情報セキュリティ委員会、CSIRT、SOCがワンチームで対応するのが情報セキュリティの肝――ラック、ダイドーグループHD 喜多羅滋夫氏：ITmedia エグゼクティブセミナーリポート（1/2 ページ）

企業の情報システム部門には、テレワークなどの新しい働き方の支援が求められている。その一方で、情報保護が避けてとおれない課題である。企業におけるセキュリティガバナンスへのアプローチを紹介する。

[山下竜大，ITmedia]

　アイティメディアが主催するライブ配信セミナー「ITmedia Security Week 2021 夏」のDay1基調講演には、喜多羅株式会社 Chief Evangelistで、株式会社ラック IT戦略アドバイザー、ダイドーグループホールディングス IT統括責任者であり、元・日清食品ホールディングス 執行役員CIOの喜多羅滋夫氏が登壇。「守るべきものは何か？ 日清食品で実践した情報セキュリティへのアプローチ」をテーマに講演した。

コロナ禍で増え続けるセキュリティインシデント

喜多羅株式会社 Chief Evangelist、株式会社ラック IT戦略アドバイザー、ダイドーグループホールディングス IT統括責任者、元・日清食品ホールディングス 執行役員CIO 喜多羅滋夫氏

　「コロナ禍により、働き方はさらに多様化し、テレワークによる仕事が常態化しています。完全に在宅勤務の会社もあれば、シェアオフィスを推奨している会社、ワーケーションを実施する会社もあります。一方、書類の受け渡しや確認、押印のためだけにオフィスに行くという新たな課題も生まれています。こうした課題に対し、テレワークを支援する新しいツール群がどんどん登場しています」（喜多羅氏）。

　個人情報保護に関しても、グローバルで変化している。例えば、欧州連合（EU）のEU一般データ保護規則（GDPR）では、EU域外で個人情報を共有する場合、適切な手続きに基づいて対応しなければ、巨額のペナルティーを課される。また、中国、米国、ブラジル、オーストラリア、など、さまざまな市場で個人情報保護の取り組みが推進されており、日本でも2022年には個人情報保護法案が改定される予定となっている。

　その一方で、セキュリティインシデントは増え続けている。2017年には、WannaCryの感染が世界的に広がり、150か国以上、25万台を超える感染事例が報告されている。日本でも工場の稼働停止などの問題が発生した。2020年には、日本のゲームメーカーがランサムウエアにより1100万ドルの身代金を要求された。また、米国のコロニアル・パイプラインが攻撃され、米国東海岸の総消費量の約45％の供給機能がマヒした。

　喜多羅氏は、「2000年問題（Y2K）の際には、コンピュータを利用している、ありとあらゆる社会活動、社会サービスのリスク分析と対応策をとったことを思い出しました。セキュリティインシデントの発生も同様で、業務やサービスの停止はもちろん、会社の信用やブランドの失墜につながることから、情報セキュリティの問題に対し、社内で能動的に対応していくことが必要です」と話している。

いつでも、どこでも安心して働ける環境づくりを目指す

　「セキュリティインシデントの発生は、システムに携わる者にとって脅威ですが、ただ恐れているだけでは状況は変わりません。日清食品時代には、チームのメンバーや社内の各グループ、マネジメントなどと話し合い、いつでも、どこでも、誰でも、快適に、安心して働ける環境づくりを目指すという基本方針を策定しました。基本的なことをきちんとやるだけで、かなりの情報セキュリティ対応はできると考えています」（喜多羅氏）

　日清食品で喜多羅氏がとった、情報セキュリティ対応における基本方針実現のためのアプローチは、以下の4つ。

（1）情報セキュリティ管理体制の構築

（2）セキュリティ教育プログラムの確立と継続

（3）システム環境への適切な更新プログラム適用

（4）業界リーダーシップの会社、サービスとの協業

（1）情報セキュリティ管理体制の構築

　情報セキュリティ管理体制としては、情報セキュリティ委員会、CSIRT、SOCという3つの組織で体制を確立。

　情報セキュリティ委員会は、全社のセキュリティ対策方針を決議する意思決定機関である。事業の観点から、情報セキュリティ確保のための予防策やBCPの策定、経営への状況報告を実施。どのような領域に対して対応していかなければならないか、どういったレベルの投資が必要かなどの大きな枠組みも決定する。

　CSIRTは、セキュリティインシデント発生に備え、即座に状況を把握し、適切に対策することで、より大きな問題にならないように対応する実務部隊。IT部門だけでなく、広報、法務、人事、財務などのマルチファンクションで、予防、検知、初動に対する実務対応をリードする。各部門の視点で、情報セキュリティの問題、課題を捉え、会社の危機にならないリスク管理、対応策を実践する。

　SOCに関しては、高度な専門知識が求められ、継続的に最先端の技術や情報への対応が必要なこと、社員が24時間365日のモニタリングをすることは困難なことから外部のパートナーに任せ、SOCからのアラートにCSIRTが対応するオペレーションになっている。

　3つの組織が、ワンチームとして全社の情報セキュリティ対応を行うことが基本方針の肝になる。

教育プログラム、更新プログラム適用、パートナー連携も重要

（2）セキュリティ教育プログラムの確立と継続

　セキュリティ教育プログラムに関しては、新入社員向けには必ず対面研修を実施。パスワードを付箋に書いて貼らない、個人のサービスを使うときには会社のメールアドレスやパスワードを使わないなどの基本的な研修から実施する。

　「教育プログラムでは、新入社員からマネジメントまでの幅広い層に対し、オンライントレーニングも定期的に実施していました。さらに、疑似ウイルスを添付したメールを送付し、感染者に注意喚起を行うトレーニングも何度か実施しています。疑似ウイルス感染により、ウイルス感染をリアルに体験してもらうことで、情報セキュリティに対するより一層の意識づけが可能になります」（喜多羅氏）