1. 担当者、代表者の孤独

 情報セキュリティ担当者は孤独です。
組織にヒト・モノ・カネが不足しています。他の業務も兼務していることが少なくないです。苦しいです。

 各種検討した施策は、各組織からは手間がかかると嫌がられます。施策は実態に即したものでないといけない、しっかりと現状把握し、想定させるリスクに対応、アセスメントし、しっかりマネジメントすべきですが、実態は、、

 何をしたらいいのか?どこから手を付けていいのか?良くわからない、このような担当者も少なくないのではないでしょうか?
 そして、全責任を負う、組織の代表者もきっと孤独でいらっしゃいます。

2. 組織の実態

 私が情報セキュリティに本格的に関わるようになったのは、出向先の会社で、情報漏洩事案が発生した時に遡ります。それまで親会社で、営業一筋で来た私は、何をしたら良いか分かっていませんでした。

 その矢先、インシデントが発生しました。
 社長は、親会社に説明に行かないといけません。
 社長から「拡大の防止、発生原因と再発防止策を早急に資料にまとめてくれ。」とオーダーされました。

 出向先はシェアード会社で、私は業務について明るくありません、もちろん業務フローも分かりません。
 そもそも会社の業務実態の全容を、誰も分かっていませんでした。
 社長には「当該組織の暫定的な対処は急ぎ策定するが、真の原因も分からない、全社的、恒久的な対処については、業務の実態、リソース、力量、余力が分からないと答えは出ないので、猶予が欲しい。」旨、説明し、社長からは「分かった。説明してくるので、よろしく頼む。」と理解いただきました。

 組織の実態を実は誰も分かっていないかもしれません。
  
 そもそも、インシデント発生の要因も、業務そのものや業務フローが問題なのか、実施組織の力量やその瞬間のリソースに問題があるのか、真因が把握できてはじめて、対処の検討が可能になります。

 私は何をしていいのか、分かりませんでした。

 その中で、暫定的な対処として先ず実施したことですが、当該インシデント発生組織に対しては、人的なチェック強化施策を適応し、「同様」の事案が再発することのないよう実施しました。その他の全ての組織に対しては、社内会議などを通じて、詳細な情報の共有による当該事案の理解と、セキュリティ意識の強化を図りました。また「同質」のインシデントが発生する可能性有無を確認させることとしました。

3. できることをやる

 暫定的に実施した、人的なチェック強化施策は、結果的に、当該組織のリソースを少なからず圧迫することとなり、相当の負担をかけてしまいました。(当該組織で余力の減少により、他のインシデントの発生確率を上げることになりかねません。)

 最終的には、組織のリソースと余力、業務や実施組織の実態、業務の本質、組織の将来的な在り方を踏まえて、当該業務の受託を解消することとしました。委託元にも丁寧に説明し、ご理解いただきました。各方面の業務影響も考慮した結果でした。

 着任早々の、この事案への対応が私の情報セキュリティ業務に関わる価値観を形成しました。

 情報セキュリティは、組織や業務の実態をしっかり理解して、リソース、力量と余力を踏まえて検討、実施する。その際、組織の前工程、後工程や関連会社、サプライチェーンも意識して、トータルでのリスクに対処する。その際、残余リスクも視える化し、組織内で意識を共有し、みんなで合意する。

 机上で考えた、一見理想的な施策は、実施が難しく、効果も大きくないことが少なくありません。
 「できないことはできません。」
 「できることをやる。」

 効果的で、効率的なセキュリティ施策を考える。
 一枚岩で、みんなで考える。
 
 そのために、先ず、知ることから始める。

 これらが、情報セキュリティーを考える上での私の価値観です。

4. おわりに

 当該のインシデントが発生した業務ですが、しばらくは委託元で、同様のやり方で実施されていました。
 実はその業務は、年間で数件発生するかしないかの業務でした。
 実施頻度が低いオペレーションは、ミスが発生する確率は低くありません。関連業務から切り離して、委託先にアウトソーシングするよりも、関連業務のオペレーションの延長で実施することで、ミスの発生確率を低下させることができました。

 最終的には、当該業務はシステムによる自動化が組み込まれました。
 自動化により人為ミスの発生は大きく減少しました。

 情報セキュリティ関連業務は、情報セキュリティ担当だけが実施する業務ではありません。
 経営トップ、幹部含めすべての組織が一枚岩になって取り組むことが肝要です。

 当該インシデントの対応では、社長含め当該事業部の幹部や経営幹部全てが、組織の実情を理解し、自分事として考えてくれたことで、ことが運びました。
 経営幹部の顔が見えて、組織間が近い会社であったことも有難かったです。

 当該組織は、色々な業務を我慢しながら、がんばって実施してきていたのだと思います。
 もっと早く、誰かが声を上げる必要であったのではないでしょうか。

 さて、情報セキュリティ体制やルールなどについて、お困りの皆さんの、お力になることができましたら幸いです。

               Antipasto合同会社
               代表者 河合 一成