【サイバーセキュリティに関するコラム】第2回:体制作り
「山陰セキュリティ交流会」というコミュニティにおいて、セキュリティ関連情報の共有や参加者の交流を行うなどの活動をされておられる、ファーエンドテクノロジー株式会社の岩石様にご協力いただき、サイバーセキュリティに関するコラムを連載(全3回)することとなりました。今回は第2回となります。
サイバーセキュリティにご関心がおありの方はぜひご覧ください。
こんにちは。ファーエンドテクノロジー株式会社の岩石です。
前回のコラムでは「組織がセキュリティ対策に取り組まなければいけない理由」について書きました。
今回は「体制作り」についての内容です。
最初にやるのは体制作り
セキュリティ対策をしなければいけないと理解し、取り急ぎ何らか対策を導入したいところですが、まずは体制作りを行うのが私は良いと思います。
セキュリティ対策は継続的な活動が基本ですので、確実に業務として取り組むために、担当者を正式に任命し意識を持って活動することが大切です。
本来であればIT機器・サービスの管理、セキュリティの管理、組織で保有する情報の管理と扱う分野に分けて担当者を置くのが望ましいですが、中小組織では役割を細分化することは現実的ではありません。
業種・業態にもよりますが、最初は様々な分野をまとめたIT管理者として選任する形でも良いと思います。
きちんと役割を定義し、選任して業務として取り組んでいただくことが重要です。
セキュリティやITの担当者の役割
本コラムはこれからセキュリティ対策を進めようという組織の方々に向けたお話です。
組織によっては社内のITネットワークについて自社で管理せず、導入業者にお任せされているところもあると思います。
今まではそれで問題は起きなかったかもしれませんが、今後は業者には技術力の提供をお願いすることとして、社内の担当者が管理を行うことにしましょう。
今までうまく行っていたのになぜ余計な仕事を増やすかというと、万一何かが発生した際の責任をはっきりさせるためです。
PCが壊れたときなど、調査・復旧や修理手配などは作業を業者に行なっていただきますが、それを指示するのは自分たちの役割です。
セキュリティ事故(セキュリティインシデントと呼びます)の対応は専門的でかつ高度な技術力が必要になるため実際に活動するのは専門業者になりますが、自分たちの責任で事故対応をしなければいけません。
組織として責任を持って事故に対応するために社内に管理部門や担当者を定めて普段から管理を行なっておく必要があります。
どのように人選をするか
セキュリティ担当者の人選を行うわけですが、実際の人選を行う前にまず経営者から社内に向けてセキュリティ対策に取り組むことについての宣言を行なってください。
組織として取り組むこと、本気で取り組むこと、セキュリティ対策活動を支援することを明確に社内に宣言することで社内からの協力が得やすくなります。
人材確保の資金に余裕がある組織では情報処理安全確保支援士などのセキュリティ資格を保有する方を雇い入れることが可能かもしれませんが、残念ながらそういった人材の確保が難しいことは以前から叫ばれていますし、特に地方の小さな組織では現実的ではありません。
もっとも現実的な方法としては既にいらっしゃる社員の方に兼任していただくことになると思います。
しかし必ずしもセキュリティやITに関して詳しい社員の方がいらっしゃるとは限りません。
人選方法の答えはありませんが、このような場合の私のアイデアをご紹介しておきます。
私がお勧めする人選方法は以下の通りです。
* 可能であれば2名以上(違う部署から選任)
* 経営者と直接相談ができる人を含める
* 全部自分(自分達)で抱え込まない人
* 業務の優先順位が自分で管理できる人
人選方法というよりは、担当者が心がけることを示しているかもしれません。
ITやセキュリティに詳しければさらに好都合ではありますが、その部分は外部に委託することもできますので、外部の方にはできない内部の活動がしっかりできる方を選びたいです。
最も意識していただきたいのが、複数名の選任です。
通常の業務とは違うタスクに取り組むことになりますので、思い通りに進まないことがとても多いです。
