ASM 2025.03.28

情報セキュリティガバナンス確立のために、情報セキュリティ管理者がやるべきことは？

3行でわかる本記事のサマリ

情報セキュリティガバナンスをサプライチェーン全体に適用することが求められている
ガバナンス確立のためには、モニタリングを適切に実施する必要がある
セキュリティリスクレーティングでサプライチェーン全体をモニタリングできる

はじめに

情報セキュリティに関する脅威は日々増大しており、グループ企業や取引先を含めたサプライチェーン全体での情報セキュリティガバナンス確立は、企業にとって喫緊の課題となっています。

情報セキュリティガバナンス確立のために具体的な対策を実施している情報セキュリティ管理者は、「現状の取り組みで十分なのか」と悩み、より効果的で効率的な方法を探している方も少なくありません。

本記事では、経済産業省の「情報セキュリティガバナンス導入ガイダンス」に基づいて、情報セキュリティガバナンスの定義や適用範囲、フレームワークについて解説します。また、管理者が行うべき対策と、効率化するための方法についてもご紹介します。

　※出典：経済産業省「情報セキュリティガバナンス導入ガイダンス」
　　https://www.meti.go.jp/policy/netsecurity/docs/secgov/2009_JohoSecurityGovernanceDonyuGuidance.pdf （参照2025-03-12）

情報セキュリティガバナンスの定義と適用範囲
情報セキュリティガバナンスのフレームワーク
2-1. フレームワークの構成
2-2. 情報セキュリティ管理者に求められる役割
セキュリティリスクレーティングでモニタリングを効率的に実施
まとめ

1. 情報セキュリティガバナンスの定義と適用範囲

企業が経営を続けていく上では、さまざまなリスクと向き合わなければなりません。サイバー攻撃によって企業の情報資産が被害を受けるリスクが高まっている昨今では、情報セキュリティガバナンスの確立が、重要な経営課題の一つとなっています。

情報セキュリティガバナンスの定義は、情報セキュリティに関する意識や取り組み、それらに基づく業務活動を企業内で徹底させるための仕組みを構築し、運用することです。この仕組みの中には、企業内の状況をモニタリングする仕組みと、状況をステークホルダーに開示し、ステークホルダーからの評価を受ける仕組みも含まれます。

情報セキュリティガバナンスの適用範囲は、個別企業、グループ企業、サプライチェーンを構成する企業、いずれの捉え方も可能とされています。ただし、近年ではサプライチェーンの弱点を狙った攻撃による被害が数多く報告されているため、サプライチェーン全体を適用範囲として考えることが重要です。

2. 情報セキュリティガバナンスのフレームワーク

2-1. フレームワークの構成

情報セキュリティガバナンス導入ガイダンスによると、フレームワークは以下の5つの活動で構成されます。

①方向付け（Direct）

経営陣は、「さまざまな経営リスクを横断的に捉え、どのリスクにどのような姿勢で取り組むのか」というリスク管理の方針を提示します。その方針に基づいてCISO（最高情報セキュリティ責任者）は、情報セキュリティの目的・目標と、その実現のために必要な体制を設定します。各組織における情報セキュリティの管理者は、情報セキュリティ目的・目標を実現するための具体的な管理策を立案します。

②モニタリング（Monitor）

上記の方向付けに従って、適切にリスク管理がなされていることを示すために必要な情報を収集します。経営陣、CISO、管理者がそれぞれの立場で、方向付けした内容に合わせてモニタリングを行うことが重要です。

③評価（Evaluate）

モニタリングの結果をもとに、経営陣はリスク管理の方針について、CISOは情報セキュリティ目的・目標について、達成できたかどうかを評価します。達成できていない場合は原因を分析し、必要に応じてリスク管理の方針や情報セキュリティ目的・目標を見直します。

④監督（Oversee）

監査役がここまでの方向付け、モニタリング、評価の活動が適切に実行されてきたかを確認し、問題点があれば改善を促します。

⑤報告（Report）

経営陣は、株主、取引先や顧客、従業員、社会全体を含めたステークホルダーに対し、情報セキュリティに関するリスク管理の状況について報告します。

情報セキュリティガバナンス1.png

　※出典：「情報セキュリティガバナンス導入ガイダンス」（経済産業省）
　　https://www.meti.go.jp/policy/netsecurity/docs/secgov/2009_JohoSecurityGovernanceDonyuGuidance.pdf を加工して作成

2-2. 情報セキュリティ管理者に求められる役割

前項で紹介したフレームワークでは、経営陣、CISO、情報セキュリティ管理者がそれぞれの役割を果たすことが求められています。その中でも、管理者にとって特に重要なのがモニタリングです。管理者が設定した情報セキュリティ管理策への適応状況をモニタリングし、結果を報告することで、CISOと経営陣は評価のステップに進むことができるようになります。

管理者が実施する2種類のモニタリングについて説明します。

①アンケートや内部監査

数値化されない定性的な情報を集めるのに適した方法です。例えば、情報セキュリティ基本方針を責任者に周知し理解しているか、あるいは保有しているパソコンのセキュリティ点検を行っているかといった点などを調査します。

②システムによる情報収集

定量的な評価を行うための方法です。例えば、各種の機器で発生するログやイベントメッセージを収集して分析します。また、サーバなどの機器に関しては、脆弱性やリスクの有無の直接測定を行うと効果的です。

情報セキュリティ管理策への適応状況を定性的な面と定量的な面から確認するためには、2種類のモニタリングを組み合わせることが重要です。しかし、システムによる情報収集は自社内では可能でも、グループ企業やサプライチェーンに対しては直接アクセスできないために難しい場合もあります。結果として、アンケートのみ実施している企業も多いのが現状です。

では、サプライチェーン全体に対して定量的な評価を行うにはどうしたらよいのでしょうか。次項では、サプライチェーンを効率的にモニタリングできるサービスとして注目を集めている「セキュリティリスクレーティング」について解説します。

3. セキュリティリスクレーティングでモニタリングを効率的に実施

セキュリティリスクレーティングは、外部から見たときの攻撃者からの狙われやすさを点数として表示するサービスです。ドメインを指定するだけで、外部公開サービスやIPアドレスを洗い出して調査し、点数化します。擬似的な攻撃を行うペネトレーションテストとは異なり、非侵入型の調査方法なので稼働中のシステムに影響を与えません。

セキュリティリスクレーティングのメリットは、情報セキュリティガバナンスの対象となる個別企業、グループ企業、サプライチェーンを構成する企業の全てをモニタリングできる点です。レポート化も行えるため、モニタリングに関する管理者の作業負担を軽減できます。

出力されたレポートはCISOや経営陣、監査役、あるいは外部のステークホルダーに対する説明資料としても使えます。すなわち、情報セキュリティガバナンスのフレームワークにおける「評価」「監督」「報告」の活動もカバーできるため、幅広く活用できます。

4. まとめ

情報セキュリティガバナンスの確立は、経営陣が示したリスク管理の方針と、CISOが設定した情報セキュリティ目的・目標の達成によって実現されます。そのためには、企業内の各組織における情報セキュリティ管理者が対策を実施し、適応状況についてモニタリングを行うことが不可欠です。サプライチェーン全体の定量的なモニタリングを効率的に実施できる方法の一つが、セキュリティリスクレーティングです。