最近の企業セミナーは、「サイバー攻撃」や「内部不正」を題材にしたものが増加している。簡単にいえば、「この○○システム(もしくはソフト)を導入すればサイバー攻撃の防御(もしくは内部不正)の防止になる」というものだ。
確かに、これらのシステムやソフトを有効利用して大きな成果を得ている企業は多い。その一方、筆者のもとには「導入したが、セキュリティの向上を実感できない。何が悪いのだろうか」という類の相談が寄せられている。実際にコンサルティングと調査・分析を実施することが望ましいが、多くの企業が見落としていると思われる点もある。今回はその中で「会社の組織」を切り口に解説したい。
1:「セキュリティ」担当の部署
セキュリティ一般となると、その対象は相当に幅が広く、警備会社の契約やビル管理、指紋認証ドアの保守なども含まれる。「情報セキュリティ」と括っても結構広い。例えば、「ウイルス対策ソフトの決定権は?」「サーバセキュリティの権限は?」「ログ分析の権限は?」「情報漏えい時の業務フローの中心は?」など、インシデントによっても様々である。
大抵の企業における担当部署は昔からの流れで、決まっているインシデント(例えばPCの内部設定の検討や管理者権限の承認など)と、最近の新しいインシデント(サイバー攻撃の疑いがある場合の担当部署やSNS炎上の事件の担当部署など)に分かれているだろう。
しかし、混沌とした状態にある企業は相当数存在する。いざ何らかの事件が惹起された場合に、現場では相当な混乱に陥る。予め決められた担当部署でも管理者によっては、「部内にその専門スキルがない」「人手が全くないので、○○部に作業させた方がいい」などと話される。
セキュリティに関する対応において、まずは事件・事故が起こる前に予想されるインシデントや作業項目を拾い上げ、実効力のある責任部署を予め決めておく。予算についても、その体制を整えるための「人・物・金」を考慮しておくべきである。
ある製造業では「指紋認証ドア」や「監視カメラ」などの「物理セキュリティ」などの権限が昔から総務部に委ねられていた。よって、企業全体のセキュリティのバランスが個別に議論されてきたため、極めてアンバランスになっていた。企業全体を防御(トータルセキュリティ)するという視点では、「防御」「抑止」「検知」「攻撃」「その他」などの切り口でありとあらゆることを議論し、組織の外部と内部それぞれ面から様々な対応が求められる。筆者の経験では以下に挙げる項目が必要だと感じている。
トータルセキュリティでの検討項目(例)
- セキュリティ分類コード
- 具体的な施策
- 起案部署
- 検討部署
- 運用部署
- 実績
- 予定
- 備考
例えば「監視カメラ」では以下のようになる。
コード:02−07−04
施策:(例)横浜支所3階のサーバルーム入口への監視カメラ設置
起案部署:監視カメラのターゲットエリア担当部署もしくはセキュリティ検討委員会
検討部署:起案部署および建物管理部署、総務部、セキュリティ検討委員会、CIO
運用部署:総務部(記録媒体管理はコンプライアンス部○○課)
実績:(例)横浜支所の監視カメラ(ダミーを含む)設置状況
予定:(例)中期業務計画上でのセキュリティ強化策の一環
備考:(例)現在のサーバルームに指紋認証ドアは設置済み。今回は強化策の第二弾であり、今回は約200万円で今期予算として計上済み案件。業者は横浜支所を一括して工事している○○としたい。現在見積り中。
Copyright© 2014 ITmedia, Inc. All Rights Reserved.