情報セキュリティ対策では、企業、組織などのさまざまな活動に対して行なわれる必要があるといえます。
しかし、物理的・技術的それぞれに対策を尽くしたとしても、それが実際の企業組織の構成員に有効に活用されない限り機能しません。
企業や組織の規模が大きくなるほど、情報セキュリティマネジメントを確実に実施することが難しくなるのです。
企業や組織は、規模の拡大につれて業務の分業を行い、それに対応した内部組織の構成が作られます。
この内部組織が対応する各業務に応じた情報セキュリティ対策の役割分担が必要になります。
ここでは一般的な企業、組織の体制を想定し、必要となる人的・組織的対策について述べていきます。
組織の構造
組織が提供するサービスやプ口ダクトが、生産・販売などを実行する「直接業務部門」とこれを支援するための共通業務を行なう「間接業務部門」とに分かれているとしましょう。
「直接業務部門」は、さらに工程別・機能別の組織やサービス・プロダクトに対応した組織など企業、組織が最適と判断するビジネスユニットに分かれて運用されます。
「間接業務部門」は業務内容に応じて、総務・法務、経理・財務・購買、人事、情報システムのような部門に分けられた設置がなされているでしょう。
これらに加え、内部統制のための組織も必要になるでしょう。
さらに、セキュリティ監視、インシデント対応の專門組織を内部又は外部委託の形でもつことも一般的になっています。
これら各組織の機能に応じ、情報セキュリティ対策を分担することになります。
直接業務部門
直接業務部門では、自部門で利用する情報資産に対応したセキュリティ対策が必要になってきます。
情報資産は情報及び情報システムを指します。
その組織の業務で利用される情報及び情報システムに対し、脅威と脆弱性を検討します。
その上で必要な管理策を策定、実行する必要があるのです。
これを行うには、共通部門にある情報セキュリティマネジメント組織の指導を仰ぎつつ実行するのが一般的でしょう。
営業部門でいう重要な情報資産とは、顧客情報、個人情報、営業秘密などが該当します。
また、製造部門では製造のための企業秘密、あるいは製造ラインそのもののセキュリティ対策も必要になってくる可能性もあるでしょう。
守るべき対象はどのような情報資産なのか、現場の業務と、專門の情報セキュリティ担当の連携がなされることで初めて効果的な対策を打てることになるのです。
間接業務部門
間接業務部門では、それぞれの業務分担に応じた情報セキュリティ対策をその業務の一環として実施する必要があります。
建物や居室の契約、管理は総務部門でまとめて行なわれがちかと思いますが、この契約や管理の中で物理セキュリティ対策を考慮する必要があります。
人事部門では従業員の雇用や退職などの人事業務が行なわれます。
この業務の具体的実施手順の中で情報セキュリティに関する人的対策が実施されます。
情報セキュリティのための業務が繁忙になったり、水準が低下したりすることを防ぐ意味でも、直接業務部門が個別にこれらの対策を実施する必要があるのです。
ISMSに準拠した情報セキュリティマネジメントの導入、運用、実施状況の確認とPDCAの推進のために情報セキュリティマネジメントを担当する部門も必要になります。
業務の重要度次第では独立に設置し、全社レベルの情報セキュリティマネジメントを推進する機能が必要になります。
マネジメントを推進する部隊に加えて、情報セキュリティ事象の監視、インシデントの判断や対応を行なうSOCやCSIRT も必要になります。
SOCの役割は、インターネット経由の通信を監視し、自組織にとって脅威となる攻撃を識別して通知することです。
内部組織の操作ログなどを監視して、不正な行為を発見する役割も要求されます。
CSIRTは、情報セキュリティインシデントが発生した場合の被害の特定、侵入経路の特定などを担います。
インシデント対応がない場合は、外部の專門機関との情報交換によるインテリジェンスの収集や情報セキュリティに関する、主に技術面でのコンサルティング、教育などの役割を担うのです。
SOCやCSIRTは自社内ですべての機能を用意することが難しいこともあるので、一部の機能を外部委託する場合もあります。
関連記事
情報セキュリティの人的・組織的対策⑤ 法的、契約上の要求への対応
情報セキュリティの人的・組織的対策⑥ 人的資源の情報セキュリティ
情報セキュリティの人的・組織的対策⑦ 人的資源に対する管理策
情報セキュリティの人的・組織的対策⑧ 供給者関係の情報セキュリティ