情報セキュリティマネジメント

2000年前後より急速に整備の進むISMS規格を中心に情報セキュリティ関連の国際標準を主な情報源としつつ、他方では国内の企業実態調査を行い、情報セキュリティの基本要件・課題・方策を整理している。次に、エンタープライズアーキテクチャにおけるセキュリティの扱いについてTOGAFなどの国際標準を参照し、組織の業務とITを総合的に描写するエンタープライズアーキテクチャの情報セキュリティに対する応用の方策を検討した。そして、リスク分析手法の整備と情報セキュリティマネジメントにおける経営陣の役割の強化が課題解決の基盤になると判断し、数理的なリスク分析手法の開発と具体的なガバナンスプロセスの策定を行った。議論の妥当性を検証するために、既存の情報セキュリティ標準や類似研究、日米両政府における行政機関の情報セキュリティマネジメント体系、インシデント事例等を参照し、我々の着眼が普遍性を持つものであることを確認した。以上を総合して、情報セキュリティガバナンスの体系を新たに提案した。我々の成果は従来の取り組みにおける空隙を埋めるものであり、業務にとっての情報セキュリティの意義を明らかにし、かつ、技術の弱点を補う情報セキュリティマネジメント手法の強化に資する。