MENU
島根県を拠点にフィジカル・サイバーのセキュリティを提供するセコムグループの企業です
  1. ホーム
  2. サイバーセキュリティ
  3. 組織における情報セキュリティに必要な体制とは?

組織における情報セキュリティに必要な体制とは?

サイバーセキュリティ
サイバーセキュリティ

最近、大手企業に対する不正アクセスのニュースを良く見かけるようになったと感じています。

2021年の最初は改めて情報セキュリティに対する取り組みについて考えてみたいと思いますので、お付き合いください

目次

企業における情報セキュリティの取り組みの難しさ

とある組織から情報セキュリティに関する監査の依頼を受け、12月末に行ってきました。

その組織では情報セキュリティに関する規定が作成してあり、

・その規定に則って業務が実施されているか
・規定に定められている記録は適切に保存されているか

等々について監査を行い、出来ていない部分を遠慮せず指摘してもらいたいとの依頼を受けたものです。

監査を行った対象は

a.情報セキュリティを推進・管轄する事務局
b.個人情報を扱う部署1
c.個人情報を扱う部署2
d.個人情報を扱わない部署

の4つでした。

まずは情報セキュリティを推進・管轄する事務局を監査対象としました。
事務局と言っても一人しかおらず、他の業務との兼任ですので、この業務に割り当てるパワーは限られています。

利用されている情報セキュリティに関する規定を見ていくと、10年以上更新されていないものでした。

情報セキュリティを管轄する責任者、委員会などの体制について見ていくと、体制自体は整えられていて、それぞれの部署に情報セキュリティに関する責任者と担当者が割り振られていました。

委員会の議事録について確認したところ、半年に1度開催されていました。
しかし、打ち合わせの内容を見ると、いわゆるPDCAの実行の弱さは否めません。

具体的には、個人情報の漏洩リスクに関する根本的な原因究明と、それに対する対策(是正処置)が明確に行われておらず、さらにその内容の周知は一部の部署までにに留まっている状況でした。

また、今までの様々な情報セキュリティに関する事案(インシデント)の履歴(記録)もなく、発生した事案の教訓を生かす仕組みが非常に弱い感じを受けました。

規定や体制は定められているものの、それが上手く回っていない、そして、事案が発生した時に何とか対応はできていても、そこから得られた教訓をどのように活かせばよいのかが分からず、埋もれてしまっている様でした。

個人情報の取扱いの有無と組織における意識の違い

次に実業務を行っている部署へのヒアリングです。

実際に担当部署を訪問し、情報セキュリティを担当する担当者に対して具体的な業務内容やメディア(書類やUSBメモリなど)の保管、運用状況などを確認していきます。

今回個人情報を扱う部署2つに対して監査を行いましたが、自分たちが個人情報を扱っているとの意識があり、取扱には注意されていることを確認できました。

ある部署では個人情報が外部に漏れないように書式事態を見直すなどの工夫が現場レベルでされており、良い取り組みが見られました。

メディアに関する取扱いについても、USBメモリの貸し出し、書類の持ち出しなども記録がされており意識の高さを確認できました。


一方、個人情報を扱っていない部署は、どのような情報を扱っているか整理されておらず、いわゆる「情報資産台帳」が整備がされていないという状態でした。


また、メディアの管理も、USBメモリ等の記録媒体に関する台帳がありませんでした。仮に紛失した際は早期の発見が難しくなるなどの懸念点が多く存在していました。


確かにこの部署では個人情報の取り扱いはないものの、扱っている情報が外部に漏れたり、無くなってしまっては業務に大きな影響を受けることは明らかです。

しかし、そのリスクに対する意識の低さは否めませんでした。

 

この違いは一体何か…。

はっきりは言えませんが、個人情報を中心に対策が進められていることが、このような状況を招いていると感じられました。

 

1年以上前の脆弱性が対策されていない現実

文書ファイル

昨年12月、テレワーク用のVPN装置の不具合により、外部から侵入される事案が多く発生しているとのニュースが報道されました。

これは一昨年9月にVPN接続機能を持つ通信機器のソフトウェアの不具合が発表されたものであり、具体的な対策方法はメーカーのWebサイトでも公開されていました。


この例のように、1年以上経過しているのに何故対策がされないのでしょうか。

これには様々な理由があると思いますが、まずは自組織の中にどのような情報(情報資産)が存在し、その情報の価値はどうか、また、その情報に対する脆弱性(弱点)は何か、ということを理解出来ていないことが大きな要因であると感じています。


情報資産の棚卸ができていないと、何を、どこから、どのように対策したら良いのか見当がつきませんし、対策をしても”穴”が出てしまう可能性も否定できません。

自身の組織にどのような機器があるのかをしっかりと把握していれば、脆弱性情報が出た場合に、それらの情報と突合すれば、しなければならないことはすぐにわかり、対策できたのではないかと推測します。


しかし、この情報資産の棚卸しは結構手間のかかる事であり、どのように進めて良いか悩むと思います。

先述した組織においても、情報資産の棚卸しはされてる部署、されていない部署と濃淡があり、棚卸しされている部署に於いても不足している点が多々見られました。

 

情報セキュリティ対策を進めるための課題

先日の情報セキュリティ監査の経験から、情報セキュリティ対策はある程度の知識と経験が必要であり、改めて多くの組織での推進の難しさを実感しました。

さらに、どの組織にとっても情報セキュリティについて人的・費用的リソースを十分かけることは難しいのが現実です。そこで、私たちのように日々情報セキュリティに関する業務を行っている経験とノウハウを活かしていく方法を考えていきたいと思います。


山陰の組織は情報セキュリティに関するリテラシーが高い!と言われる様になれば良いと考えています。

サイバーセキュリティ
よかったらシェアしてね!
  • URLをコピーしました!

関連記事

目次