一番危ないのは「異常なし！」の組織 企業が目指すべき情報セキュリティガバナンスの在り方は？

[PR／ITmedia]

PR

　「ウチは情報セキュリティ対策のルールがしっかりしている」「危ない報告も上がってこないから大丈夫だろう」――こう感じている企業が実は多いのではないだろうか。企業にとって情報セキュリティ対策が重要であることは、経営者、管理職、従業員全てのメンバーが同意するはずだ。現在は多くの企業が社内ポリシーやスタンダードと呼べる規定を作って運用し、ルールが存在しない組織はないに等しい。

　しかし、そうしたポリシーやルールがきちんと守られているかどうかは、現場に一任されているのが現状だ。情報セキュリティを企業が統制するには、グローバルな視点から海外拠点も含めた実施状況や課題を全社的に把握してリスクに対処するとともに、第三者の立場からの確認も不可欠である。では実際、企業は具体的にどのように実践に移していけばいいのだろうか。

　この問いに答えてくれるのが、ITインフラのソリューションを提供しているキンドリルジャパンだ。同社には、顧客に対し情報セキュリティの統制をサポートする組織「CTRaC」（Client Trust, Risk and Compliance）が存在する。今回はCTRaCに所属するメンバーたちに、企業がガバナンスを整備する重要性と必要な対応を聞いた。

日本における情報セキュリティガバナンスの課題

「情報セキュリティ対策は現場任せになっている」と話す田中氏

　「情報セキュリティ対策は現場任せになっており、ポリシーをどう実現するか、どう確認するかというところまで決まっていないケースが実は多いのです」と話すのは、キンドリルジャパンの田中真一郎氏（セキュリティ＆レジリエンシー事業部 クライアント・トラスト、リスク＆コンプライアンス統括マネージャ）だ。田中氏は顧客にサービスを提供する上で、プロジェクトの現場に足を運び、顧客が抱える悩みを聞きサポートしている。「現場ではルールに対する理解度やスキルレベルが従業員によってまちまちです。そのため対策もバラバラになり、状況を適切に確認できず、問題に気が付けないケースも起きています」と述べる。

　IT担当者にとってこの状況は悩ましい。現場から経営層に対し、現状をどう伝えれば経営層が適切な判断を下せるのか悩む担当者は多い。情報セキュリティガバナンスの実現にあたり、現場の状況がどのくらい事業インパクトがあるのか、それが経営目標に合致するのかなど、担当者に経営層と議論できる情報やスキルが不足しているケースが少なくない。

　こうした問題を抱える組織が自社だけで全てに対応しようとすると、情報収集の難しさやスキル不足から、対応が徐々に形骸化していき、上司へは「問題ありません」という報告しか上がってこない。こうした事態が続くと「ウチのセキュリティ対策は大丈夫だ」と経営層も慢心してしまうのだ。

　現場は何となく回っているが、そこにガバナンスが効いているかはよく分からず、経営層に対しても報告がしにくい――そんな現状を企業は打破しなければならない。

　「昨今は『経営層がもっと情報セキュリティ対策に関わることが必要ではないか』といわれるようになりました。経営者としてセキュリティが重要だという姿勢を従業員に見せることが必要です。それによって従業員にも『自社の経営層はセキュリティにきちんと取り組んでいる』と伝わります」と田中氏は述べる。

　このように情報セキュリティ対策の意識や取り組みを組織内に徹底させるには、現場のプロセスと改善のサイクルを正しく回す必要がある。そこで強力な味方になるのがキンドリルジャパンだ。

グローバルな視点を提供　「CTRaC」が目指すもの

　キンドリルジャパンは、自社だけでは難しい情報セキュリティガバナンスの整備をサポートする。グループ本社の米キンドリルは2021年にIBMのITインフラの構築や運用を担う部門から独立した組織で、100カ国以上で8万人以上の熟練したエキスパートが所属する。さまざまな顧客のプロジェクトで情報セキュリティ対策を支援するチームもあり、世界各国の企業が抱える課題の解決を支援している。

　田中氏が所属するCTRaCも、そんなグローバルなキンドリルの日本法人として国内の企業にセキュリティ管理のサービスを提供する。アウトソーシングの顧客を中心に、情報資産を守るための仕組みやルールを構築した上で、顧客システムのセキュリティリスクを識別し、各プロジェクトが規定のセキュリティルールに従っているかどうか、モニタリングやテストを通じて確認している。

　CTRaCの役割は、ID管理や脆弱（ぜいじゃく）性管理、構成管理などセキュリティ対策に必要な要素を一通り展開すること。また外部・内部監査を通じ、どんなプロジェクトでも一定の品質を担保できるよう、顧客をサポートすることだ。これによって、組織が持つシステムが正しく運用されているかどうかを経営層、システム管理者、従業員全てが把握できるようになり、「お客さまがシステムを安全に運用することにつながります」と田中氏は説明する。

