「3ラインモデル」とは
情報セキュリティマネジメントの話題では、「3ライン」といった言葉や、「第2線」「第3線」といった言葉がよく使われます。先日のNTT西日本のインシデントに関する調査報告書でも、 「第2線」「第3線」といった言葉が頻繁に登場しました。これらは何を意味するのでしょうか。
「3ラインモデル」は、元々「3つのディフェンスライン」という考え方から発展したものです。「3つのディフェンスライン」は、COSO(トレッドウェイ委員会支援組織委員会)というアメリカの組織によって提唱された、内部統制に関する考え方です。
COSO自体は情報セキュリティに特化した組織ではありませんが、その内部統制の考え方は情報セキュリティマネジメントにも有効に適用できるため、(意識しているか否かはさておき)多くの企業で「3つのディフェンスライン」の考え方が適用されています。
この「3つのディフェンスライン」について、IIA(内部監査人協会)が2020年に新たな見解を示したものが「3ラインモデル」です。
3ラインモデルの概要
「3ラインモデル」では、組織を以下のように整理しています。
『IIAの3ラインモデル 3つのディフェンスラインの改訂』より(株)インターネットプライバシー研究所が作成
組織を3つのラインに分け、第2線が第1線に、第3線が第1線・第2線に、それぞれ牽制をかけるような構図となっています。
3ラインモデルに基づく情報セキュリティ体制
このままだとイメージしづらいので、一般的なISMS体制など、情報セキュリティに関する組織で具体的に例示してみます。
なお、統治機関と経営管理者の関係はISO27001のみでは説明しづらいため、ISO27014における「経営陣」と「業務執行幹部」の概念を流用します。
少し脇道に逸れますが、ISO27014では、ISO27001における「トップマネジメント」を、「経営陣」と「業務執行幹部」に分割して解釈しています。少し直感的ではないですが、例えば「経営陣」は取締役会などの役員全体の合議体、「業務執行幹部」はCEO・CIO・CISOなどの役員個々人を指すといったようなイメージです(それぞれどう位置付けるかは組織ごとの解釈によるため、あくまで例示です)。なお、ISMAPにおいては「業務執行幹部」=「トップマネジメント」という用語になっていますが、この分割の概念自体は採用されているため、ISMAP登録を検討されている場合はこの概念を念頭に置いておく必要があります。
いかがでしょうか。3ラインモデル自体は意識していなくとも、特にISMSやプライバシーマークを保有している企業からすると、割と馴染みのある組織体制だと思えるのではないでしょうか。
各ラインにおける責任
先ほどの図を基に、各ラインの責任について、特に重要な点を考えてみます。
第1線
基本的には現場部門が該当し、自部門の担当業務におけるリスク管理と、リスク対策の実施責任を負います。ここで重要なのは、「リスク管理」の責任も第1線にある点です。
もちろん第2線による支援もあることは前提ではありますが、担当業務においてどのようなセキュリティリスクが存在するのか、それらに対してどのように対応していくのか、といったことは、3ラインモデルにおいては第1線が主体的に検討する必要があるのです。
第2線
ISMS事務局や情報セキュリティ部門など、全社横断的にセキュリティマネジメントを行う部門が該当します。
基本的な役割としては、第1線におけるセキュリティ活動の統制です。そのための前提として、第2線はセキュリティに関する専門的な知見を保有する必要があります。ISMSにおける力量管理などで、事務局担当者等について、一般従業員より上位の力量を求めるケースが多いのはこのためです。
そして統制活動としては、第1線における活動の支援、モニタリング、改善指示が挙げられます。これらにおいて特に重要なのが、第1線への有効な牽制です。
第1線は専門的な知見が十分でないケースもあり、実施しているセキュリティ対策が有効でなかったり、業務に追われてあるべきセキュリティ対策をおろそかにしてしまう可能性があります。これらの実態を定期的にモニタリングし、あるべき状態に改善するよう指示することが非常に重要です。
第3線
内部監査担当部門が該当し、第1線・第2線の活動を、独立して、客観的に評価・検証する責任を負います。ここで重要なことは、第2線も監査対象であるという点です。
内部監査室などの専門部門が常設されている企業では問題ないケースが多いですが、そうでない場合、例えばISMS事務局担当者が内部監査員も務めているなど、第2線と第3線が独立しておらず、客観的でない監査となる、ひどい場合は監査自体が行われていないといったことが往々にして発生します。しかし前述の通り、第2線の役割は第1線の統制であり、第2線が有効に機能していない場合、全社的なセキュリティレベルが低下することとなります。
内部監査においては、第2線による統制の有効性評価の重要性をしっかり認識しましょう。
業務執行幹部と監査責任者
3ラインモデルにおいて、業務執行幹部は第1線・第2線双方を統括し、監査責任者は第3線を統括しています。ここで重要なのは、監査責任者は業務執行幹部に対しても独立性を保ち、客観的に評価をする必要がある点です。独立性が損なわれれば、業務執行幹部の配下である第1線・第2線に対しての牽制が効かず、監査が無意味なものとなります。
一般的なISMS体制などでは、業務執行幹部の位置はCEOが担当するケースも多く、役職としては上下関係となってしまいがちです。それでも、監査責任者は独立性を保つ必要があり、それは業務執行幹部、そしてその上に位置する経営陣が担保する必要があります。
現実的になかなか難しい場合もありますが、セキュリティ体制の構築時には、監査責任者を含めた第3線の独立性の重要性について、経営陣に十分に理解してもらいましょう。
3ラインモデルが崩壊すると・・・
ここまで、3ラインモデルに基づく情報セキュリティ体制について語ってきましたが、ISMSやプライバシーマークなどを保有している企業の方だと「別に普通のことじゃないか」という感想を抱くかもしれません。
しかし、3ラインモデルを有効に機能させることは、そう容易いことではありません。特に大手グループになると、個社内の3ラインとグループ全体としての3ラインの役割の明確化、有効な牽制のあり方など、実は非常に難しい課題が山積みです。
3ラインモデルが有効に機能しなかった事例として、冒頭でも触れたNTT西日本の事例があります。こちらで別途解説していますので、併せて是非ご覧ください。
