sg sg-security-management isms risk_assessment business_management
まず結論
情報セキュリティガバナンスとは、経営の目的に合うように、情報セキュリティの方針・責任・管理の仕組みを整える考え方です。
SG試験では、単に「セキュリティ対策をすること」ではなく、経営として情報セキュリティをどう方向付け、監督するかを問われることが多いです。
特に注意したいのは、ITガバナンスとの関係です。
情報セキュリティガバナンスとITガバナンスは、完全に別物ではありません。
また、どちらかが必ずどちらかを丸ごと含む、という単純な関係でもありません。
組織の中では、どちらもコーポレートガバナンスを支える仕組みであり、範囲が重なる場合があると考えるのが大切です。
直感的な説明
会社を1つの建物にたとえると、ITガバナンスは、業務で使うIT全体を安全で効果的に使うための「建物全体の管理方針」に近い考え方です。
一方で、情報セキュリティガバナンスは、その建物の中で、重要な情報を守るための「防犯方針」や「管理ルール」に近い考え方です。
ただし、実際の会社では、ITと情報セキュリティはきれいに分けられません。
例えば、次のような場面です。
- クラウドサービスを安全に使う
- 顧客情報を扱うシステムの権限を管理する
- 外部委託先に情報を渡すときのルールを決める
- インシデント発生時の報告体制を整える
これらは、ITの利用にも関係しますし、情報セキュリティにも関係します。
そのため、SG試験では、「ITガバナンスと情報セキュリティガバナンスは重なることがある」という見方が重要になります。
定義・仕組み
情報セキュリティガバナンスは、情報セキュリティを経営課題として扱うための仕組みです。
ポイントは、現場担当者だけでなく、経営層が方向性を示し、責任を持つことです。
主な考え方は、次のとおりです。
| 観点 | 内容 |
|---|---|
| 方向付け | 情報セキュリティの方針を経営目的に合わせる |
| 責任 | 誰が判断し、誰が説明責任を持つかを明確にする |
| 管理 | リスク、対策、教育、委託先管理などを継続的に見る |
| 評価 | ルールが作られているだけでなく、有効に機能しているか確認する |
JIS Q 27014:2015は、情報セキュリティガバナンスについての概念及び原則に基づくガイダンスを示す規格です。規格情報は、日本規格協会のJIS Q 27014:2015ページで確認できます。
ここで大事なのは、情報セキュリティガバナンスが、単なる技術対策ではないことです。
例えば、ウイルス対策ソフトを入れる、ファイアウォールを設置する、ログを取る、といった対策は重要です。
しかし、それだけではガバナンスとはいえません。
情報セキュリティガバナンスでは、次のような上位の判断が必要になります。
- どの情報資産を重要とするか
- どのリスクを受け入れ、どのリスクを低減するか
- 事故が起きたとき、誰がどこまで責任を持つか
- 委託先やクラウド利用をどの基準で管理するか
- 教育・訓練をどのレベルで継続するか
つまり、情報セキュリティガバナンスは、個別の対策をバラバラに行うのではなく、経営の方針に沿って統制するための考え方です。
どんな場面で使う?
情報セキュリティガバナンスは、組織全体で情報セキュリティを管理する場面で使われます。
代表的な場面は、次のとおりです。
| 場面 | 情報セキュリティガバナンスで見ること |
|---|---|
| 情報セキュリティ方針の策定 | 経営方針と合っているか |
| リスクアセスメント | 重要な情報資産とリスクを把握しているか |
| 委託先管理 | 外部委託先にも必要な管理を求めているか |
| クラウド利用 | 利用部門任せにせず、組織として管理しているか |
| インシデント対応 | 報告・判断・責任の流れが決まっているか |
| 教育・訓練 | ルールを作るだけでなく、従業員に定着させているか |
SG試験では、技術的に正しい対策を選ぶだけでなく、組織として管理できているかを判断させる問題があります。
選択肢では、次のように書かれていたら注意です。
- 「情報システム部門だけが決めればよい」
- 「技術的対策を導入すれば十分である」
- 「現場の運用に任せ、経営層は関与しない」
- 「ITガバナンスとは独立しており、重なることはない」
これらは、情報セキュリティガバナンスの考え方から外れやすい表現です。
情報セキュリティガバナンスでは、情報セキュリティを経営・組織・運用を含めて管理すると考えます。
よくある誤解・混同
情報セキュリティガバナンスで混同しやすいのは、次の3つです。
| 混同しやすい用語 | 違い |
|---|---|
| ITガバナンス | IT全体を経営目的に合うように管理する考え方 |
| 情報セキュリティガバナンス | 情報セキュリティを経営目的に合うように管理する考え方 |
| ISMS | 情報セキュリティを継続的に管理するためのマネジメントシステム |
ITガバナンスとの違い
ITガバナンスは、IT投資、システム戦略、ITサービス、ITリスクなど、IT全体を経営に役立てるための統制です。
情報セキュリティガバナンスは、その中でも情報セキュリティに関する方向付けや監督を扱います。
ただし、ITを使わない情報管理や、紙の書類、人的管理、委託先管理なども情報セキュリティに関係します。
そのため、試験では、「情報セキュリティガバナンスはITガバナンスに完全に含まれる」と決めつけないことが大切です。
ISMSとの違い
ISMSは、情報セキュリティを継続的に改善するための管理の仕組みです。
一方で、情報セキュリティガバナンスは、より上位の視点で、経営として情報セキュリティを方向付け、監督する考え方です。
ざっくり整理すると、次のようになります。
- ガバナンス:経営として方向付け、監督する
- マネジメント:方針に沿って計画し、実行し、改善する
- 管理策:具体的な対策を実施する
SG試験では、経営層の関与、責任、方向付けが出てきたら、情報セキュリティガバナンスの視点で考えると判断しやすくなります。
典型的なひっかけ
選択肢では、次のような表現がひっかけになりやすいです。
| 選択肢の表現 | 判断 |
|---|---|
| 情報セキュリティガバナンスとITガバナンスは重複する場合がある | 正しい |
| 両者は完全に独立しており、重複しない | 誤り |
| 情報セキュリティガバナンスはITガバナンスに必ず全部含まれる | 誤りになりやすい |
| 情報セキュリティガバナンスはITガバナンスを必ず全部含む | 誤りになりやすい |
| 技術的対策を導入することだけがガバナンスである | 誤り |
判断の基準は、「経営として情報セキュリティを方向付け、組織全体で管理する話か」です。
まとめ(試験直前用)
- 情報セキュリティガバナンスは、経営視点で情報セキュリティを方向付け、監督する考え方
- ITガバナンスとは完全に独立しない。組織内では範囲が重なる場合がある
- 「どちらかが必ず丸ごと含む」と決めつける選択肢は注意
- 技術対策だけでなく、方針、責任、リスク、教育、委託先管理まで含めて考える
- SG試験では、経営層の関与と組織全体の管理があるかで選択肢を切る
🔗 関連記事
- アクセス権限管理とは?付与・変更・削除の流れを整理【SG試験】
- 管理者権限とは?特権的アクセス権との違いを整理【SG試験】
- 情報資産台帳とは?リスク管理の出発点を整理【SG試験】
- 保証型監査と助言型監査の違い【SG試験】
- 監査とは?証拠にもとづいて有効性を確認する考え方【SG試験】