逆転の発想で1割を9割の成果にした信用組合のセキュリティ強化策：萩原栄幸の情報セキュリティ相談室（1/2 ページ）

2014年は情報セキュリティに取り組む企業での残念な点ばかりを指摘してきたが、最後はすばらしい成果を達成した企業でのケースを紹介したい。

[萩原栄幸，ITmedia]

　読者の皆さんは、金融機関のセキュリティがその他の業種に比べて極めて強固だと思われているのではないだろうか。しかし、実態は違う。同じ従業員規模でみれば金融機関のセキュリティは、“多少はマシ”というレベルが多く、中には「零細企業レベル」というところすらある。本連載ではこんな辛口ばかりを掲載してきた。せめて2014年の最後は、筆者が情報セキュリティの相談に対応する中で良かったことをお伝えし、1年を締めくくりたい。

専門家を生かす企業

　さて筆者は、2013年から2014年10月にかけてA信用組合で情報セキュリティを強化する作業にあたった。無事予定通りに完了したケースだ。最初の段階で筆者がどう行動すべきか尋ねたところ、役員から「今まで萩原氏のセミナーや講演を何回も受講している信用できるメンバーだ。最優先で作業するように指示しているので、彼らに指導をお願いしたい」と言われたのである。

　A信用組合は規模が小さいため、通常作業以外での作業時間は月間でのべ100時間が限度と言われたが、作業内容によって担当する従業員が異なるものの、できる限りその分野に明るい人選をしてくれるというありがたい申し出もあった。まず筆者はどのような作業を実施していくのかを検討し、「情報セキュリティ改革委員会を設置したい」と提案した。初期段階の1日を徹底的な議論の時間にあてて、“セキュリティの恥部”を表面化させることにした。

　信用組合から選りすぐりの中間管理職4人が参加した。問題点を事前にカードに記載し、それを委員会で発表させる形にした。これなら、カードに記載する問題点は1つにつき数分で済み、通常業務の中で作業できる。問題点が重複すれば筆者が配慮し、議論も本来ならブレーンストーミングやKJ法など定番の手法を用いるが、事前に知識を身に付けてもらうことで、時間を短縮させた。

　議論に費やした時間は「8時間×4人」の32時間だ。これでも多くの時間を費やしたが、非常に充実した内容だった。途中で抜けることは原則禁止とし、電話の取り次ぎも緊急事態を除いて断った。ランチタイムは全員で食事をしながら議事を進行した。その結果を「作業内容」「優先度レベル」「期待達成時期」「作業負荷」「難易度」「作業の中心人物」「外部者協力の可否」など幾つかに分け、A信用組合にとって最も行動しやすい形式の表に落とし込んだ。

　さて、その後は各項目について作業プロジェクトが組成され、筆者はアドバイザーとして作業自体には基本的に手出しをしないと決めた。メンバーの方々も筆者のような外部コンサルタントの活用ポイントを理解されていたようだ。

　企業によっては「コンサル料がもったいない」と、多くの実作業を行うようコンサルタントに依頼してくる。そうなると、往々にして芳しくない結果に終わりがちだ。コンサルタントがどう頑張っても限界があり、実作業に専念してしまうと、全体として取り組むべきことが進まなくなってしまう。最初に2、3時間ほどコンサルタントが指導して、意欲のある従業員が苦労しながら作業を行う方が良い。A信用組合は外部の専門家を受け入れる体制がきちんと整っている典型例だった。

　その後の作業も順調に消化して計画が前倒しで進んだ。結果的に成功するプロジェクトも幾つかあった。その一例が内部の還元資料（帳票）の削減である。

　A信用組合はその規模からみると、帳票の種類が非常に多かった。前項の情報セキュリティ改革委員会で「還元資料のスリム化及び電子化対応」として作業項目に挙げられ、「還元資料プロジェクト」が組成された。

　この時、筆者は別の2つのプロジェクトでそれぞれ大きな問題を抱えていた。その対応に追われ、「還元資料プロジェクト」について、ほとんどアドバイスができない状況だった。

　「還元資料」というと、読者はあまりセキュリティに関係しないと思われるかもしれない。しかし、A信用組合では過去に還元資料の持ち出しが起きて、顧客の信用を失ったことがあった。筆者は還元資料に関わる問題を情報セキュリティの一貫として対処すれば、解決できるだろうと考えた。電子化すれば印刷を制限できるようになるものもあり、少なくともアクセスの証跡は残る。セキュリティの観点からすると、個人識別もできる電子化がとても合致しているわけだ。