【サイバーセキュリティに関するコラム】第3回:具体的な活動と活動の継続
「山陰セキュリティ交流会」というコミュニティにおいて、セキュリティ関連情報の共有や参加者の交流を行うなどの活動をされておられる、ファーエンドテクノロジー株式会社の岩石様にご協力いただき、サイバーセキュリティに関するコラムを連載(全3回)することとなりました。今回は最終回となる第3回となります。
サイバーセキュリティにご関心がおありの方はぜひご覧ください。
こんにちは。ファーエンドテクノロジー株式会社の岩石です。
本コラムの最終回です。今回は具体的な活動と活動の継続についての内容です。
前回までのところで経営課題としてのセキュリティ対策とセキュリティ活動を行う体制作りについて書かせていただきました。
そして担当者の方はまず社内のリスクアセスメントを実施することをお勧めしました。
セキュリティ対策の最終的な目的は事業の継続です。リスクアセスメントの結果により自社の抱える事業上のリスクが明らかとなり、対策優先順位などの決定に役立つためです。
しかしながら思いの外大変なタスクの割には実効性を体験できず、成果が見えにくいとお感じになることも多いと思います。
SECURITY ACTION セキュリティ対策自己宣言
リスクアセスメントを飛ばして、早く直接的な対策に着手したい、またはリスクアセスメントの次に何をするべきかわからないという方々に向けてSECURITY ACTIONへの取り組みをお勧めします。
SECURITY ACTION セキュリティ対策自己宣言
SECURITY ACTIONの内容や説明についてはリンク先を参照していただくとして、この一つ星から取り組まれると良いです。
掲載されている「情報セキュリティ5か条」に取り組み、自己宣言をしましょう。
- OSやソフトウェアは常に最新の状態にしよう!
- ウイルス対策ソフトを導入しよう!
- パスワードを強化しよう!
- 共有設定を見直そう!
- 脅威や攻撃の手口を知ろう!
今まで組織的に取り組まれていなかったところでは一苦労あると思いますが、いずれもセキュリティ対策として基本的かつ重要な取り組みですので業態や規模などに関係なく取り組んでいただきたい対策です。
実際に何をどのように取り組むか、SECURITY ACTION一つ星を宣言するにはどうしたら良いかなどについて悩まれる場合は、重ねての紹介になりますが、専門家に相談したり、地域の事業支援団体の無料相談などを利用されたりするのが良いと思います。
また一つ星宣言はすでに済ませている、一つ星宣言を達成したという組織は是非二つ星に取り組んでいただきたいです。
活動の継続
セキュリティ対策は経営課題であることを何度かお伝えしていますが、言い換えるとその対策は経営とともに継続的に活動しなければいけないということになります。
ITの進歩は早く、それに伴って脅威は常に変わる可能性があります。
情報資産(※第1回参照)があり、事業を継続する上でそれを脅かすもの(脅威)が存在する以上なんらかの対策は常に必要となります。
社内で事業に影響がありそうな異動があった、新規のビジネスを始める、取引先にて大きな出来事があるなどなんらか事業上の状況に変化があった場合は事業継続のためのリスクの大きさが変化している可能性があります。
こういった場面では再度リスクアセスメントを実施しリスクの大きさを再認識したり対策の優先順位を見直したりする必要があります。
また同様にすでに行われている対策が有効なものか見直しを行う必要もあります。
リスクアセスメントだけでなく、情報セキュリティ5か条などで取り組んだ対策も導入するだけでなく継続的な対応が必要です。
組織としてまず担当者を選任しましょうとお伝えしたのは、この継続的な活動を誰がやるのかを明確にするためです。
担当者を決めておかないと一度きりの対応となりがちで、継続性が見込めません。
とはいえ兼務で継続的に活動をするのはとても大変です。まずは可能な範囲で計画を立てて取り組んでみましょう。
ポイントとしてはできるだけ楽に継続できることを考えましょう。
例えばOSやソフトウェアの更新など自動化できることは自動化してしまいましょう。
難しいことや高度なことにこだわるより、活動の継続性を最優先にこだわりましょう。
セミナーやコミュニティへの参加
担当者に選任された方は、継続して活動することに不安をお感じの方も多いと思います。
地域によっては有志による非営利のセキュリティ勉強会やコミュニティがあり、そこに参加することでより詳しい方や同じような課題を抱えている方と知り合うきっかけになることがあります。
ほとんどのコミュニティでは初学者の方々に対してやさしく接してもらえ、詳しい方々からわからないところについて丁寧に教えていただけるところがほとんどです。
松江市では当方が「山陰セキュリティ交流会」というコミュニティの代表として活動しています。
山陰セキュリティ交流会ではセキュリティ全般をテーマにして参加者間の交流を目的にイベント開催など行っています。
こういった社外で行なわれているセミナーやコミュニティイベントに参加することで、同じような業務を行なわれている方々と触れ合い、共有可能な範囲での連携を作ることで孤立感が和らぎ心理的な安心感が生まれるほか、自組織で次に向かうべき対策や強化すべき内容についての理解に繋げていく方も多いです。
セキュリティ対応ではこういった社外とのコミュニケーションが重要となります。
頼る先や相談できる知り合いを増やしておくことでセキュリティの取り組みについて積極的に向かっていくことができると思います。
まとめ
3回にわたり小規模組織でのセキュリティの取り組みについて書かせていただきました。
業種や組織規模、また地域問わず事業を継続するためにはセキュリティ対策は欠かせません。
これから取り組んでいこう、取り組み始めたけど何をどうしようと思われている皆さんの参考となれば幸いです。
(ファーエンドテクノロジー株式会社 取締役 岩石 睦 氏)