シラバス
セキュリティ経営とガバナンス(前期2単位)
教授 原田 要之助
1.授業のねらい
本科目では、経営の観点からIT及び情報セキュリティのマネジメントとガバナンスについて学習する。具体的には、経営学で培われた概念・思想を俯瞰てIT投資やIT利活用、プロジェクト管理面から学習を深める。最後に、情報セキュリティを経営の視点から捉えて情報セキュリティ管理と事業戦略に関するケーススタディで実践力を高める。
背景としては、組織経営があらゆる場面でITを利用するため、IT投資やIT利活用の成否や事故が経営と密接に関係するようになっているためである。例えば、個人情報漏えい事件を起こした企業は、社長が記者会見をして責任を認め謝罪することを見ても明らかであろう。ところが、多くの経営者はITや情報セキュリティをコストという観点でしかとらえていない。経営者は不況時には真っ先にコスト削減の対象とする一方、好況時にはなかなか投資金額を増やそうとはしない。そこで、IT投資や情報セキュリティ対策を効果的に実施するためには、企業の経営の視点にたってリスクに対するコスト対効果、投資としての適正性、プロジェクト管理などを多面的に考えて、取り組む態勢としてのガバナンスが重要となっている。
2.到達目標
受講者は、講義とケーススタディを通じて、以下の点を理解でき、応用できるようになる。
- 経営と情報セキュリティの関係性を俯瞰できる。
- 経営的な視点で、情報システムや情報セキュリティのガバナンスを考えることができる。
- IT投資やプロジェクト管理を効率よく実践できるようになる。
3.授業計画
講義形式での授業と、ケーススタディ(グループ討論)で構成する
第1部 経営と情報セキュリティ
- 本講義の概要とガイダンス、経営学との接点
- 経営とIT(情報とは何か、経営と情報の関係、経営情報とは何か)
- 企業戦略論SCP及び企業リソース論RBVと情報セキュリティとの関係
- 日本的経営組織と情報セキュリティについて
- 組織と情報セキュリティのマネジメントとガバナンス
- 組織ガバナンス(ITガバナンスと情報セキュリティガバナンス)
- 組織ガバナンスの効果測定
第2部 IT投資と情報セキュリティィ
- ITガバナンスのフレームワーク
- ITプロジェクト管理とポートフォリオ
- IT投資計画の策定
- IT投資とリスク管理のバランス
- 情報セキュリティのビジネスモデル
- ケーススタディ① IT投資
- ケーススタディ② 情報セキュリティ投資
- ケーススタディ③ 演習課題の発表と討議
4.教科書
- VAL-IT Version2(ISACAのサイトから日本語版のダウンロード可能)
- RISK-IT(ISACAのサイトから日本語版のダウンロード可能)
- CobiT5 Enabling Process(ISACAのサイトから日本語版のダウンロード可能)
- CobiT5 Enabling Infromation(ISACAのサイトから日本語版のダウンロード可能)
5.参考書
- CobiT5 for Risk(ISACAのサイトから英語版のダウンロード可能)
- CobiT5 Implementation(ISACAのサイトから日本語版のダウンロード可能)
- 林紘一郎・田川義博・淺井達雄『セキュリティ経営 ポスト3.11の復元力』(勁草書房、2011年)
- 経済産業省編、情報セキュリティガバナンスガイダンス(経済産業調査会、2009年)
参考文献、URLなどには適宜紹介する。
6.関連科目
本科目は、組織における経営の観点から、ITや情報セキュリティについてのガバナンス(戦略、投資)とマネジメント、組織体制を議論する。経営学、心理学、法学基礎やリスクマネジメントに関する基本的な知識があることが望ましいが必須ではない。
7.成績評価の方法
到達目標を充足しているかどうかを評価の基準として、第1部修了時の中間レポート(30%)、第2部のケーススタディ(グループ討論と発表)(40%)。なお、出席及びディスカッションなど講義への積極的な参加も評価対象とする(30%)。
8.その他
受講生の多くは、今後、企業などの組織において、当該科目についてより実践的な対応を要求されることがある(例えば、CIOやCISOなどの立場では必須となる)。授業では、時間的な制約があるので、情報セキュリティの観点からの見方で講義を行う。そのため、受講生には、(知識面で)不足する分野(経営学や心理学など)についての学習が望まれる。基礎的な入門書などを合わせて学習を進めて欲しい。