 |
|||||||||||||||||
|
|
 |
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
| ||||||||||||||||
|
セキュリティ責任者を任命せよ! 最終回・セキュリティ対策に終わりはない |
||||||||||||||||
|
||||||||||||||||
|
|
||||||||||||||||
|
| ||||||||||||||||
|
セキュリティ責任者を任命し、その下にセキュリティコミッティ(委員会)を置き、その企業にとって最適なセキュリティポリシーを制定し、ルールを作りあげる-「これらの作業が完了したからといって、企業のセキュリティ対策が完了したわけではない」とセキュリティコンサルタントは口をそろえる。「企業が存続する限り、どうセキュリティを守っていくのか、対策が必要になる。ルールを作れば終わりではなく、それをスタートとして、社員にセキュリティの重要性の認識をもってもらうために、定期的にセキュリティ教育を行う体制を作るべきだ」という。なぜ、セキュリティ対策とは、一度で完了するものではなく、継続する必要性があるのだろうか。 ■ 社内に変化が起こればルールも新しくする必要がある
しかし、「企業がセキュリティを守っていくためには、一度ルールを作るだけで十分ということにはならない」と三井物産セキュアディレクションの執行役員、櫻井真ソリューション事業部長は警告する。「セキュリティ対策とは、継続的に続けていくもの」なのだという。 エム・ファクトリーの執行役員 プロフェッショナルサービス本部、ビト・モリナロ本部長は、「組織が変更になったり、新しい業務ができれば、当然従来のセキュリティ対策には変更が必要となる。IP電話を導入した場合など、新しいシステム、製品が導入された場合にも、新しいセキュリティ対策が必要となる」と変化に応じて見直しが必要となると指摘する。 確かに、変化があれば、既存のセキュリティルールに合致しない部分が出てくる。例えば、新しいサーバーを導入したとすれば、そのサーバー用にセキュリティ対策をとる必要が出てくる。 また、組織で事業部制になったといった変化があれば、事業部制のもと、誰がどんな情報にアクセスできるのかといった権限を新たに設定する必要が出てくるだろう。変化を見過ごすのではなく、「変化が起これば、セキュリティのルールにも変更を加えることを定着させる」ことが正しい認識といえるのではないか。 そして変化が起こった時に、新しいセキュリティを導入することを徹底するために、セキュリティ責任者の存在が欠かせない。責任者がいない状態では、「対策が必要かもしれない…」と社員が感じていたとしても、実践はされないということになりかねない。変化があれば、ルールも新しく作り直すことを明確にする責任者がいなければ、継続的にセキュリティ対策をとっていくことができなくなってしまうのだ。 ■ 全社員に理解してもらうために欠かせない教育
セキュリティを重視すれば、社員にとっては自由度がなくなり、業務を行う際に不自由な部分も出てくる。それだけに、何故、セキュリティが必要なのかをきちんと理解していないと、ルールを守らない社員が出てくる可能性が高い。 そこで、欠かせないのが教育だ。教育を行うことで、社員が「なぜルールを決めてセキュリティを守る必要があるのか」を理解するようになる。 また、一般論ではなく、自社のルールとはどういうものなのかを、社員に知ってもらう必要もある。ある企業では、eラーニングによって全社員にセキュリティ教育を行った。当初は、eラーニングシステムを作った企業が用意したコンテンツを利用して教育を行う予定だった。しかし、内容を見ると、あまりにもその企業の実態、設定したセキュリティポリシーとはかけ離れた内容だったために、オリジナルのコンテンツを新たに作り直さなければならなくなった。 こうした事例からもわかるように、本格的に社員向け教育を行っていくことは、決して簡単なことではない。だが、それでも、「セキュリティルールは、就業規則と同様、必須なものとして社内に定着させる必要がある」とインターネットセキュリティシステムズのプロフェッショナルサービス部・山口毅治シニアディレクターは指摘する。 しかも、「一度で終わりではなく、教育も毎年、行っていく必要がある」(インターネットセキュリティシステムズ・山口シニアディレクター)ものだ。 これは、セキュリティの重要性、内容を社員自身が認識するために欠かせないことだという。ISMS(情報セキュリティマネジメントシステム)のような認証を取得する際には、恒常的に社内教育を行っていくことが必要な要素のひとつであり、認証を取得しない場合でも、毎年セキュリティ教育を行うことの必要性を、企業ユーザーであれば認識すべきだろう。 そして、社内でセキュリティ教育を行う際、リーダー役となるのがセキュリティ責任者であることはいうまでもない。 ■ 自分たちではできない部分を補助してくれるのがコンサルタント
