Shoeisha Technology Media

EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

日本に必要なのは「名ばかり」ではない、情報セキュリティ統括責任者だ―PwCサイバーサービス星澤裕二氏

  2016/01/15 00:00

 PwCサイバーサービス合同会社の星澤裕二氏は、2015年のセキュリティ重大事案について、日本企業が取り組むべき課題や今後の展望を語った。

「名ばかり」ではない情報セキュリティ統括責任者が必要だ

 日本で発生した2015年セキュリティ重大事案といえば、筆頭に日本年金機構の個人情報流出事件があげられる。同機関は5月から何度かに渡り標的型メール攻撃を受けて感染、ネットを遮断するなどの対応をしたものの保有する個人情報が一部流出した。その数、125万件。外部となる警視庁の指摘により発覚した。

PwCサイバーサービス合同会社 星澤裕二氏

PwCサイバーサービス合同会社 星澤 裕二氏

 事後の調査報告によると対応費用は基礎年金番号の変更処理に4億、専用ダイヤルに3億、お詫び文書送付に1億。これだけでも8億円だ。公的機関だからここまで対応できたものの、一般企業でここまでできるかと考えると疑問だ。  

 日本年金機構はサイバー攻撃の被害者ではあるものの、個人情報を流出させた加害者とみなされて批判を浴びることとなった。対応が遅れたり、適切でなければ信用喪失や株価下落など、さらに傷を広げてしまうことになる。  

 では、企業は何を準備すべきか。星澤氏は個人情報流出の対応ポイントして、インシデント対応組織(CSIRT)手順の明確化、社員向けの対応手順の明確化と周知、インシデント発生時の対応体制の明確化、封じ込め策等の判断基準・権限者・手順の明確化、情報漏えい時の全社対応体制の明確化、ステークホルダーへの対応手順の明確化を挙げた。  

 特に重要なのは「情報セキュリティ統括責任者」の存在である。呼称はともかく、インシデント発生時に全社横断的に指揮を執れるような存在だ。企業は万が一の事態が生じたら誰がどのタイミングで何をするか、組織体制と手順を明確にしておく必要があると星澤氏は説く。  

 実情はどうか。PwCのグローバル情報セキュリティ調査2016によると「情報セキュリティ対策として専任者を設置しているか」という問いに対してはグローバルも日本も54%。日本は前年の40%から向上し、グローバルと並ぶレベルに達した。  

 しかしこれだけでは安心できない。星澤氏は意思決定や効力から見て、日本はまだ課題を抱えていると見ている。例えば、同調査において情報セキュリティの統括責任者に関して「役員・取締役に直接リスクと戦略を伝えることができる」との回答はグローバルが43%なのに対して日本では半分以下の19%だ。「自社のビジネス課題と市場環境を理解している」もほぼ同程度、「ビジネス上の問題やニーズを把握するために、社内関係者と協力している」はグローバルで36%で日本は26%。  

 つまり、まだ資質面で追いついていないということだ。これでは「名ばかり」の存在となってしまう。星澤氏は「グローバルではCEO、役員、取締役とのコミュニケーションが取れることや専任であることがスタンダードです」と指摘する。

 理想としては、企業の経営陣に直接リスクや戦略を意見できること、社内横断的にリーダーシップを発揮できること、社内外の人脈が豊富で情報収集能力に長けていること、CIOやIT部門に技術的なセキュリティ要件を提示して適切に実装されているか確認できることなどが挙げられる。人材の確保、育成も含めて対策が必要ということでもある。

※この続きは、会員の方のみお読みいただけます(登録無料)。


※この続きは、会員の方のみお読みいただけます(登録無料)。


著者プロフィール

  • 加山 恵美(カヤマ エミ)

    EnterpriseZine/Security Online キュレーター フリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Online&nbs...

  • Security Online編集部(セキュリティ オンライン ヘンシュウブ)

    Security Online編集部 翔泳社 EnterpriseZine(EZ)が提供する企業セキュリティ専門メディア「Security Online」編集部です。デジタル時代を支える企業の情報セキュリティとプライバシー分野の最新動向を取材しています。皆様からのセキュリティ情報をお待ちしておりま...

バックナンバー

連載:Security Online Press

もっと読む

All contents copyright © 2007-2019 Shoeisha Co., Ltd. All rights reserved. ver.1.5