セキュリティ事故に備える「CSIRT」構築術

日本を代表する情報セキュリティに強い企業は? CISOアワードが決定

企業や組織の情報セキュリティを担う「CISO(最高情報セキュリティ責任者)」の必要性が高まっている。初開催となる「CISO 10 Award 2014」では情報セキュリティへの積極的な取り組みを評価された4社が受賞した。

» 2014年12月02日 07時00分 公開
[國谷武史,ITmedia]

 情報セキュリティは、企業や組織における事業継続の観点からも非常に重要な課題となっている。その役割を担う存在として近年注目されているのが、「CISO(Chief Information Security Officer=最高情報セキュリティ責任者)」だ。まだ日本ではなじみが薄いものの、海外ではCISO職を設置する企業や組織が急速に増えている。こうした中、国内で情報セキュリティへ積極的に取り組む企業を表彰する日本CISO協会主催の「CISO 10 Award 2014」が初めて行われた。

 日本CISO協会は2010年に設立(2013年に社団法人へ移行)され、ユーザー企業の情報セキュリティ責任者やITベンダーなど約50社が加盟する。サイバー攻撃や内部犯罪などによる情報漏えいやシステム障害などのセキュリティリスクは、企業や組織の事業活動に深刻な影響を与えることから、同協会は活発な交流や情報交換、分科会活動や啓発などを通じて日本の情報セキュリティの推進にあたっている。

 「CISO 10 Award」は、一年で最も貢献度が高かったCISOをたたえるアワードとして今回初めて開催された。2014年9月末までにあった応募の中から「CISO of the Year No.1 Award」(副賞:ベストCEO賞/ベスト・イノベーション賞)として東京海上日動システムズ代表取締役社長の宇野直樹氏、「ベストCISO推進賞」にNEUSOFT Japan CISOの鈴木隆明氏、「ベスト・インシデント・リカバリー賞」にオリンパスの鈴木均グループ監査室長、「ベストCSIRT賞」にオリックス・システムが選出された。

 選考では前衆議院議員の藤原崇氏、デロイト トーマツ リスクサービス代表取締役社長の丸山満彦代氏、慶應義塾大学環境情報学部教授の武田圭史氏、前内閣官房情報セキュリティセンター参事官の山内智生氏ら5人が第2次審査を行った。各社の選出理由は次の通りだ。

CISO of the Year No.1 Award:東京海上日動システムズ 代表取締役社長 宇野直樹氏

 情報セキュリティに関する規程規定やルールの抜本的な刷新に対し、CEOの立場で鋭意推進し、多くの組織に対してもモデル(規範)となる実績を残した。

宇野氏 CISO of the Year No.1 Awardの東京海上日動システムズ 社長の宇野直樹氏(左は日本CISO協会の佐々木代表理事)

ベストCISO推進賞:NEUSOFT Japan CISO 鈴木隆明氏

 CISOとして、組織のCEOに直結した立場で業務を遂行し、CISOの地位向上に貢献した。

鈴木氏 ベストCISO推進賞のNEUSOFT Japan CISOの鈴木隆明氏

ベスト・インシデント・リカバリー賞:オリンパス グループ監査室長 鈴木均氏

 過年度の情報セキュリティ統括部門での経験を生かし、企業不祥事による上場廃止の危機を救い、企業の再生に貢献した。

鈴木氏 ベスト・インシデント・リカバリー賞のオリンパス グループ監査室長の鈴木均氏

ベストCSIRT賞:オリックス・システム「オリックスSIRT」

 インシデント対応をグループ横断的にバーチャルなSIRT組織で推進し、実行した。

オリックス ベストCSIRT賞のオリックス・システム 品質・管理グループ 関野靖也氏(写真右)と神前昭彦氏(写真左)

 11月26日に行われた表彰式で東京海上日動システムズの宇野氏は、「企業はITによる恩恵を享受しながら、一方でセキュリティリスクとも向き合わないといけない。当社ではガバナンス・リスクマネジメント・コンプライアンス(GRC)の視点から情報セキュリティの基準を制定して毎年の見直しと改善を経営レベルで実施している」と述べた。代表的な取り組みとして例えば、同社にはかつて15の規定と318のルールが存在したが、全社員が情報セキュリティへの理解を深められやすいようにと、情報セキュリティの原理原則に基づく簡素化によって3つの規定と78のルールに再編している。東京海上日動グループの事業継続を情報セキュリティの観点から全社一丸で取り組めるようにしたことが評価された形だ。

 NEUSOFT Japanの鈴木氏は、「情報セキュリティは非常に重要であり、ISMSへの取り組みなど様々な仕事をCISOという役割に統合していくことを心掛けた」と話す。CISOの役割は明確だが、実務などの面は企業や組織によって全く異なるものだろう。これを明確にしていくことを体現した同氏の活動が高く評価された。

 オリンパスの鈴木氏は、現職以前は情報セキュリティ統括室長として、情報セキュリティ活動の推進にあたっていたが、2011年の同社の不祥事を受けて内部監査部門の責任者となり、会社再生に尽力したという。現在はサイバー攻撃対策やCSIRTの組織化をIT部門に提言するなど、監査活動を通じて同社グループの統制活動の強化や向上に努めている。

 オリックスSIRTは活動を始めてまだ1年ほどだが、グループ各社への積極的な情報発信を通じてその存在感を着実に高めつつあることが評価された。品質・リスク管理グループ 施策企画チーム シニアスペシャリストの関野靖也氏は、「情報セキュリティとSIRTの確立をやらなければとの想いで活動してきた。選定いただいことを励みに、今後もまい進していきたい」と語った。

 情報セキュリティへ積極的に取り組む企業では今回の受賞各社以外にも、既に数多くのCISOやCSIRTと呼ばれる立場の人材やチーム、そして現場のセキュリティ担当者が幅広く活躍し、事業の維持と持続的な発展を日夜支えている。日本CISO協会代表理事を務めるNANAROQ代表取締役社長の佐々木慈和代氏は、「情報セキュリティのさらなる普及につなげるべく、今後もCISO 10 Awardを実施していきたい」と話している。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