セキュリティの人や組織をどう作る? 富士ゼロックスや税理士の取り組み(1/2 ページ)

情報セキュリティの強化が求められる昨今、人材の確保や体制構築が企業での悩みになっている。富士ゼロックスと税理士法人あすなろが、大企業と中小企業の立場から取り組みを紹介した。

» 2016年03月29日 07時30分 公開
[國谷武史ITmedia]

 サイバー攻撃や内部不正などによる情報漏えいやシステムダウンといった被害が企業のビジネスを脅かすリスクとなるいま、多くの企業に情報セキュリティの強化が求められている。だが、人材不足などを背景に体制づくりがなかなか進まないというケースも少なくないようだ。3月15日に都内で開催された「サイバーセキュリティイニシアティブ2016」では富士ゼロックスと税理士法人 あすなろが、大企業と中小企業の立場から取り組みを紹介した。

情報セキュリティは総務部が所管

富士ゼロックス 総務部リスクマネジメントグループ長の神林彰氏

 富士ゼロックスは、2005年施行の個人情報保護法をきかっけに、ITが主体だった情報セキュリティの取り組みを全社規模に展開し、総務部のリスクマネジメントグループが所管する体制にしている。情報セキュリティを大規模災害やパンデミック、コンプライアンスなどと並ぶリスクマネジメントの重要テーマに位置付け、「極端ですが、午前中にセキュリティインシデントが発生し、午後に大地震が起きても、同じリスクマネジメントグループが対応します」(リスクマネジメントグループ長の神林彰氏)とのことだ。

 これまで同社は、個人情報保護法以前ではウイルス対策や不正アクセス対策など、個人情報保護法施行後ではPCやUSBメモリなどの紛失対策、メールや書類の誤送信対策、それ以降も業務委託先のセキュリティ管理や商品のセキュリティ品質管理、風評リスクへの対応、最近ではサイバー攻撃対策や内部不正対策、マイナンバー対応に取り組んできた。

 多くのケースでは個々の課題に対処しがちだが、同社では各種の取り組みを続けながら新しい課題にも対応していくことで、組織としてのリスク対応能力を継続的に高めていくというアプローチが特徴になっている。

 機器などの紛失、サイバー攻撃、委託先のセキュリティ管理といった個々の課題について平常時における担当する部門がそれぞれに対応し、有事に際には平常時の担当部門に、当事者となる部門や法務部門、広報部門やその他の関連部門が加わる連携体制を構築している。

 「1つの部門であらゆるリスクに対応することは不可能ですし、それぞれのケースに合わせて連携しながら、有事にはその連携を広げるようにしています。それによって、周辺組織での情報セキュリティ人材の育成につながります」(神林氏)

富士ゼロックスの情報セキュリティ基本方針

 また、経営と現場の組織の“縦方向”においてもリスクマネジメントグループが経営と現場の双方をつなぐ。情報セキュリティを経営リスクに位置付けることから経営サイドは密なコミュニケーションを図っており、例えば、インシデントに関しては規模の大小を問わず、その状況を情報セキュリティ部門から担当役員へ週次で報告し、社長にも月次で情報セキュリティ部門が報告している。

 現場との連携では各業務部門や関連会社の部門長などを“情報セキュリティリーダー”として配置し、リーダーを通じて従業員の情報セキュリティ意識の醸成に取り組む。リーダーとは年2回の会議を通じて情報などを共有し、事故管理や個人情報管理などのシステムも提供している。だた情報セキュリティリーダーは部門全体の管理も担うため、「多忙を極めている中で、どのように情報セキュリティに取り組みやすい環境を整備していくかが課題になっています」(神林氏)という。

 従業員の情報セキュリティ意識を高めるさまざまな施策にも取り組み、特に効果的だったのは、会社で事故が発生した後の状況を再現したビデオだったという。この他にもサイバー攻撃時のCSIRTの対応訓練や従業員向けには攻撃を疑似体験する訓練を実施している。

 神林氏は、人材育成などを通じて情報セキュリティ部門の実力を継続的に強化するとともに、関係部門とのコミュニケーションによって連携体制をつくることが企業としてのリスク対応能力の向上に必要だと語っている。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