• TOP
  • コラム
  • 働き方改革
  • 働き方改革成功のカギは総務にあり
    成功の掟 第九条「総務で行う情報セキュリティ対策」

コラム

総務 / 働き方改革 / 働き方改革

働き方改革成功のカギは総務にあり
成功の掟 第九条「総務で行う情報セキュリティ対策」

2018年01月18日

 情報セキュリティ対策は、今やどの企業でも当然のごとく行われています。ただ、セキュリティに漠然とした不安を覚え、締め付けをもっと厳しくし、さらなるセキュリティ強化が必要であると考えている企業も少なくありません。

■企業のセキュリティ対策

 総務省が行った2016年度の「通信利用動向調査」によると、約9割の企業が「セキュリティに対し何らかの対策をしている」とあります。2017年5月に起きた世界的大規模のサイバー攻撃のような大規模な漏えい事件があるたびに不安になるようです。
 過去1年間のセキュリティ侵害の状況を見ると、何らかの被害を受けた企業は、2016年度は約4割だったのに対し、2017年度は約5割に増えているので、それも不安になる要因でしょう。
感染の原因は、第1位がウイルス、次いで標的型メールなのですが、どちらも会社であろうが自宅であろうがリスクを伴うことには変わりはありません。

 それでは企業はどこまで対策すればよいのでしょうか。
 セキュリティ対策には「システム的対策」「物理的対策」「人的対策」の3つがあります。お金をかけられるのであればITによる対策を施せばよいのですが、セキュリティ対策にお金をかけられない企業も多いでしょう。
 その場合は人的対策をすることが手立ての一つです。従業員への教育はもちろんのこと、システム監視を人的に行う、ログの解析を頻繁に行うといった対策が挙げられます。しかし、属人的になることも考えられるため、人件費を考慮するとシステム投資をした方がよい場合も少なくありません。

■セキュリティの事後対策

 総務部の方にも関連がある法律に、「サイバーセキュリティ基本法」があります。日本年金機構の個人情報流出事件が初の勧告事例となりましたが、特筆すべき点は事後対策(侵入されることを前提とした対策により、侵入されたあとでも情報を保護する)に触れたことといえるでしょう。
 組織の情報セキュリティ対策の一環として、最高情報セキュリティ責任者(CISO)の下、情報セキュリティインシデント対応チーム(CSIRT)を作るのですが、このCSIRTには総務の責任者が必要となってきます。
 私が関わった企業のCSIRTの組織構造は、経営者、情報システム責任者(CIO)、総務責任者、情報セキュリティ責任者、監査役からなります。経営者がCIOに対して事実確認と漏えい範囲の調査を指示し、二次被害を防ぐところから対策が始まりますが、大抵は外部から指摘があって漏えいが発覚するものです。そのため、総務の責任者が広報による問い合わせ対応と想定問答集の作成を指示します。また、記者会見に必要な記者会見場の手配や経営者が謝罪するシナリオの作成など、最悪なケースを想定して行動します。

 また、経済産業省の公表している「サイバーセキュリティ経営ガイドライン」では、経営者がセキュリティ責任者に指示し、着実に実行させる必要がある10の重要項目を掲げています。7番目の「インシデント発生時の緊急対応体制の整備」(緊急連絡先や初動対応マニュアル、CSIRTの整備、定期的かつ実践的な演習の実施)などは、総務が関わる項目として挙げられるでしょう。

■総務と情報システムの兼任者への対応

 最近、総務部と情報システム部の役割を兼任しているという方と会う機会が多くなってきています。そういった方のほとんどは、総務の外部研修は受けてはいるが、システムの外部研修は受けていないため、何かあったとしてもどう対処してよいのかわからないという悩みを抱えているようです。
 このような企業に対しては、基本的に担当者の負担が軽減されるようなシステム投資を勧めるようにしています。また、システム投資についても、どのくらいの期間で回収したいか、どのような回収方法がその企業にあっているかを確認し、稟議(りんぎ)書の書き方などをアドバイスしています。

家田 佳代子
​​MENU