2024.11.28
情報セキュリティの見直しと強化(監査と点検) 2/3
目次
中小企業の経営者や情報システム担当者の皆さん、日々のセキュリティ対策、お疲れ様です。
本記事では、組織における情報セキュリティへの取り組みを評価して、さらなる改善へと導くための監査・点検の重要性とその実施方法について説明します。
全3回にわたってお伝えするこのシリーズ。2回目となる今回は、実施した監査と点検の結果をどのように活かすかに焦点を当てます。
前回の記事はこちら:「情報セキュリティの見直しと強化(監査と点検)1/3」
1.監査・点検における経営者の役割
品質管理や業務改善においてよく使われる経営管理手法にPDCAサイクルがあります。
PDCAサイクルとは、計画(Plan)→ 実行(Do)→ 確認(Check)→ 改善(Act)の4段階で構成され、多くの企業で使用されています。
監査・点検は、このPDCAサイクルの「確認(Check)」に該当します。
現代では、企業の競争力を維持・強化するためのデジタルトランスフォーメーション(DX:Digital Transformation)の推進が重要な経営課題として挙げられています。このDXを推進するうえで、情報セキュリティへの対策が必要不可欠です。
経営者は情報セキュリティ監査および点検の結果を適切に活かし、組織全体のセキュリティ水準を高めることが求められます。
2.経営者が実行すべき「重要7項目の取組」
中小企業で情報セキュリティを確保するために、経営者は以下の「重要7項目の取組」を推進する必要があります。これには情報セキュリティポリシーの策定や、実際に情報セキュリティ対策を実践するうえでの責任者・担当者に明確な指示を出すことが含まれます。
場合によっては、情報セキュリティの責任者として経営者自らが実行することも必要になると考えられます。
| 取組1 情報セキュリティに関する組織全体の対応方針を定める |
| 情報セキュリティ対策を組織的に実施する意思を、従業員や関係者に明確に示すために、どのような情報をどのように守るかなどについて、自社に適した情報セキュリティに関する基本方針を定め、宣言します。 自社の経営において最も懸念される事態は何かを明確にすることで具体的な対策を促し、組織としての方針を立てやすくなります。 |
| 取組2 情報セキュリティ対策のための予算や人材などを確保する |
| 情報セキュリティ対策を実施するために、必要な予算と担当者を確保します。 これには事故の発生防止だけでなく、万が一事故が起きてしまった場合の被害の拡大防止や、復旧対応も含みます。 情報セキュリティ対策には高度な技術が必要なため、専門的な外部サービスの利用も検討します。 |
| 取組3 必要と考えられる対策を検討させて実行を指示する |
| 懸念される事態に関連する情報や業務を整理し、損害を受ける可能性(リスク)を把握したうえで、責任者・担当者に対策を検討させます。 必要とされる対策には予算を与え、実行を指示します。 実施する対策は、社内ルールとして文書にまとめておけば、従業員も実行しやすくなり、取引先などにも取り組みを説明する際に役に立つので、併せて指示します。 実行を指示した情報セキュリティ対策がどのように現場で実施されているかにつき、月次や四半期ごとなど適切な機会をとらえて報告させ、進捗や効果を把握します。 |
| 取組4 情報セキュリティ対策に関する適宜の見直しを指示する |
| 取組3で指示した情報セキュリティ対策について、実施状況を点検させ、取組1で定めた方針に沿って進んでいるかどうかの評価をします。 また業務や顧客の期待の変化なども踏まえて基本方針なども適宜見直しを行い、致命的な被害につながらないよう、対策の追加や改善などを行うように、責任者・担当者に指示します。 |
| 取組5 緊急時の対応や復旧のための体制を整備する |
| 万が一に備えて、緊急時の対応体制を整備します。被害原因を速やかに追究して被害の拡大を防ぐ体制を作るとともに、的確な復旧手順をあらかじめ作成しておくことにより、緊急時に適切な指示を出すことができます。 整備後には予定どおりに機能するかを確認するため、被害発生を想定した模擬訓練を行うと、意識づけや適切な対応のために効果的です。 経営者のふるまいについても、あらかじめ想定しておけば、冷静で的確な対応が可能になります。 |
| 取組6 委託や外部サービス利用の際にはセキュリティに関する責任を明確にする |
| 業務の一部を外部に委託する場合は、委託先でも少なくとも自社と同等の対策が行われるようにしなければなりません。 そのためには契約書に情報セキュリティに関する委託先の責任や実施すべき対策を明記し、合意する必要があります。 ITシステム(電子メール、ウェブサーバー、ファイルサーバー、業務アプリケーションなど)に関する技術に詳しい人材がいない場合、自社でシステムを構築・運用するよりも、外部サービスを利用したほうが、コスト面から有利な場合がありますが、安易に利用することなく、利用規約や付随する情報セキュリティ対策などを十分に検討するよう担当者に指示する必要があります。 |
| 取組7 情報セキュリティに関する最新動向を収集する |
| 情報技術の進化の早さから、実施を検討するべき対策は目まぐるしく変化します。 自社だけで把握することは困難なため、情報セキュリティに関する最新動向を発信している公的機関などを把握しておき、常時参照することで備えるように情報セキュリティ担当者に指示します。 また、知り合いやコミュニティへの参加で情報交換を積極的に行い、得られた情報について、業界団体、委託先などと共有します。 |
3.監査・点検結果を経営管理に活かす
経営者にとって、前述の「重要7項目の取組」を通じて、情報セキュリティの確保が会社にとって不可欠であることは理解できても、社内の実施状況を正確に把握し、適切な対策を講じることはなかなか難しい課題です。
経営者が状況を把握できていないと、的確な意思決定や指示、命令が疎かになり、事故発生のリスクが大きくなってしまいます。
そこで、監査や点検の結果を経営者に報告し、経営者が意図するセキュリティ対策が実現できているか評価することが極めて重要です。
これにより、経営者は社内の情報セキュリティの状況を適宜把握することができ、精緻にリスク管理と改善を図ることが可能になります。
このような取り組みによって、企業全体のセキュリティ水準を向上させることが期待できます。その結果、経営管理の一環として監査・点検の結果を最大限に活用することができるのです。
なお、本稿は、独立行政法人情報処理推進機構(IPA)が発行している「中小企業の情報セキュリティ対策ガイドライン第3.1版」を参考に解説しています。
次回は、「内部環境・外部環境の変化を監査・点検で見逃すな!」について解説します。
おすすめ記事
2024.08.23
2024.09.16
2024.08.20
2024.10.16
2024.09.02