そこで、「外部のセキュリティコンサルタントを、うまく活用していく」ことが必要になってくる。 「自分たちで、すべてできるというスキルやノウハウをもった会社であれば、我々セキュリティコンサルタントの出る幕はない。企業の皆さんが持っていないノウハウや知識を出して、助けるのがセキュリティコンサルタントの役割」だという。 例えば、企業のセキュリティポリシーを構築するといっても、セキュリティポリシーとはどんなものかがわからなければ、作業がうまくいくわけはない。そこで、セキュリティコンサルタントにサポートを頼むことになる。根幹的な部分は、その企業自身で考えなければならないわけだが、「アドバイスを行うことで、ポリシー作りを円滑に進めていくお手伝いはできる」(インターネットセキュリティシステムズ・山口シニアディレクター)というわけだ。 セキュリティコンサルタントとは、企業がセキュリティ対策をとっていく際に、サポートをしてくれる存在なのである。 具体的なセキュリティコンサルタントの上手な活用方法を、三井物産セキュアディレクション・櫻井事業部長は、次のようにアドバイスしてくれた。「最初から最後まで、すべて頼むとなるとコストがかかる。最近は、安値でセキュリティコンサルを請け負う業者もいるが、そういう場合はその企業独自のセキュリティを作るアドバイスをするというよりも、同業他社の作ったものを横展開するケースが多い。できるだけコストを抑えながら、自分の会社に最適のセキュリティポリシーを作り上げ、運用していきたいと思うのであれば、すべてをコンサルタント任せにするのではなく、部分、部分でコンサルタントを活用していくというのが効率的なのではないか」 よいコンサルタントの見分け方について、エム・ファクトリーのモリナロ本部長は次のようにアドバイスする。 「コンサルタントが社内評価をしてもらった場合、『これだけ問題点がありますよ』と問題点の指摘しかできないコンサルタントには仕事を頼まない方がいい。『こういう問題点があるので、こう解決していったらいいのではないか』と解決策を示すことができる会社に仕事を頼むべきだ。もちろん、問題点さえ指摘してもらえば、自分たちで解決策はもっているという企業であれば、解決策を示してもらう必要はないのかもしれない。だが、解決策を自分達で見つけるのが難しいのであれば、解決策をもっているコンサルタントと一緒に仕事をすべきだろう」 日本では、ITがらみの情報漏えいが大きくクローズアップされたことから、「セキュリティ=ソフトやハードを導入して対策をとること」と考えられてきた。しかし、この連載でご紹介した通り、セキュリティ対策は企業の経営戦略の一環として考えられていかなければならないのではないか。 インターネットセキュリティシステムズの山口シニアディレクターは次のように話す。 「以前は、セキュリティコンサルタントはSEと同じようなものとして企業からは考えられていた。確かに、初期段階では技術対策に重きが置かれていたため、コンサルタントの仕事もSE的なものが多かった。しかし、最近では経営者と話ができるだけのスキルをもったセキュリティコンサルタントが増えてきた。経営者の皆さんには、セキュリティコンサルタントを現場の担当者と経営者層をうまくつなぐブリッジとして活用してもらいたい。外部の人間だから、中立的な立場でお話を進めていくことができる」 企業だけでは、うまく進めていくことができない部分をカバーしてくれるのがセキュリティコンサルタントの役割となる。あくまでも、主体は企業自身であり、自分たちでセキュリティ対策をとっていくという意志があってこそ、セキュリティコンサルタントもうまく機能することは間違いない。 ■ URL 三井物産セキュアディレクション株式会社 http://www.mbsd.jp/ インターネットセキュリティシステムズ株式会社 http://www.isskk.co.jp/ 株式会社エム・ファクトリー http://www.mfactory.tv/ ■ 関連記事 ・ 第一回・全社的なセキュリティ対策が急務(2005/08/10) ・ 第二回・実情にあわせたセキュリティポリシーを作ろう(2005/08/18)
( 三浦 優子 )
|
