会社にマッチした情報セキュリティ強化体制、企業環境や風土を考えてセキュリティ対策を考えることが、会社全体でのセキュリティ対策を講じることの秘訣です。

情報セキュリティ強化体制

情報セキュリティを強化するためには、まず体制を整備する必要があります。具体的には、情報セキュリティ担当部門(部署)を設置し、情報セキュリティの強化策の立案・実施、各部門の情報セキュリティ担当者の指導・支援、セキュリティインシデント発生時の連絡窓口、インシデント対応、経営者への報告手順のルール化などの体制整備を行ないます。情報セキュリティ担当部門は、独立した組織として設置してもよいのですが、要員数の制約からIT部門の一組織として設置されることも少なくありません。組織のあり方は、企業の規模や業種などによって異なりますが、重要なことは情報セキュリティ強化を担当する部門(部署)を明確にすることです。

また、体制の整備に際しては、社内規程などで権限と責任を明確にしなければなりません。なお、権限には責任がつきものですが、情報セキュリティに関する責任部門として明確にしておく必要もあります。

情報セキュリティの強化は、情報セキュリティ担当部門だけでは実施することができません。組織が一丸となって情報セキュリティ強化を推進するためには、経営者から組織の末端の従業員までが情報セキュリティに関する共通意識をもつことが不可欠です。そのためには、各部門に情報セキュリティ責任者を設置して、情報セキュリティ部門からの指示が迅速かつ適切に行き渡るようにするとともに、定期的なコミュニケーションの場を設けることも大切です。

なお、情報セキュリティ担当役員を配置することも忘れてはなりません。情報セキュリティ担当役員はなるべく上席の者、例えば副社長などにしたほうが好ましいです。それは、企業などの情報セキュリティへの意気込みを社内外に示す必要があるためです。

企業文化の理解

企業などによっては、論理的に仕事を進めていく企業文化をもつケースと、義理人情で仕事を進めていく企業文化をもつケースがあります。そのため、企業文化を認識したうえで、その文化にマッチした情報セキュリティ強化策を講じることが大切です。論理的に仕事を進めるような企業文化をもつ企業では、情報セキュリテイの必要性を論理立てて説明していくことが有効です。一方、上からの指示をそのまま実践するような企業文化をもつ企業では、セキュリティ対策の理由の説明よりも、何を実践すればよいのかがわかるようにシンプルな指示を行なって情報セキュリティ対策を強化するとよいです。また、QC活動といった小集団活動が盛んな企業では、情報セキュリティの強化策について品質管理の一環として改善策を検討させてもよいですし、社長からの指示のほうが有効だと思う場合には、各種会議で社長から指示を行なうようにする方法をとってもよいでしょう。

CSIRT

CSIRT とは、セキュリティ·インシデントへの対応を実施する組織であり、サイバー攻撃へ適切な対応を迅速に行なうために設置される組織りことです。サイバー攻撃では、特に迅速な対応が求められるので、CSIRTのようなセキュリティ·インシデントに素早く対応できる組織を常設するのが有効です。CSIRTは、セキュリティ·インシデントの発生時だけではなく、日常のセキュリティに関する情報収集(脆弱性情報の収集)を行なうとともに、組織内全体に対して注意喚起を行ないます。つまり、CSIRTはサイバーセキュリティの要となる組織と言えます。

また、CSIRTの担当者には、情報セキュリティに知見のある社員を配置する必要があります。なお、情報セキュリティ担当部門がCSIRTの機能をもつ場合もありますが、CSIRTと情報セキュリティ担当部門が分かれている場合には、緊密な連携をとるようにすることが大切です。