グローバル拠点にどうガバナンスを効かせるか
ZDNet 海外の生産拠点や販売拠点からの情報流出もリスクの1つと言われています。どんなことに取り組んでいますか?
新田氏 海外の製造拠点のうち100%出資している企業については、シングルインスタンスの共通システムで本社と接続しています。また、シンクライアントによるアクセスでデータを保護しています。拠点が増えてきた場合にも同様の形態を取る予定です。
三菱マテリアル 木下正一氏 システム企画部部長補佐。情報システム全般を担当。「セキュリティポリシーや基本的なマネジメント規定の策定などを行っている。カンパニー制を採用することから、事業ごとに適したセキュリティは何かを模索しながら対策を実施している」
芝崎氏 技術的には、HDD全体を暗号化し、営業活動などの一部についてのシンクライアントをテスト的に導入しています。ただ、それよりも、国ごとのガバナンスのほうが問題になっているという印象です。
新聞やウェブの情報では、マウス1個、ケーブル1本がお金になるなど、情報目的の盗難だけでなく、ハードそのものの盗難が問題になるケースもが少なくないと考えております。そうした国では、情報そのものよりもIT機器などのモノを保護するというガバナンスの順序になります。
また今後、特に2010年東京オリンピックに向け、時間管理や電力への無差別サイバー攻撃も大きな脅威になると考えます。電力プラントを狙うツールも出てきていますし、サプライチェーンへの影響も甚大です。企業単独での対策は難しいですが、ビジネス継続性計画(BCP)のなかで無視できない問題です。
木下氏 国内と海外という切り分けはしていませんが、事業の内容によって、シンクライアントの導入は部分的に取り組んでいます。海外では、IT関連だけでなく、製品や部品がなくなったりします。
監視カメラや入退室ゲートの整備は海外特有だと感じます。不正経理や横領などにも、システムのオペレーションとして対応していく必要はあります。
セキュリティ教育は継続的なPDCAがポイント
田中 ほとんどの企業が標的型攻撃を受けているという調査があります。セキュリティ教育については、どのように取り組んでいますか。
三菱マテリアル 村木誠氏 システム企画部部長補佐。情報セキュリティを担当。「製品導入などの技術的対策と啓蒙活動・教育という人の対策の2つを『クルマの両輪』になぞえらえて、情報セキュリティ対策に取り組んでいる」
新田氏 社外から社内宛先向けのフィッシングメールは検知していますので、従業員教育をしっかり行っていく必要性を感じています。CSIRTは、事故が起こった場合にスピーディーに対応できる体制であると同時に教育・啓蒙機能も持たせる予定です。現在は、eラーニングを中心として、各部門で定期的に研修を実施しています。
芝崎氏 当社も基本は定期的なeラーニングです。重要な注意喚起はトピックとして、社内ポータルのトップに掲載しています。また、異動などで職種や所属が変わったりした場合は、ITや関係法令を含めた研修を再度一日かけて実施しています。
村木氏 PDCAサイクルを回す上で、年に1回、グループ会社を含めて、情報セキュリティに関するセルフチェックを実施しています。弱い項目をチェックした上で、改善するためのアクションを起こすという取り組みをずっと続けています。毎年同じという項目もあれば、新しい項目を加えるなど改善しています。
インシデントについては、発生の状況を報告する体制を整えています。CSR委員会のなかに情報セキュリティ部会を設け、そこで報告します。それにより、全社に情報セキュリティがフィードバックできるようになっています。