セキュリティは経営課題に
標的型攻撃に代表される巧妙なサイバー攻撃により、企業の規模、業種、業態を問わず、さまざまな被害が報告されるようになってきた。
企業は、どのようにセキュリティ対策に取り組み、今後リスクにどう対処していくべきか。ZDNet Japan編集部は、各分野において日本を代表する企業3社、4人のIT責任者を集め、詳しく話を聞いた。
ZDNet セキュリティは経営リスクという考え方が広がってきました。セキュリティをIT部門にすべて任せるのではなく、経営の合意のもとビジネスと一体として行うことが重要だとの考えです。まずは、セキュリティ対策としてどんな取り組みを行っているのかそれぞれ紹介していただけますか。
JFEスチール 新田哲氏。IT改革推進部部長。IT全般を担当。「セキュリテイ対策のスパン、打ち手をどう考え実施していくかが中心課題。情報セキュリティの専任担当者の任命やCSIRT設置などに取り組んでいる」
JFEスチール 新田氏 われわれは素材メーカーということもあり、一般消費者としてのお客様の個人情報を大量に保有しているわけではありませんが、情報漏えいのリスクは小さくありません。特に、企業理念に「常に世界最高の技術をもって社会に貢献します」とあるように、技術情報の漏えいは大きなリスクと考えています。また、グローバルで素材を提供していますから、システムダウンによる操業やサプライチェーンへの影響も大きなリスクです。
会社の統合時に、基幹システムを一元化しました。国内2つのデータセンターでBCP対応を行うと同時に、セキュリティ対策を共通化しています。またインシデントに対して的確でスピーディーな対応をとるためCSIRT組織も設立しています。
ZDNet サッポロさまはどうでしょうか。業種的に個人情報を数多く取り扱うと思います。
サッポロHD 芝崎氏 まず、システムのセキュリティ対策の前に実施するべき取り組みとして、重要な情報の区別とランク付けをしています。例えば、食品などは発売されるまでは秘密にすべき重要な情報ですが、発売されてしまうと誰もが知っている情報に変わります。会社にとって、とりわけ重要な情報は何なのかを探っていくと、実は、それほど種類は多くないというのが正直な感想です。
サッポロホールディングス 芝崎章太郎氏。グループリスクマネジメント部グループリーダー。「情報保護、内部不正、コンプライアンスを担当。グループITに所属していた経験があり、情報セキュリティとともにIT全般も見ている」
重要な情報というのは、企業の存続にかかわるもの、株価に影響を与えるものなどです。ITやセキュリティはあくまで事業の目的を達成するための手段ですから、それを目的に事業を止めてしまうようなことはしたくない。セキュリティで安全に事業を遂行できるようなベースをつくることを基本的な考え方にしています。
事業の足かせになるセキュリティ対策は本末転倒
ZDNet 標的型攻撃などへの対策についてはどうですか。
芝崎氏 標的型攻撃のためだけのセキュリティ対策は取っていません。情報の重要度に応じて、入口対策、出口対策、ログ取得、社内教育といった対策を実施しています。標的型攻撃は、ある意味では完璧に防ぐことができません。情報をランク付けし、被害を最小限にとどめる対策にするほうが効果があると考えています。
三菱マテリアル 村木氏 当社も、Windowsのパッチ当てやウイルス対策ソフトの更新など、基本的なところを徹底する方法です。ただ、やりなさいというだけでは抜けてしまいます。人の対策と技術的な対策はクルマの両輪。技術的な対策として、適切な環境でなければネットワークにつなげないような制御の仕組みを導入しています。
三菱マテリアル 木下氏 取り組み全般では、きっちりとした定義付けがポイントだと考えています。グローバル、セキュリティ、ガバナンスなどと言っても、具体的に何を指すのか不明確です。当社にとってのグローバルとはなにか、セキュリティは何か、ガバナンスは何かをまずは定義することから初めています。例えば、グローバルで、どういうガバナンスを効かせたいのか、それは国ごとなのか、エリアごとなのか、あらかじめ定義しておくことで、対策にブレがなくなります。
セキュリティのポリシーについても、一度決めたから永遠ということはありません。事業を妨げるルールでは本末転倒なので、事業を進めるための最善のルールを模索しながら、対策を打っている状況です。