また社内にルールや管理体制を敷くことになりますので、特定の誰かが嫌悪されないようにしたり、担当される方が一人で課題を抱え込まないようにしたりする配慮が必要です。
さらにお勧めの内容として選任した担当者に職務としての名称(「〜委員会」、「〜スタッフ」など)をつけてください。
これにより職務の定義や異動などの際の欠員補助などがしやすくなります。
担当者の活動
IT関連の管理やセキュリティ活動の対象とするものの幅は広く、すべての活動に取り組むことは難しいです。
ある程度スキルを持った方がいらっしゃれば、取り組むべき対象を定め取り組みを進めていくことも可能ですが、[i]地域の事業支援団体の無料相談などを利用されるのが良いと思います。
どのような活動に取り組むかは組織によって決める必要がありますが、経済産業省が参考となる資料を公開されています。
「サイバーセキュリティ体制構築・人材確保の手引き」(第2.0版)をとりまとめました(METI/経済産業省)
しかしながら、これから対策に取り組もうと考えている組織や人員の限られている小規模な組織ではこの資料の通りに進めていくのは難しいです。
ある程度曖昧に「理想的には」という気持ちで解釈されると良いと思います。
この資料がちょっと難しいとお感じであれば、私がお勧めする最初に取り組みとして、「自社のリスクを明確にする」という活動を最初に取り組まれるのが良いと思います。
一般的には「リスクアセスメント(リスク分析)」と呼ばれる活動です。
リスクアセスメントとは組織が保有する情報やそれに関連する資産を洗い出し、事業を続けていくために重要な情報資産は何か、それらにどのようなリスクが潜んでいるか、どのようなリスク対策を行わなければいけないかといった事柄を明確にする活動です。
リスクアセスメントの手法はいくつかあり、手法によりかかるコスト(主に活動の時間や労力)や適切さが異なります。
前回のコラムの内容のとおりセキュリティ対策はすべての活動と共に行うもので、対象も非常に広範囲です。
短期間に行うべき対策を次々適用するのは、様々な面で困難を伴いますし、社内の混乱も起きがちです。
リスクアセスメントを通じて社内のリスクとその大きさを明らかにし、対策の優先順位を決め取り組んでいくのが良いと思います。
具体的にどのように進めていくかそのものについては、専門書や外部研修などで学んで取り組まれるほか、[ii]専門家など外部に相談・委託されるのもよいアイデアです。
まとめ
今回は取り組みの最初の段階として体制作りについて書かせていただきました。
・まず経営陣がセキュリティの取り組みについて宣言すること
・複数名の選任などふまえセキュリティ担当者を人選すること
・実際の活動では外部の力を借りることをある程度前提として考えておくこと
・リスクアセスメントで事業継続に必要なものや自社のリスクの把握をすること
などお伝えいたしました。
次回(最終回)は具体的な活動や継続についてお伝えできたらと考えています。
(ファーエンドテクノロジー株式会社 取締役 岩石 睦 氏)
以下は、本コラムの「担当者の活動」でご紹介した内容について、本コラムを掲載しているしまねソフト研究開発センターで提供している支援メニューになります。
[i]情報セキュリティ対策相談会
「セキュリティ対策について、自社でどこから手を付けていいか分からない」、「やるべき優先順位が決められなくて困っている」、「社内ルールはあるが、有効的に機能するにはどうしたらいいのか分からない」等のお困りごとに対して個別相談会を開催しています。
詳しくは以下をご覧ください。
https://www.s-itoc.jp/support/business-support/digital-innovation/digital-innovation-seminar/1278
[ii]サイバーセキュリティ対策専門家派遣事業
リスクアセスメントや対策の優先順位付け、社内の体制やルール作り等を進める際に、情報処理安全確保支援士やセキュリティ支援実績のある登録専門家(県内IT企業)を派遣し、ご相談や助言を受けることができます。
詳しくは以下をご覧ください。
https://www.s-itoc.jp/support/business-support/shimane-dx/expert/1280