに対する認識がだんだん抜け落ちてしまうのです。これが、今の日本の大きな問題だと最近思います。

 それから2つ目に、やはりリスクの概念が難しすぎて、なかなか理解しがたいのが現状です。それをどう話をしたらいいのか、あるいは整理をしたらいいのか――これはまだ最適な答えを探している段階です。
 常に「ある対策の後ろに、この対策で許容したリスクとは、こういうものがある」ということを引き継いでいく仕組みを作らないと、方法だけが伝わることになります。そのような現象を防ぐためにはどうすればいいのか、ということは様々な人の意見をいただきたいと感じています。

 経営者が、情報セキュリティについて非常にクリアな説明ができる場合は、情報セキュリティがしっかりできている場合が多いです。セキュリティがしっかりしている企業というのは、経営者がその都度、「こういうことをやってはいけない」「うちの会社はこれを守るんだ」ということをはっきり言うので、それだけで大体わかるものです。
 こういうメッセージが非常にあいまいな企業だと、現場もだんだんと混乱していきます。だから、情報セキュリティやリスク管理について明確な方針を持ち続けることは非常に重要なことです。

―日々変わりゆく経営に対して、毎回対応していかなければならないという、順応性の難しさというのがありますよね。

永宮氏 経営者は、刻一刻と変化する経営状況を全体から俯瞰する目が必要だと思います。技術者は経営者にわかる言葉で、現場レベルの技術的な問題意識を正確に伝える必要があります。このためには訓練が必要でしょう。若い人は年配の経営者が何を考えているのかわかりづらいものです。そもそもボキャブラリーから大きく異なりますので、専門的な用語を噛み砕いて誰にでもわかりやすく説明していく努力が必要です。

情報セキュリティ監査の理想像とは

―実際、監査の場面に接してきているお立場から、情報セキュリティ監査の理想像はどのようなものでしょうか。

情報セキュリティ監査の理想像について語る永宮氏
情報セキュリティ監査の理想像について語る永宮氏
永宮氏 企業に関わる人材のすべてがスーパーマンではありませんから、経営者が「自らの企業の弱みは何か」という大枠の中に、技術的な問題、特に情報技術の問題を含めて理解していなければなりません。
 企業の経営者が非常に謙虚で柔軟、かつ責任がとれることが第一です。一方で、現場の技術、中間管理職も含めて、お互いの役割が明確にわかっていて、お互いが同じ言語で話すことができるようになることが大切です。それがしかも常に第三者からチェックされること、つまり情報セキュリティ監査によってシステム自体が形骸化しない――そういうダイナミックな組織を作っていくことが企業経営の永遠の課題だと思います。

 世間一般として重要なことは「ダイナミックな経営」と常に言われていますし、経営は生き物です。その企業経営の中で、情報セキュリティという非常に技術に即した部分までも、正確にコミュニケーションがとれるような体制をどのようにして作っていくかが、理想に近づく道ではないでしょうか。
 そういうことを含めて、企業戦略の中で情報を有効に活用するためにも情報セキュリティ監査が必要なのです。



情報セキュリティ監査とはどのような手法なのか(前編)



※このインタビューとセキュリティプラットフォームは一切関係ありません。



(掲載日:2008年10月16日)

Back


お問い合わせ

  コラムトップページへ▲