セキュリティ対策を強化するきっかけは、増員、拠点が増える、上場を目指している、小規模なセキュリティインシデントが発生した、同業他社がサイバー攻撃の被害にあった…など、様々な理由があるだろう。ただ、セキュリティ対策強化として検討すると担当者が導入すべきツールの選定に走ってしまいかねない。ツールの導入は部分的な強化には繋がるが、企業の発展や基盤強化という意味で検討するのであれば「ITコンプライアンス」構築(強化・再構築)という広義な視点で検討するのが適切だと言える。ITコンプライアンスとはどのようなものか解説させていただく。
✔️ ITコンプライアンスの定義
✔️ ツール導入の前に運用体制を検証・検討する
✔️ セキュリティポリシーの再構築からスタートする
ITコンプライアンスの定義
私見であるが、「ITコンプライアンス」の定義を以下とした。
企業におけるIT利活用で法令を遵守し、社会的な責任を果たすことで企業の信頼性が高まり、顧客や従業員からの信頼を得る。
・【法令】:個人情報保護法、不正アクセス行為の禁止に関する法律の遵守
・【規制遵守】:業界特有の規制や、取引先からの要求など
・【社会規範】:法律では明記されていない、倫理観や道徳的な基準。情報漏洩防止などはこれに該当する。
ITの活用により利便性がある一方で、SNSに自社の誹謗中傷を投稿する、退職時に情報を持ち出すなどのリスクとトレードオフの関係性となる。この運用実態を統制し、より多くの利便性を享受できるような体制を構築することが「ITコンプライアンス」のカタチということになる。
セキュリティポリシーを言い換えたようなものになるかもしれない。サイバー攻撃が巧妙化すると言われ、セキュリティ対策もアップデートする必要があると言われているが、ITデバイスの運用環境や社会的な価値観などの変化に応じて、社内規定もアップデートする必要がある。現状の運用に合致しないものや、考慮されていない不足事項があればその規定が社内で浸透してもその価値は薄れてしまうことになる。
ツール導入の前に運用体制を検証・検討する
セキュリティ対策強化にツール導入は要件によって必要不可欠となるだろう。だが、機能や価格面にフォーカスした選定ではなく、運用面において事前に検証・検討しておくべき事項がある。せっかく導入したのだが、期待通りの成果や効果が発揮できずに放置されてしまうという事態は避けるべきだ。
何を導入するかは、誰が使うかを考慮する
セキュリティ対策機器(ソフトも含め)は高度化・高性能になっており、様々なものが開発されている。価格においてもクラウドサービスで初期費用が抑えられるなど導入ハードルが低くなってきてもいる。何を選定するかのポイントで重要なのは「誰が使うか?」という視点である。
機能が豊富で、多彩な設定であらゆるインシデントを検知できるものがあったとしてもそれに応じた知識や経験を有する人材がオペレーションしなければ有効に使えないことになる。使いこなすことができないツールは、導入価値を半減させることになるだろう。そういう意味では、誰が…つまり、使う人のITスキル(知識と経験)と体制(専任者なのか、複数の要員で運用することになるのか..)によって、そのツールが適切(自社の運用に合致するものかどうか)であるかが見えてくるだろう。
「何を?」と並行して、「誰が?」の視点で検証・検討することが重要である。
高度化するツールが使いこなせるかどうかについては、以下の記事に詳しく解説しています。ご参照ください。
アウトプットするタイミングとレポートを決める
ツールを選定するポイントとして、「誰が?」ということは前述したが、この機能はこういう時に使える。これは便利である。という視点も良いのだが、ITコンプライアンス徹底のためのツールになり得るか。サポートツールになるかどうかも事前に検討するべきであろう。
セキュリティ対策ツールには、稼働状況を監視した結果をログとして蓄積しレポートするという機能が実装されている。どのレポートを、どのタイミングで誰に提出するかなど、導入後の具体的な運用を想定し、ITコンプライアンスが徹底されているか検証できるものかを確認し、運用体制についても導入前に構築しておくことが重要だ。
導入後に運用をどうするかと計画されることはほとんどなく、各種設定や操作などをして“導入の旬”が過ぎてしまうとただ稼働しているという状態になる可能性が大だ。こうならないために、事前に運用計画を策定しそれに則った運用できるツールを選定しないと、せっかくの投資が無駄になってしまう。
ツールを買う前にやっておくべきことについては、以下の記事もご参照ください。
セキュリティポリシーの再構築からスタートする
ITコンプライアンスが徹底されているかどうかの基準となるものの一つに「セキュリティポリシー」がある。法令に準じた社内規定がここに記されることになるからだ。まずは、セキュリティポリシーを現実の運用環境に応じた最新版としてアップデートすることからスタートする必要がある。
ITコンプライアンス徹底には教育が欠かせない
ポリシーが策定されたら、従業員へ認知させなければならない。定期的な教育(研修など)をすることが望ましいのだが、現実的なことを考えると業務とは直接的に関連性が低いことについては従業員の興味もそれほど高くはない。年間で1回程度の研修(例えば全社会議などの場で設定するなど)が持続的に実行できる限界であろうと考える。
年に1回は定期開催と位置付けるが、規定の変更があった場合は通知するような仕組みも教育という観点では欠かせない。文書にして保存するという運用ではなく、社内ポータルで常に閲覧が可能であり、修正・変更・追加があった場合はその部分だけ告知されるなど従業員に行き渡るような運用を推奨する。
セキュリティポリシーの実行度を数値で評価する
規定があっても実行されているどうかの確認・検証をする術がなければ有名無実のものとなってしまう。それを有効なものとするために「数値化」して管理をするという手法がある。達成度や進捗が定量的に可視化されることで、ITコンプライアンスが徹底されているかどうか、自己(自社)評価することができる。
数値化して管理する視点については、以下の記事もご参照ください。
定期的な見直し
繰り返しになるが、規定(セキュリティポリシー)は定期的なアップデートが欠かせない。担当部署を設けて定常業務として位置付けることで遂行する。優先度が低くなりがちなものであるため、滞りがちになるのは否めないのだが、企業の発展と基盤強化のためのITコンプライアンス徹底をするとなれば、経営者のリーダーシップを発揮するべき事項である。
社内の人材では補えないということであれば、第三者に運用を委託するという選択肢もある。顧問弁護士や顧問税理士のように、必要なタイミングで必要なことを実施してくれる存在として「IT顧問」的な存在を抱えておくという判断は適切であろうと考える。
IT顧問については、以下の拙著が参考になるかと思います。
「IT顧問のススメ」是非、ご一読ください。
画像をクリックしてダウンロードしてください。
ITの助言やアドバイスを受ける体制構築については以下の記事も参考にしてください。
最後までお付き合いいただきありがとうございました。
また、お会いしましょ。
