情報セキュリティ

ITガバナンスは、自社のIT導入や運用を組織的に管理する仕組みを指します。
　
今やビジネスに不可欠となったITを「IT部門任せ」にせず、IT投資や運用、リスク管理などを全社的課題として経営的な観点から取り組まねばなりません。

ITガバナンスの推進は、従来CIOが担うとされていました。
　
しかしそのCIOが、既存ITの安定運用にのみ注力してしまうと、ビジネス成長を鈍化させるリスクがあります。
　
今後は、DXにアクセルを踏めるCDOが、CIOを指揮しつつ先進的なITガバナンスを遂行できる体制を模索すべきです。

情報セキュリティとは、簡単に申せば「企業が有する情報資産の安全性を確保すること」です。
　
情報資産を有効活用することを考えると、情報セキュリティとは、安全性と利便性のバランスをとることと言えましょう。
　
なお、経済協力開発機構（OECD）のセキュリティガイドラインでは、この両者に「情報が間違いでないこと＝完全性」という要素を加え、「情報セキュリティの3大要素」としています。

「安全性」の定義・程度は、企業によって考え方が異なります。
　

安全性を反転させると「危険性＝リスク」となります。情報セキュリティを考える際は、まずリスク認識を整理することが必要です。リスク認識がないと、リスク対処方法が定まらなくなります。

情報セキュリティの検討は、社内で共通認識としたリスク認識のもとに、保護すべき情報資産と保護環境を構築し、モニタリングする流れで検討します。
　
セキュリティソリューションに飛びついてしまう前に、何がリスクかを検討しましょう。