委託先の事故から共に成長する――委託先の漏えいセキュリティ対策は事前と事後をつなぐ時代(3/3 ページ)

» 2009年12月17日 07時15分 公開
[尾崎孝章,デンカク]
前のページへ 1|2|3       

委託先と一緒にレベルアップする方法

 さらにZ氏は、「人も時間も使って委託先をチェックするのです。委託先の改善のためだけではなく、より自社の改善にもつながる活動にしましょう」と追加で提案した。

 委託元による委託先への調査では、本来その力関係に依るところが大きい。しかし、今回のケースではK社とF社は従来からの親しい付き合いで取引をしてきたため、その点を踏まえて、U課長はF社側の責任者にK社内を見学することを提案した。F社にK社のセキュリティ管理状況を見てもらうことの必要性について、Z氏から次の2つを提案されていた。

  • 委託先担当者が、委託元企業のセキュリティ環境を確認することで、自らの取り組みが足りない点を実感し、認識してもらう
  • 委託元であるK社の社員自身が委託先でのセキュリティの取り組みの手本となるため、K社自身に委託先の視点を入れることで緊張感を持たせる

 U課長は、委託元(K社)、委託先(F社)双方のセキュリティレベルのアップを目的に掲げてF社に問い合わせした。F社では内心、K社が社内をチェックするという受け身的な状況から消極的な立場にあったが、K社からの思わぬ提案によって、両社で一緒にセキュリティ管理に取り組んでいくという積極的な参加意識を引き出すことに成功した。委託先へのセキュリティ調査で始まった活動は、両社の共同活動としてのセキュリティチェックに発展していったのだ。

委託先とのレベルアップ、その後……

 事故発生から約1カ月後に両社での現場確認も終わり、K社とF社の各担当者が参加する総括会議が行われた。そこでの取りまとめとして、事故が発生したF社では、再発防止としてWebサイトのアクセス権限の変更手続きを記録化し、変更時にほかのフォルダへの影響がないことを検証する。この手順をルールとして実行するとともに、K社自身も社内サーバのアクセス権限の手続きを、F社にならって同レベルにするという取り組みを決めた。F社ではK社訪問時に確認した項目を取り入れ、退室時のキャビネット施錠確認など、新たなセキュリティ管理に取り組み始めた。

 会議を終え、U課長はZ氏に「いざ委託先への監督をしようとした時は、何をどのようにして指摘すべきか手探りに近く、不安にもなりました。結果として委託先から感謝され、自社のセキュリティアップも図ることができて大変意義あるものでした」と感謝を告げた。

 こうした調査で委託先が受け身とならず積極的な姿勢を引き出す活動は、これからの事故前提社会において求められるセキュリティ活動と言えるだろう。Z氏は「委託先から感謝される指導というのは難しいものですよ」と、U課長の取り組みを評価した。

 さらに、「自社だけでセキュリティに取り組んでいても甘くなる点が出てしまい、より一歩上を目指すには難しいものです。今後も継続して合同での取り組みを実施していくと、継続的な自社のレベルアップが図れますよ」と、改善に対する報告会議の定例化を提案した。

 U課長は「そのつもりです。いずれは幾つかの親しい委託先企業と共同の取り組みとして、やってみたいとも思っていますよ」と、Z氏にその意気込みを話すのだった。

執筆者プロフィール:

おざき・たかあき 株式会社デンカク代表取締役。業界紙記者として多数のIT企業の取材を手がけ、その後、情報セキュリティコンサルタント会社で業種・業態を問わず、大手から中小企業まで幅広い企業で情報セキュリティのコンサルティング業務を担当する。2009年より現職で効率的な企業セキュリティレベルの向上支援を目指して活動中。システム監査技術者・情報セキュリティアドミニストレータ・公認情報セキュリティ監査人。


企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

過去のセキュリティニュース一覧はこちら

前のページへ 1|2|3       

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