必要なのは「規範・法律」「プロセス」「人・組織」「テクノロジー」の四つの視点

 では、情報セキュリティ対策の枠組みや方向性は、どのように定めればいいのか。それを描き出すためにアビームコンサルティングが提唱しているのが、「Security Quadrant」(セキュリティクアドラント)というフレームワークだ。

出典:アビームコンサルティング
拡大画像表示

 Security Quadrantは、「規範・法律」「プロセス」「人・組織」「テクノロジー」の4象限で構成されている。一般に企業の情報セキュリティ対策では、サイバー攻撃のブロックや、攻撃にさらされやすい脆弱性の発見・修復といったテクノロジー関連の対策ばかりに力点が置かれがちだ。

 しかし、山中氏は「情報セキュリティ対策では、最新のテクノロジーを導入するだけでなく、体制や運用を含めて総合的に強化していくことが非常に大切です。Security Quadrantは、そのために必要な要素を網羅しています」と説明する。

 例えば、「規範・法律」。言うまでもなく情報セキュリティ対策は、事業を行っている国や地域の法令に準拠すべきものである。「個人情報保護関連の法令はどうなっているのか」といったことを把握し、それに沿った情報管理のためのルールや運用プロセスを定めなければならない。法令は定期的に改正されるので、現状の体制やプロセスは最新の法令に準拠しているのかどうかを確かめ、アップデートする必要がある。

 二つ目の「プロセス」は、そうした変化に対応しながら、情報セキュリティ対策のための業務遂行手順を整備する取り組みである。現状の手順を確かめ、正しく実行されているか、手順そのものに抜けや漏れがないかをチェックし、改善する。

 三つ目の「人・組織」では、プロセスを実行する人材や組織に焦点を当てる。情報セキュリティ対策に関する目的意識が共有されているかどうか、十分な教育が施されているか、それぞれの責任や役割分担はしっかり認識されているかといったことを評価し、必要な人材の育成や組織づくりを行っていく。

 これら三つの取り組みをしっかりと行った上で、デジタル技術による脆弱性の把握やログ解析といった「テクノロジー」を必要な手段として活用する。この4象限を常に意識し、継続的な見直しを図っていくことによって、より万全な情報セキュリティ対策が実現されるのである。