SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

Security Online Press

日本に必要なのは「名ばかり」ではない、情報セキュリティ統括責任者だ―PwCサイバーサービス星澤裕二氏

 PwCサイバーサービス合同会社の星澤裕二氏は、2015年のセキュリティ重大事案について、日本企業が取り組むべき課題や今後の展望を語った。

「名ばかり」ではない情報セキュリティ統括責任者が必要だ

 日本で発生した2015年セキュリティ重大事案といえば、筆頭に日本年金機構の個人情報流出事件があげられる。同機関は5月から何度かに渡り標的型メール攻撃を受けて感染、ネットを遮断するなどの対応をしたものの保有する個人情報が一部流出した。その数、125万件。外部となる警視庁の指摘により発覚した。

PwCサイバーサービス合同会社 星澤裕二氏

PwCサイバーサービス合同会社 星澤 裕二氏

 事後の調査報告によると対応費用は基礎年金番号の変更処理に4億、専用ダイヤルに3億、お詫び文書送付に1億。これだけでも8億円だ。公的機関だからここまで対応できたものの、一般企業でここまでできるかと考えると疑問だ。  

 日本年金機構はサイバー攻撃の被害者ではあるものの、個人情報を流出させた加害者とみなされて批判を浴びることとなった。対応が遅れたり、適切でなければ信用喪失や株価下落など、さらに傷を広げてしまうことになる。  

 では、企業は何を準備すべきか。星澤氏は個人情報流出の対応ポイントして、インシデント対応組織(CSIRT)手順の明確化、社員向けの対応手順の明確化と周知、インシデント発生時の対応体制の明確化、封じ込め策等の判断基準・権限者・手順の明確化、情報漏えい時の全社対応体制の明確化、ステークホルダーへの対応手順の明確化を挙げた。  

 特に重要なのは「情報セキュリティ統括責任者」の存在である。呼称はともかく、インシデント発生時に全社横断的に指揮を執れるような存在だ。企業は万が一の事態が生じたら誰がどのタイミングで何をするか、組織体制と手順を明確にしておく必要があると星澤氏は説く。  

 実情はどうか。PwCのグローバル情報セキュリティ調査2016によると「情報セキュリティ対策として専任者を設置しているか」という問いに対してはグローバルも日本も54%。日本は前年の40%から向上し、グローバルと並ぶレベルに達した。  

 しかしこれだけでは安心できない。星澤氏は意思決定や効力から見て、日本はまだ課題を抱えていると見ている。例えば、同調査において情報セキュリティの統括責任者に関して「役員・取締役に直接リスクと戦略を伝えることができる」との回答はグローバルが43%なのに対して日本では半分以下の19%だ。「自社のビジネス課題と市場環境を理解している」もほぼ同程度、「ビジネス上の問題やニーズを把握するために、社内関係者と協力している」はグローバルで36%で日本は26%。  

 つまり、まだ資質面で追いついていないということだ。これでは「名ばかり」の存在となってしまう。星澤氏は「グローバルではCEO、役員、取締役とのコミュニケーションが取れることや専任であることがスタンダードです」と指摘する。

 理想としては、企業の経営陣に直接リスクや戦略を意見できること、社内横断的にリーダーシップを発揮できること、社内外の人脈が豊富で情報収集能力に長けていること、CIOやIT部門に技術的なセキュリティ要件を提示して適切に実装されているか確認できることなどが挙げられる。人材の確保、育成も含めて対策が必要ということでもある。

次のページ
まだまだ遅れているIoT対策、情報共有から始めよ

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
Security Online Press連載記事一覧

もっと読む

この記事の著者

加山 恵美(カヤマ エミ)

EnterpriseZine/Security Online キュレーターフリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Online の取材・記事も担当しています。Webサイト:https://emiekayama.net

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/7582 2016/01/15 00:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング