IT統制について考える際、情報セキュリティを整備すれば、IT統制も整備できると思っている人は多い。もちろん異なった部分もあるが、IT統制を効率的かつ効果的に整備するためには、今まで整備してきた情報セキュリティの仕組みを活用すると効率的である。今回は、情報セキュリティの視点からIT統制を考えてみる。
そもそも、情報セキュリティとは何なのか?
情報セキュリティとは、簡単にいえば、情報資産を「安全な状態」にしておくことである。情報資産には、情報(データ)、情報機器、要員なども含まれる。また、安全な状態とは、情報資産の機密性、可用性、インテグリティ(完全性、保全性などのこと)が確保されている状態をいう。
情報セキュリティの国際規格であるISO/IEC 27001では、情報セキュリティを「情報の機密性、完全性、可用性を維持する事。真正性、責任追跡性、否認防止、信頼性といった特性を維持することを含めてもよい」としており、情報セキュリティを広くとらえているのが特徴だ。
一方、J-SOXにおける「ITへの対応」では、財務情報の信頼性の確保が目的なので、会計情報システムや販売情報システムなどの財務情報に関わる情報資産のインテグリティの確保が、その主な対象範囲になる。さらに、「経営に生かすIT統制」においては、情報資産を経営に活用していくためのIT戦略やIT計画もその対象に含まれ、情報資産の有効性や効率性の確保も対象となる。
情報セキュリティとIT統制の共通点と相違点
情報セキュリティとIT統制の共通点をもう少し詳しくみてみよう。両者とも、ITが対象になっている点は、共通している。また、情報セキュリティでは、情報が信頼できるものでなければならない。「ABC」と入力されたものは、「ABC」と出力されなければならないし、「1000円」と入力された場合には、「1000円」として、計算されなければならない。また請求処理が重複して行われることなどのないような機能を組み込まなければ、情報セキュリティは確保されない。
このような会計処理の正確性や完全性の確保については、経営に生かすためのIT統制でも、J-SOXにおけるITへの対応でも共通するものである。
こうした類似点に対し、情報セキュリティとIT統制の大きな相違点は、情報セキュリティが情報資産の機密性、可用性、完全性を対象にしているのに対して、IT統制が戦略性、有効性、効率性なども対象としている点にある。
本来のIT統制は、ITが経営目標の達成に寄与するようにITを統制するものである。つまり、「IT戦略が適切なものか」、「導入したまたは導入しようとするITが経営戦略的に見て有効なものなのか」、「ITが効率的に運用されているか」、「システム開発などのIT導入における生産性向上は図られているか」、といった視点からITを整備するのである。
情報セキュリティをどのようにIT統制につなげるか
では、情報セキュリティをIT統制の整備にどのように役立てればいいのであろうか。企業では、システム障害、不正アクセス、情報漏えいなどを防止するために、情報セキュリティ対策を講じて、一定レベルの情報セキュリティを確保しているのが一般的だ。中にはISMS(情報セキュリティマネジメントシステム)の認証を取得している企業もある。このように構築した情報セキュリティの仕組みを、経営に活きるIT統制の整備に利用しない手はない。
こう考えると、IT統制のうち、情報資産の機密性、可用性、インテグリティの確保については、情報セキュリティの仕組みで一定レベルの水準が確保されているので、それ以外の部分を整備すればよいことが分かる。この際、注意しなければならないのは、情報セキュリティが全社的に整備されているのか、企業の中の一部の部門や事業所だけが対象になっているかどうかという点である。
ISMSは、部門や事業所単位に認証を取得できるので、まず認証を取得した範囲を把握する。それ以外の部分については、IT統制でカバーするのか、ISMSの対象を拡大していくのかを決めれば、IT統制と情報セキュリティを補完的に構築することが可能となる。
「経営に生かす」情報セキュリティとは?
ではさらに一歩先に進めて、情報セキュリティを経営に生かすためにはどうすればいいのだろうか? 情報セキュリティが企業活動の基盤となっていることを考慮すれば、ビジネス活動のITへの依存度が高い企業ほど、情報セキュリティの強化がビジネスの強化につながることになる。
例えば、システム障害がビジネスの継続に大きな影響を及ぼす場合には、セキュリティ対策によってシステムの可用性が高まり、ビジネスの基盤が強化される。
情報セキュリティを経営に役立てるためには、コントロール(対策)に注目するのではなく、ビジネスのITへの依存度に注目し、そのリスクを考えることが重要となる。そのためには、情報セキュリティありきではなく、ITありきでもない、ビジネスありきという発想で情報セキュリティを考えることが大切なのである。