【自社実践レポート・セキュリティ編】 情報セキュリティポリシーの作り方・広め方
2023/6/22 [ワークスタイル,経営,コラム]
目覚ましい発展を遂げる現代のIT社会において、セキュリティ対策の強化は企業にとって非常に重要度の高い課題です。そうは言っても、社内に必要な人材がいない、十分な予算がとれないなどの理由で、明確な方針がない、或いは昔に決めた方針をブラッシュアップできていない、といった企業様も多いのではないでしょうか。そのような方々のご参考になればと思い、弊社内田洋行にて情報セキュリティ方針及び実際のツール等の策定や見直し、社員リテラシーの底上げなどを担う責任者にインタビューしました。
− 今回は、情報セキュリティ管理責任者のKさんにお話を伺います。
社外の方にこの「情報セキュリティハンドブック」を褒めていただいたのが、本インタビューのきっかけになります。この中に書かれている基本方針や、ハンドブックのようなツール含めて、今の形になった経緯やご苦労などを伺いたいと思います。どうぞよろしくお願いいたします。
[情報セキュリティハンドブック]
K:取り組みを広げていただけるのはありがたいです。よろしくお願いします。
情報セキュリティガイドライン策定の背景・経緯
− まず、基本方針策定までの経緯を教えてください。
K:当社は自治体や民間企業にICTサービスをご提供しています。そのため、2006年にまず自治体をサポートする部門でISMS認証* を取得することになり、私も導入責任者として、ここに参画しました。ここで策定した社内規約・規定が、後々の方針のもとになりました。
* ISMS認証:組織の情報セキュリティに関して、国際規格(ISO/IEC 27001,JIS Q 27001)に則って第三者機関に認証を受けること。
K:その後、2009年にグループ会社で情報セキュリティインシデントがありました。地方ニュースにも載ったのですが、グループ会社の社員が外部記憶媒体を車に置き忘れて車上荒らしに遭い、個人情報が盗まれてしまったのです。
幸いなことにその後個人情報が悪用されるという事態は免れたのですが、大変大きなインパクトがありました。すぐにグループ全ての監査を実施しました。
− 監査のノウハウが社内にあったのですか?
K:ISMS取得の際に、監査についても社内にノウハウが溜まっていました。監査は私が主管していた課で実施しました。その後、グループ企業全体で統一した情報セキュリティガイドラインを策定することとなり、私が全社の情報セキュリティ部門へ異動し、監査と是正対策を進めていきました。
− 代表的な是正対策としては?
K:まずハードディスクの暗号化ですね。まずは既存のパソコンと、USBなどの外部媒体全てを暗号化しました。パソコンだけで2,500台程度ありました。
同時に、新規のパソコンの調達〜キッティングを一本化しました。機種も数種に限定して、統制を強化しました。好きな機種を購入できないという不満も現場ではあったようですが、漏れなく全ての機器を暗号化することが重要でした。
− 方針の策定も並行して進められた?
K:そうです。2006年に作ったISMS規定をベースに、より現場の運用に焦点を当てた、実践的なグループガイドラインを作りました。
− 半年程度で監査、運用の是正、ディスク暗号化、セキュリティガイドラインの策定を終えられたのですね。
K:トップからもスピードを求められましたので。グループ全体に適用していくにあたっては、各社それぞれに運用も違いますので苦労はしましたが、ガイドラインについては基礎となる規定があったので何とかなりました。パソコンの暗号化は、やはり物理的に調達や作業に時間がかかるのはどうしようもなかったのですが。
− この期間内で発足して実施ということですので、予算面でも苦労されたのでは?
K:最優先且つ緊急の課題ですから、すぐに計画書を作り、経営会議で承認してもらいました。トップも課題意識を強く持っていたので、そこはスピーディーに決まりました。
検討体制と実働部隊
− 社内の体制について、教えてください。
K:立ち上げは、専任メンバーとしては私ともう1名の2名体制でした。
今では情報セキュリティ推進委員会のもと、グループ会社を含めた全社の管理体制となっています。
− 社長直下のプロジェクトになっているのですね。
K:そうですね。固定化された組織というよりは、各部署・各グループ会社から責任者や技術者が参画し各種の協議・検討をしています。
− 例えばどんなテーマに取り組んでおられるのでしょう?
