企業の情報システム部門には、テレワークなどの新しい働き方の支援が求められている。その一方で、情報保護が避けてとおれない課題である。企業におけるセキュリティガバナンスへのアプローチを紹介する。
アイティメディアが主催するライブ配信セミナー「ITmedia Security Week 2021 夏」のDay1基調講演には、喜多羅株式会社 Chief Evangelistで、株式会社ラック IT戦略アドバイザー、ダイドーグループホールディングス IT統括責任者であり、元・日清食品ホールディングス 執行役員CIOの喜多羅滋夫氏が登壇。「守るべきものは何か? 日清食品で実践した情報セキュリティへのアプローチ」をテーマに講演した。
「コロナ禍により、働き方はさらに多様化し、テレワークによる仕事が常態化しています。完全に在宅勤務の会社もあれば、シェアオフィスを推奨している会社、ワーケーションを実施する会社もあります。一方、書類の受け渡しや確認、押印のためだけにオフィスに行くという新たな課題も生まれています。こうした課題に対し、テレワークを支援する新しいツール群がどんどん登場しています」(喜多羅氏)。
個人情報保護に関しても、グローバルで変化している。例えば、欧州連合(EU)のEU一般データ保護規則(GDPR)では、EU域外で個人情報を共有する場合、適切な手続きに基づいて対応しなければ、巨額のペナルティーを課される。また、中国、米国、ブラジル、オーストラリア、など、さまざまな市場で個人情報保護の取り組みが推進されており、日本でも2022年には個人情報保護法案が改定される予定となっている。
その一方で、セキュリティインシデントは増え続けている。2017年には、WannaCryの感染が世界的に広がり、150か国以上、25万台を超える感染事例が報告されている。日本でも工場の稼働停止などの問題が発生した。2020年には、日本のゲームメーカーがランサムウエアにより1100万ドルの身代金を要求された。また、米国のコロニアル・パイプラインが攻撃され、米国東海岸の総消費量の約45%の供給機能がマヒした。
喜多羅氏は、「2000年問題(Y2K)の際には、コンピュータを利用している、ありとあらゆる社会活動、社会サービスのリスク分析と対応策をとったことを思い出しました。セキュリティインシデントの発生も同様で、業務やサービスの停止はもちろん、会社の信用やブランドの失墜につながることから、情報セキュリティの問題に対し、社内で能動的に対応していくことが必要です」と話している。
「セキュリティインシデントの発生は、システムに携わる者にとって脅威ですが、ただ恐れているだけでは状況は変わりません。日清食品時代には、チームのメンバーや社内の各グループ、マネジメントなどと話し合い、いつでも、どこでも、誰でも、快適に、安心して働ける環境づくりを目指すという基本方針を策定しました。基本的なことをきちんとやるだけで、かなりの情報セキュリティ対応はできると考えています」(喜多羅氏)
日清食品で喜多羅氏がとった、情報セキュリティ対応における基本方針実現のためのアプローチは、以下の4つ。
(1)情報セキュリティ管理体制の構築
(2)セキュリティ教育プログラムの確立と継続
(3)システム環境への適切な更新プログラム適用
(4)業界リーダーシップの会社、サービスとの協業
情報セキュリティ管理体制としては、情報セキュリティ委員会、CSIRT、SOCという3つの組織で体制を確立。
情報セキュリティ委員会は、全社のセキュリティ対策方針を決議する意思決定機関である。事業の観点から、情報セキュリティ確保のための予防策やBCPの策定、経営への状況報告を実施。どのような領域に対して対応していかなければならないか、どういったレベルの投資が必要かなどの大きな枠組みも決定する。
CSIRTは、セキュリティインシデント発生に備え、即座に状況を把握し、適切に対策することで、より大きな問題にならないように対応する実務部隊。IT部門だけでなく、広報、法務、人事、財務などのマルチファンクションで、予防、検知、初動に対する実務対応をリードする。各部門の視点で、情報セキュリティの問題、課題を捉え、会社の危機にならないリスク管理、対応策を実践する。
SOCに関しては、高度な専門知識が求められ、継続的に最先端の技術や情報への対応が必要なこと、社員が24時間365日のモニタリングをすることは困難なことから外部のパートナーに任せ、SOCからのアラートにCSIRTが対応するオペレーションになっている。
3つの組織が、ワンチームとして全社の情報セキュリティ対応を行うことが基本方針の肝になる。
セキュリティ教育プログラムに関しては、新入社員向けには必ず対面研修を実施。パスワードを付箋に書いて貼らない、個人のサービスを使うときには会社のメールアドレスやパスワードを使わないなどの基本的な研修から実施する。
「教育プログラムでは、新入社員からマネジメントまでの幅広い層に対し、オンライントレーニングも定期的に実施していました。さらに、疑似ウイルスを添付したメールを送付し、感染者に注意喚起を行うトレーニングも何度か実施しています。疑似ウイルス感染により、ウイルス感染をリアルに体験してもらうことで、情報セキュリティに対するより一層の意識づけが可能になります」(喜多羅氏)
Copyright © ITmedia, Inc. All Rights Reserved.
「ITmedia エグゼクティブは、上場企業および上場相当企業の課長職以上を対象とした無料の会員制サービスを中心に、経営者やリーダー層向けにさまざまな情報を発信しています。
入会いただくとメールマガジンの購読、経営に役立つ旬なテーマで開催しているセミナー、勉強会にも参加いただけます。
ぜひこの機会にお申し込みください。
入会希望の方は必要事項を記入の上申請ください。審査の上登録させていただきます。
【入会条件】上場企業および上場相当企業の課長職以上
早稲田大学商学学術院教授
早稲田大学大学院国際情報通信研究科教授
株式会社CEAFOM 代表取締役社長
株式会社プロシード 代表取締役
明治学院大学 経済学部准教授