リソースの限られた中堅・中小企業の情シスについて考えるにあたり、本連載の第2回でポイントとして挙げた「己を知ること」と「人と人のつながりを強くすること」は、多くの業務を情シスが担う兼任情シスのような発想とは真逆に、働くすべての社員・経営者が情シスのステークホルダーとなるような、言わば“オール情シス”とでも言うべきかたちを表しているのではないだろうか? 最終回となる今回は、辻 伸弘氏、piyokango氏、熱海 徹氏に、この“オール情シス”は実現可能なのか論じていただいた。
登場人物
|
辻 伸弘氏
SBテクノロジー株式会社
プリンシパルセキュリティリサーチャー
1979年生まれ。コンピュータの専門学校に通いながら、サイバーセキュリティを手探りで学び、侵入テストの仕事に就きたくて上京。現在は、侵入テストだけでなく、事件・事故を調査するセキュリティリサーチの仕事にも携わっている。侵入テストで培った攻撃者視点、分析力と、リサーチで得た情報・知識を基に、執筆や講演などのエバンジェリストとしても幅広く活動する。
|
|
piyokango氏
「piyolog」運営者
インシデントや脆弱性などセキュリティ関連の話題に目がなく、年中追いかけつつ、気の向くままに調べたり、まとめたりすることに従事。
CISSP。
|
|
熱海 徹氏
SOMPOリスクマネジメント株式会社
サイバーセキュリティ事業本部上席フェロー
40年近く日本放送協会 NHK に籍を置き、放送基幹システム更新、地上デジタル整備等、技術管理に関する仕事を幅広く手掛けてきた。2016年7月に一般社団法人 ICT-ISAC に事務局に出向し、放送・通信業界全体のセキュリティ体制整備を行っている。2018年9月に現職へ転身。
|
“オール情シス”は可能なのか? 組織のセキュリティレベルを向上させる”部署内情シス”
|
熱海氏
まずはIT運用に関するさまざまなルールを遵守しなければならない。つまりガバナンス意識を社員それぞれが持つことが求められてくるでしょうね。しかし、私自身の情シス経験から言うと、情報セキュリティに限っても、個々人でルールを守ってもらうには、かなりの社員教育に力を入れる必要がありました。
その際に留意したのが、各部署・拠点で核となる人間(=”部署内情シス”)を育てることで、オール情シスとまではいかなくても、プリンターのトラブルや、NASの設定変更ぐらいは部署内で対処できるようになるので、情シスの負荷軽減にはなりましたね。また、ある程度の知識が現場にあることで、セキュリティインシデントが生じた際に被害を最小限に食い止めることができるはずです。
|
|
piyokango氏
“部署内情シス”となった担当者の意識の醸成がポイントとなってきますよね。社内でしっかり運用できるような体制づくりがまずは重要となりますが、その際に、担当となった人が「なぜ自分ばかりこんなことまでやらないといけないのか」といった“やらされ感”を抱いていると、どこかで綻びが生じてしまうでしょう。
また、自分が調べたことを部署内に向けて発信する際に、どこか他人事のように感じたり、面白くないと感じたりしてしまうようでは、継続は難しいです。まずは情報共有しやすい仕組みを構築するなど、部署内情シスを組織全体でしっかりバックアップすることが、部署内情シスを組織に根付かせるための第一歩になるのではないかと思います。
|
|
辻氏
やはり興味を持ってもらうことが何よりも大事ですよね。私自身もセキュリティに関する講演を行う際は、一人でも多くの聞き手に興味を持ってもらえるように気を配っています。セキュリティ対策ひとつにしても、なぜそれを行う必要があるのか、その背景に対して興味を持ってもらえなければ、なかなか自分自身の問題として捉えてもらいにくいのですから。
|
ニューノーマル時代に求められる情シスの役割とは
|
piyokango氏
コロナ禍で働き方が大きく変わっていくなかで、これまで以上に環境が変化していくことが予想されます。リモートワークやクラウド利用などが当たり前となれば、従来のように会社の枠のなかで働いていたときと比較すると、大きく解放された環境となりますから、そのギャップを個々人がしっかりと理解しなければなりません。
実際、単純な設定ミスからの情報漏えいなど、過去と現在の働く環境のギャップに起因するセキュリティインシデントは起きています。そうしたインシデント事例を自分たちに当てはめて考え、必要であれば対策を講じることができるよう、まずは日ごろから感度を高めてモニタリングしていくことが大事だと思います。
|
|
辻氏
前の話とも重なりますが、まずは自分たちのリソースをしっかりと整理したうえで、いま何ができていて、何ができていないのかを把握することが大事だと思います。それは以前から当たり前のように言われていたことかもしれませんが、“ニューノーマル”などのバズワードを上手に利用して、あらためて自分たちの組織の地固めを行うのもアリかもしれません。
そしてもし、十分な予算がないなどリソース不足によって不可能なことがあったとしても、“できていない”ということがわかっているだけで、大きな前進になります。また、社外に委託するにしても、最終的な責任は自分たちにあるということは忘れずに、委託したことで何が課題で何が解決できたのかを把握できないと、そもそも外部に委託するべきだったのかどうかの判断すらできません。そうならないよう、これからの情シスにはぜひ“自分たち自身についての理解”というのを視野に入れてほしいですね。
|
|
熱海氏
やはり以前と大きく変わったのがリモートワークの普及ですよね。一般的にリモートワークについて語られる際には、「ITを活用することで仕事がこんなにも効率的になった」といった肯定的なスタンスが多いですが、一方で情シスの仕事のIT化は逆に遅れてしまっているのではという印象を抱いています。
たとえば、運用管理全般にしても、もともと自動化が遅れていた企業が、リモートワークの普及によってさらに手間が増えてしまったというケースは容易に想像できます。また皮肉なことに、デジタル・トランスフォーメーション(DX)を推進するにあたり、IT活用の現状について情シスがExcelのシートでコツコツと更新しているといった、ちょっと笑えない事態も耳にします。セキュリティに関しても、業務に使われている野良PCなどを自動的に可視化できるツールを導入するだけで、情シスの負荷はかなり軽減できることでしょう。
それとリモートワークで情シス、現場、経営層含めてコミュニケーションが大幅に不足していますから、気軽に雑談ができるようなチャットチャネルを設けるなど、コミュニケーション・ツールを最大限に活用することも、一見地味かもしれませんが、かなり重要であると考えます。そうした提案を上層部にしてみるのも、情シスの役割であるはずです。
|
3回にわたり中堅・中小企業がいますべきセキュリティ対策についてディスカッションを行った本連載。どのように対策するか考えるにあたり、情報感度を高く持って新しい対応をする姿勢と、自社の現状を把握するために「己を知ること」の重要性について論じられた。そして、日ごろから経営層・現場とのシームレスな連携をするという、コミュニケーションの必要性も説かれた。
膨大な業務を抱える中堅・中小企業の情シスにおいて、限られたリソースだからこそ、一見当たり前と思われることにきちんと対応することが、ニューノーマルを生き抜く最も大切、かつ基本とすべき考えではないだろうか。
[PR]提供:ソフトクリエイト