体制を整備することか始まる、情報セキュリティ強化体制
体制を整備することによって情報セキュリティを強化につながるため、まず体制を整備する必
要があります。
具体的には、情報セキュリティ担当部門を整備し、セキュリティ・インシデント発生した時の
連絡窓口や情報セキュリティの強化の対応策の立案・実施各部門の情報セキュリテイ担当者の
指導・支援、インシデント対応、経営者や取締役会への報告手順のルール化などの体制整備を
実施します。
独立した組織として設置したとしても、情報セキュリティ担当部門はよいのですが、
IT部門の一組織として設置されることも少なくありません、それは、要員数の制約からです。
企業の規模や業種などによって組織のあり方は異なりますが、大切なことは情報セキュリティ
強化を担当する部門をはっきりさせることです。
また、体制の整備に際は、社内規程で権限と責任を明確にする必要があります。
各部門に対して指導・指示する際は、権限が明確になっていなければならないためです。
なお、情報セキュリティに関する責任部門として明確にしておく必要性には、権限についての
責任が伴うためです。
情報セキュリテイ担当部門だけでは、情報セキュリティの強化は、実施することができませ
ん。
経営者から組織の末端の従業員までが情報セキュリティに関する共通意識をもって、
組織が一丸となって情報セキュリティ強化を推進するためには必要です。
そのためには、定期的なコミュニケーションの場を設けることで、各部門に情報セキュリティ
責任者を設置して場合でも、情報セキユリテイ部門からの指示が迅速かつ適切に行き渡るよう
になります。
また、忘れてはいけないことは、情報セキユリテイ担当役員を配置することです。
例えば、情報セキュリティ担当役員はなるべく上席の者にするべきです。
それは、企業などの情報セキュリティへの意気込みを社内外に示す必要があるために副社長な
どにしたほうが好ましいです。
企業によっての企業文化を理解し、ケースによって進め方を変えましょう
企業などによって企業文化違う場合が考えられます。
論理的に仕事を進めていくケースと、義理人情で仕事を進めていくケースがあります。
そのため、企業文化を認識したうえで、その文化にマッチした情報セキュリティ強化策を講じ
ることが大切です。
情報セキュリティの必要性を論理立てて説明していくことが有効な企業は、論理的に仕事を進
めるような企業文化をもつ企業で、セキュリティ対策の理由の説明よりも、何を実践すればよ
いのかがわかるようにシンプルな指示を行うのが有効な企業は、
上からの指示をそのまま実践するような企業文化をもつ企業で、それぞれに合う進め方や提案
の方法をとり情報セキュリテイ対策を強化するとよいです。
また、Qc活動といった小集団活動が盛んな企業では、品質管理の一環として、情報セキュリ
ティの強化策について改善策を検討させるのも有効です。
そして、社長からの指示のほうが有効な場合には、社長から各種会議で指示を行なう方法を
とってもよいでしょう。
セキュリティ・インシデントヘの対応を実施する組織のCSIRT
CSIRTとは、セキュリティ・インシデントヘの対応を実施する組織で、サイバー攻撃では、特
に迅速な対応が求められるため、よく消防署に例えられます。
このような理由から、CSIRTのようなセキュリティ・インシデントの発生の迅速な検地と的確
な対応をできる組織を常設するのが有効です。
また、CSIRTは、セキュリティ・インシデントの発生時だけではなく、日常のセキュリティに
関する脆弱性情報の収集を行なうとともに、組織内全体に注意喚起を行ないます。
つまり、CSIRTはサイバーセキュリティの要となる組織と考えられます。
また、情報セキュリティに知見のある社員を、CSIRTの担当者には、配置する必要がありま
す。
なお、情報セキュリティ担当部門がCSIRTの機能をもつケースもありますが、CSIRTと情報セ
キュリティ担当部門が分かれているケースでは、緊密な連携をとるようにすることが重要で
す。
多種多様のリスクを一元的に管理するERM
企業には様々なリスクがあります。
そのため、様々なリスクを一元的に管理するERM(EnterpriseRiskManagement:全社的リスク
マネジメント)に取り組む企業が増えています。
ERMでは、リスク評価を実施したり、対策の有効性を点検・評価企業を取り巻くすべてのリス
クを対象としておこないます。
ERMを実施している企業では、情報セキユリテイの強化体制を整備する際は、情報セキュリ
ティ担当部門は、ERMの担当部門や他のリスクマネジメント部門と連携して取り組むことが重
要になります。
まとめ
CSIRTのコミュニティにおいては、積極的にコミュニティに参加するチームには情報が集まっ
て来ますが、コミュニティの会合にも参加しない、参加してもただ座って聞いているだけで他
のCSIRTのメンバーと会話もしないようなチームに機微な情報が渡されることはなかなかあり
ません。
積極的に意見を言う、積極的にコミュニティの活動に加わるチームはCSIRTとしてアクティブ
に活動しているチームと見なされ、信頼され、自然に情報が集まってくるのです。