情報セキュリティ委員会、CSIRT、SOCがワンチームで対応するのが情報セキュリティの肝――ラック、ダイドーグループHD 喜多羅滋夫氏：ITmedia エグゼクティブセミナーリポート（2/2 ページ）

企業の情報システム部門には、テレワークなどの新しい働き方の支援が求められている。その一方で、情報保護が避けてとおれない課題である。企業におけるセキュリティガバナンスへのアプローチを紹介する。

[山下竜大，ITmedia]

（3）システム環境への適切な更新プログラム適用

　更新プログラムの適用では、システムやサービスの対応状況を一覧で明記したリストを作成。社内には、さまざまなインフラやシステム、サービスがあるので、各サービスの主要な因子である環境やビジネスオーナー、ユーザー数や、利用している技術コンポーネントとその保守期限などをリスト化している。これにより、必要なときにリストを見るだけでレビューが可能になる。

　また、できるだけ細かいインフラを持たないことも重要と考えている。オンプレミスでサーバを管理するのは、自分で管理できるので安心感があるように思われるが、最新のセキュリティ状況の把握や対応を社内で行っていくのは困難。そこで、社外のデータセンターを利用したり、クラウドへの移行を推進したり、入口管理や世代管理がきちんとできるようにしておくことが必要になる。

　さらに、計画された更新プログラムをリストに基づいてきちんと適用していくこと、保守期限の切れたレガシーシステムをできるだけ早く退役させることも必要である。

（4）業界リーダーシップの会社、サービスとの協業

　パートナーとの連携では、外部委託会社の個人情報管理状況の監査、経営向けの現状説明会、スポットでの課題に対する意見交換なども必要になる。

これからの大きな潮流となるゼロトラスト

　これからの大きな潮流としては、ゼロトラストによるセキュリティ強化である。これまでのセキュリティ対策は、会社の入り口に大きな防波堤（ファイアウォール）を作り、それを波（脅威）が越えないようにするセキュリティ対策だった。しかし想定外の津波が発生すると防波堤で防ぐことは困難である。

　セキュリティ対策も同様で、メールなどの正しいルートでウイルスなどの脅威が侵入してくる現状では、すでにファイアウォールだけで社内システムを守ることは困難。そこでこれからのセキュリティ対策は、社員であっても会社の情報が出入りするときには、必ずチェックをするゼロトラストのセキュリティ強化が必要になる。

　セキュリティ対策を始めるにあたり、まずは情報セキュリティ管理体制を確立すること。また、サイバーセキュリティ経営ガイドライン（IPA）や日本シーサート協議会などの公的レファレンスを活用する。IPAの「サイバーセキュリティ経営ガイドライン実践プラクティス集」や、日本シーサート協議会のWebサイトで公開されている事例などのドキュメントを活用することも有効になる。

　喜多羅氏は、「情報セキュリティ対策は、IT部門だけでなく、マルチファンクションで取り組むことが重要です。その中で、継続的な教育プログラムの実施と更新プログラムの適用、レガシーシステムの退役プログラムの実施などが必要です。その際に、信頼できるパートナーと連携することも有効です。日清食品で実践したアプローチが、皆さまの会社の情報セキュリティ対応に役立てば幸いです」と話し講演を終えた。