「CTRaC」が提供する情報セキュリティガバナンス支援サービス（クリックで拡大）

　キンドリルジャパンはさまざまな業種、業態、規模の企業を顧客として抱え、日本における各業界の文化や慣習も把握した上でサービスを提供している。CTRaCで自動車業界の顧客を担当する松田優季氏（セキュリティ＆レジリエンシー事業部 クライアント・トラスト、リスク＆コンプライアンス）は「国内の関係会社および海外拠点に対してどのようにセキュリティガバナンスを効かせていくかは自動車業界でも課題で、なかなか解決策が見つからないという声を聞きます」という。既に多くの企業はセキュリティポリシーを策定し、大量の文書で規定していることがほとんどだが、その内容は一般的な記述にとどまり、システムの設定にどう反映させるか、正しく運用されているかの確認までは難しいのだ。

CTRaCで自動車業界を担当する松田氏

　「キンドリルなら、システムの実装や設定確認まで実績があります。パラメーターレベルでの設定の推奨値をグローバル共通で定義しているため、それをお客さまごとに調整しながら実装し、その後は定期的に確認を行います」と松田氏は説明する。

　特にサイバー攻撃は巧妙化・高度化が激しく、企業を守るための常識が常に変化する。「キンドリルとしても推奨値は常に見直し、アップデートしています。それをお客さまに実装して確認するサイクルを回し、事故からシステムを守り続けていきます」（松田氏）

　同じくCTRaCに所属する加々美涼子氏（セキュリティ＆レジリエンシー事業部 クライアント・トラスト、リスク＆コンプライアンス）は、各プロジェクトが施した情報セキュリティ対策を第三者の立場でレビューする業務に携わっている。現場の担当者はシステムの運用をメインとしており、必ずしもリスクの専門家ではないため、第三者の視点は重要だ。

第三者の立場から現場のセキュリティ管理状況のレビューを担当する加々美氏

　「標準化したプロセス、パラメーター、ツールの使い方のチェックを担当していますが、システムとして組んだプロセスの中にも“人の手”により行うステップが必ずあります。この部分がカバーされない、理解し切れていないケースが多く、第三者の立場でサンプリングして実機設定を確認したり、エビデンスを基に検証して正しく運用しているかどうかをチェックしたりします」と加々美氏は述べる。こうしたレビューを行うと、現場での認識に齟齬（そご）があったり、未設定や設定ミスが発見できたりすることが多い。

　このレビューチームだけでも、キンドリルにはグローバルで50人ほど存在している。日本に限らず、北米、ヨーロッパ、アジアなどの世界各国の環境で発見した要改善のポイントを日々共有している。こうした情報を世界にまたがる顧客サポートに反映させることができるのが、キンドリルの強みの一つだ。

各プロジェクトでの実施状況を第三者の視点で点検（クリックで拡大）

　情報セキュリティガバナンスのためのサービスだけでなく、キンドリルジャパンはSOC（セキュリティオペレーションセンター。サイバー攻撃の検出、分析、対応などを行う組織）サービスをはじめ、顧客が必要としているITソリューションを全方位で用意している。特に強みとしているのは、トータルでITインフラの管理や支援が行える点で、これは情報セキュリティ対策とは切っても切れない、非常に重要な部分だ。

　田中氏はキンドリルの強みについて「われわれにはさまざまなパートナーがおり、お客さまから見るとサポートの窓口をキンドリルに集約できます。IBMから分社化したことでよりニュートラルな組織となり、柔軟に対応できる点も特徴です」と説明する。

「ウチの情報セキュリティガバナンスは大丈夫？」と思ったら

　情報セキュリティ対策の整備やルール作りは、既に多くの組織が対応済みだと考えているだろう。しかし、それが適切に実装・運用できているか、現在の基準にあわせて適切にアップデートができているかという点には自信がない、さらにいえば気付いていない組織も多い。特に企業に求められる、世界各国における法令のアップデートに追従できなければ、ビジネスそのものが危ぶまれてしまう。

　これを打破するには組織の改善プロセスをしっかりと回し、日々正しく上がるアラートを基に経営層が適切な判断を行っていくことが必要である。それが経営層、システム担当者、従業員全てを巻き込んだ情報セキュリティガバナンスの第一歩となる。そこに第三者の視点を入れ、自社だけでは対応できない領域もガバナンスを効かせられることが、キンドリルジャパンの価値といえるだろう。

　「キンドリルは情報セキュリティガバナンスの中身を詰める専門家です。今何をどうすればいいかの判断は、自社だけでは結論にたどり着きにくい。セキュリティ対策の重要性を理解しつつも、どのように進めていいか分からない企業は、ぜひわれわれ専門家の知見に頼ってほしいです」（田中氏）

　自社の情報セキュリティガバナンスの在り方や対策に課題を感じていたら、キンドリルジャパンのCTRaCに相談してみてはいかがだろうか。きっと親身に相談に乗ってくれるはずだ。