現代のビジネス環境において、情報セキュリティは企業の成長と存続に欠かせない要素となっています。しかし、日本企業の多くが抱える「人材不足」という課題により、情報セキュリティに充分な人員を割けないのが実情です。

現に、令和5年版情報通信白書によれば、デジタル化を進める上での課題・障壁として、日本企業の41.7%が人材不足に悩んでいると回答しており、次点の課題として30.7%がデジタル知識・リテラシーの不足をあげており、ITに関する専門知識を持った人材の不足を課題としています。

(出典：総務省 令和5年版 情報通信白書 各国企業のデジタル化の状況)

このような状況下では、ITに詳しくない担当者がひとり情シスの役割を果たすことも珍しくありません。情報セキュリティは、企業の大切な情報を守るための重要な取り組みです。特にITに詳しくない方がこの職務を引き受けた時には、不安を感じることも多いでしょう。

しかし、基本をしっかり押さえれば、少しずつ理解が深まり、職務を全うできるようになります。ここでは、新任情報セキュリティ担当者として取り組む内容を順に説明します。

まず行うべきことは、情報セキュリティに関する社内ルールをしっかりと把握することです。これらのルールは、誰がどのように会社の情報を扱うべきかを明確にしています。

ルールの確認

情報セキュリティ関連規程の文書や資料がどこに保存されているのか確認し、内容を隅々まで読みましょう。最初はどんなことが決められているのかを理解することが重要です。

疑問点の整理

読んでみてわからないこと、疑問に思ったことを整理します。必要であれば、前任者や同僚に質問してみましょう。この段階で、社内の情報セキュリティに対する考え方や方針、実際の運用フローをある程度理解することができます。

もし、情報セキュリティに関する社内ルールがなく、これからルール作りからはじめる場合でも、経済産業省やIPA 独立行政法人 情報処理推進機構などの公的機関に、情報セキュリティ関連規程のサンプルがあるので参考にすると良いでしょう。

次に、企業が直面するリスクを特定し、それに対する評価を行います。リスクとは、情報が漏洩したり、侵害されたりする可能性のことを指します。

リスクの洗い出し

社内で扱っている情報の種類（顧客データ、社員情報、機密情報など）をリストアップし、どの情報が危険にさらされるか考えてみましょう。

リスクの評価

各情報の重要性と、それに対する脅威（外部からの攻撃、内部の誤操作など）を評価します。例えば、顧客情報が漏洩するとどうなるか、社内のデータ損失がどれほど影響を与えるのかを考えます。リスクを理解することで、どの部分に特に注意を払うべきかが明確になります。

リスクを分析したら、それに対する具体的なセキュリティ対策を検討し、実施します。

セキュリティ対策の選定

例えば、セキュリティソフトウェアの導入や監視カメラを設置するなど、具体的な策を考えます。これには、前述の物理的な対策だけでなく、パスワード管理のルールを強化する、データのバックアップ体制見直すといった社内情報の運用管理に対する論理的対策も含まれます。

実施計画の作成

提案した対策をどのように実施するかの計画を立てます。誰が担当するのか、期限はどうするのか、といった具体的な情報を整理しておきます。

この段階で、リスクを管理するための具体的な行動を実行に移すことが可能になります。

セキュリティ対策を実施するだけでなく、社内全体で情報セキュリティの重要性を理解し、意識を高めることも重要です。

社内研修の実施

定期的に社員向けの情報セキュリティ研修を開催し、セキュリティ意識を向上させるための教育をします。具体的には、フィッシングメールの見分け方といったものから、社内でセキュリティ事故が発生した時の対応訓練や行います。

周知徹底

ルールや手順を社内の掲示板やメールなどで定期的に周知し、基本的なセキュリティルールを理解して守れるようにします。

このプロセスにより、全社員が情報セキュリティに対する意識を持ち、各自が注意を払うことで、会社全体のセキュリティレベルを向上させることができます。

情報セキュリティは一度実施すれば終わりというわけではありません。ビジネス環境の変化、新しい技術の登場、そして新たなセキュリティ脅威に対応するためには、定期的な見直しと改善が不可欠です。

セキュリティ対策の評価

まず、定期的に実施した対策が効果を上げているか評価を行います。例えば、過去一年間にセキュリティインシデントがどれだけ発生したのか、その内容や経緯を分析します。インシデントの数やそのインパクトを把握することで、現行の対策がどれほど有効であるかを判断できます。

想定される脅威を一覧にし、その脅威に対する達成すべき目標を定めます。その目標が達成できているかの評価を行います。社内での専門家を育成し、社内でも自己評価できるようにしましょう。

また、高度な脅威に対しては第三者機関によって、評価してもらうことも大切です。セキュリティリスクを診断するサービスもありますので、ぜひ活用してみてください。

改善策の実施

評価結果に基づき、必要な改善策を考え、実施します。もし、新たな脅威や技術が登場した場合は、それに応じた対策を見直すことが重要です。最近のトレンドとしては、ランサムウェアの進化やフィッシング攻撃の巧妙化などが挙げられます。これらの新しい脅威に対抗するためには、常に最新の情報セキュリティ技術を導入することが求められます。

そのためには、積極的に外部のセキュリティリソースを活用するのも有効です。セキュリティ専門家によるコンサルティングも一つの選択肢です。これにより、新たな脅威に対して最適なアプローチを計画し、実行するための知識や技術を手に入れることができます。

さらに、IT業者との協力関係を強化し、必要な時にすぐに支援を得られるようネットワークを広げておくことも一つの戦略です。

この継続的な改善プロセスによって、自社に即した最新のセキュリティ対策を維持できるようになります。また、定期的なレビューと改善は、情シス担当者自身のスキル向上にも寄与します。新たな技術や方法を学ぶことで、自身のプロフェッショナルとしての成長を感じ取ることができるでしょう。

また、改善のプロセスにおいて他の部署との連携を強化することも一つの重要なポイントです。経理・人事・企画部門などの各部署とのコミュニケーションを活発にすることで、異なる視点からの情報セキュリティへの要望を吸い上げられるようになります。

これが組織全体としての情報セキュリティの強化につながり、ひとり情シスの担当者が孤軍奮闘しなくても、企業全体で脅威に立ち向かう体制が整うでしょう。

情報セキュリティ担当者としての役割は、社内ルールの把握から始まり、リスクの特定と評価、セキュリティ対策の実施、社内教育の実施、定期的なレビューと改善へと続きます。このプロセスを繰り返していくことで、DX推進による環境変化に対応していきます。

情報セキュリティは日々新しい脅威や対策が増えていきます。これを一人の力だけでは、維持していくことは困難です。より専門的な知識が必要となるセキュリティ対策の実施は、業務を委託することも必要になっていきます。

適切にアウトソーシングやクラウドサービスを活用しながら最適なセキュリティ体制を築き、新しい情報や技術の流れを常にキャッチアップすることで、企業の成長をサポートする基盤を強固に築いていくことができるでしょう。

最初は不安かもしれませんが、少しずつ情報セキュリティへの理解を深めていくことで、自信を持って仕事に臨むことができるでしょう。

→まずは、NTTコムウェアのゼロトラスト型セキュリティをご確認ください。