K:テーマは多岐に渡りますが、最近では全社のネットワークの脆弱性検査、お客様への遠隔サポート運用について議論・検討しました。遠隔サポートについては、運用ルールやツールなどをグループで共通化する方向で進めています。
情報セキュリティガイドライン策定で苦労した点
− お話少し戻りまして、グループセキュリティガイドラインを決める際にご苦労された点はありますか?
K:決める際に、というかやはり異なる部門、異なるグループ会社で共通のルールを作るので、そのプロセス自体が大変でしたね。パソコン持ち出しのルール一つ取っても、「その運用はできない」「厳しすぎるのでは」という意見が出ましたが、順守すべきセキュリティの基準を下げることはできないので、繰り返し重要性を説いて納得してもらうしかありませんでした。
− 当社はビジネスの異なる事業部がそれぞれ独立して動く傾向にありますが、それも影響しましたか?
K:情報セキュリティそのものは、事業内容にも顧客の属性にも依存しないですよね。ですから、ルールを作ること自体には影響はないはずなんです。ただやはり関係者が多いので、説明・合意のプロセスには苦労しました。
− そこを実質お二人で完遂された。
K:今だったらできないと思います。当時はパソコンや外部記憶媒体の紛失などが中心で、ネットワークやウイルス対策もそれほど複雑ではありませんでした。それに比べて現在は、環境の運用や、サイバー攻撃への対応など、対策も非常に複雑になっているので。
社員への周知徹底が必要!
K:ガイドラインは作成しましたが、規定文書のままではなかなか読む人も少ないので、ハンドブックを作って配布しました。
− 分かりやすくまとまっているし、サイズやデザインもいいですね!いつも手帳に入れています。
K:そうしてほしくて作りました。これも内容・デザインともに社内で考えたんですよ。
また、ガイドラインについては先ほども言ったとおり、様々な場所で繰り返し説明会を開きましたね。
更に、この内容を毎年eラーニングで全グループ社員に学んでもらっています。未受講者が出ないように、運用システム側で管理職に通知を出すなども行っています。
− ハンドブックとeラーニングの組み合わせは、社員への意識付けに非常に有効なのではないかと感じます。効果を実感されることはありますか?
K:一般社員と話していると、やはり意識は変わってきているとは思いますね。サポートの現場を見ても、例えばお客様のデータの取り扱いについては厳密なルールのもとに行動できていると思います。
手のひらサイズの情報セキュリティハンドブック。
内田洋行社員は手帳に入れて常に携帯しています。
今後の取組み
− 今後取り組む予定のテーマについて、教えてください。
K:サイバー攻撃が重要なテーマになっています。サイバー攻撃対策の一環として、社内でもエンドポイントセキュリティの仕組みを導入していますし、お客様にもいわゆるゼロトラストに基づいた提案を行っています。
K:あとは、グループ情報セキュリティガイドランとは別に、内田洋行のISMS規定をベースにグループ共通規定を策定する取組も進んでいます。
ISMS規定がグループで共通化されれば、セキュリティ対策ももっと共通で進められますし、何か起きた際の対応も早くなるはずです。
− 外部からの脅威や状況は刻一刻と変わりますし、終わりがない取組ですね。
また、これらは実際に事故が起きる前の予防対策の側面もありますから、経営層からすればなかなか投資しにくいという企業様もいらっしゃるようです。
K:そうですね、よくお聞きします。当社では経営層がセキュリティリスクによる経営へのインパクトという問題に非常に関心が高いので、セキュリティリスクに対する組織風土は醸成されていると思います。経営層のセキュリティリスクへの関与度は非常に重要に思います。
さいごに
− 記事を見ていただいている方にひとことお願いします。
K:情報セキュリティを組織に定着させるためには、繰り返しの教育が重要です。セキュリティインシデントは、最後は人の軽い判断や行為から発生します。なので、聞き飽きたよ…というくらいになるまで続ければ、いざという時に「これはまずいのでは?」ということでインシデントが防止できる可能性が高まります。ルールやツールの整備をしても、結局分かってもらえないと形骸化してしまいますから。それを防ぐためには、組織文化に根付くまで言い続けることしかないと思います。
K:セキュリティインシデントは交通事故のようなものです。起きてしまえば自分にも、会社にも大きな損害が出ます。遭う確率が低いからと言って日頃から注意を払わずにいれば、起きた時に取返しがつかないことになる。自分事として認識し、関心を持ってもらえたらと思います。
− ありがとうございました!