サイバーセキュリティ対策の資源確保と委託先管理における注意点

この記事は約 4 分で読めます。


サイバーセキュリティ経営ガイドライン対応の進め方第6回である今回は、指示6「サイバーセキュリティ対策のための資源(予算、人材)確保」と指示7「委託先管理」について解説していきます。

前回の「サプライチェーンセキュリティマネジメントについて」までの流れで、一通りの“状況把握”と対策のための“取組み方針”が定まりました。

今回はその次の段階、取組みを“実行”する段階に入ります。ここでまず押さえるのは、「ヒト・モノ・カネ」の確保です。何をするにしても、この3要素は考慮する必要があります。

セキュリティ人材確保は最大の課題

取組みを具体的に実行するための3要素の内、特に意識すべきは「ヒト」の問題です。「サイバーセキュリティ経営を何とかしろ」と言われても、“誰が”何とかするのでしょうか。

サイバーセキュリティ経営ガイドラインの「対策を怠った場合のシナリオ」には下記の表記があります。

適切な処遇の維持、改善ができないと、有能なサイバーセキュリティ人材を自社にとどめておくことができない。

今やサイバーセキュリティ人材は引く手数多です。そう簡単に自社に引き込めません。また、人材を正しく評価できなければ、能力の無い人材に対策を委ねてしまうリスクも存在することになります。

このような状況から、ガイドラインでは下記2通りの方法を提示しています。

  1. 予算を確保し有能な人材を取り込む
  2. 1が不可能な場合は、信頼できる専門ベンダに対策を依頼する

システム管理の外部委託における注意点

次に「委託先管理」についてですが、近年は「クラウドサービス流行り」です。

自社内でサーバを管理していると、アップデートが大変です。作業も情報収集も手間がかかる。だから、まとめて管理してもらえるクラウドサービスを利用する。これは合理的な考えです。

では、実際にクラウドサービス業者を選定する際、どういう進め方をしたでしょうか?費用だけで選んでいませんでしたか?

クラウドサービスも、実質は、業務と情報の「委託」です。委託先が必要な管理体制を取れているかどうか、普通は確認しますよね。

  • チェック体制はどうなっているのか
  • 関係のない社員が触れる状態にないか
  • 違法行為はしていないか
  • 経営状況に問題はないか
  • 問題が発生したときの賠償はしてくれるのか

などなど、確認事項は数多くあることでしょう。

ところが、クラウドと言った途端、もわもわした雲のようなイメージを持ってしまい、“何となく”大丈夫だと預けてしまっていませんか?

クラウドサービスの仕組みを知ろう

クラウドサービスと言っても、必ず物理的にデータがどこかに保管されています。そして、保管場所に対しアクセスできる人やメンテナンスする人がいます。

情報を預けるクラウドサービスの従業員が不正の出来ないような、或いはミスをしないような管理体制だと確信できていますか?もし、管理体制の確認もしないまま委託をしたのであれば、何か起きてもそれは“全面的にに委託側の責任”ということになります。

条件に合致するサービスを選択すること

2016年の動向としては、クラウドを利用した「マイナンバー預かりサービス」が多く発売されましたね。私個人も様々なサービスの管理体制を確認しましたが、明らかにマイナンバーガイドラインに準拠できないサービスもかなり見つかりました。

どんな品物やサービスでも、良いもの、そうでないものがあります。それでも、10年持つものが欲しい、1年持てば良い、というように自分のニーズによって使い分けをしているでしょう。

この使い分けは、クラウドサービスであっても同じです。

自分たちが預ける“情報”と“使い方”を考え、どの程度のサービスレベルが必要か、どのような契約合意が必要かを導き出した上で、条件に合致したクラウドサービスの中から選ばなければなりません。

そしてさらに「問題が起きていないか、定期的にチェックをする必要がある」とサイバーセキュリティガイドラインでは謳っています。

まとめ

今回の内容は「責任は丸投げできない」という考えが根底にあります。人任せにするなら、必要な条件は揃っているか、任せても大丈夫な力量を備えているか、自らの責任で判断しなければなりません。

「分からないから専門家に任せた」という態度は有事の際には通用しません。サイバーセキュリティにおいては、CISOが責任の自覚を持って、人や外部に任せる必要があるのです。

次回は、指示8「情報共有活動への参加を通じた攻撃情報の入手とその有効活用のための環境整備」から説明します。

星野靖裕
金融機関にて、融資管理・情報システム開発に従事。経営・現場双方の視点を備え、効果的なマネジメントシステムの構築を指導。人員一桁から数千人の一部上場企業まで幅広くコンサルティングを行う。    >プロフィール詳細はこちら

こちらのページもご覧ください。

0からサイバーセキュリティの現状がわかる
情報漏洩セキュリティ対策
ハンドブックプレゼント

img_pdf1.はじめに
2.近年の個人情報漏洩の状況
3. 内部要因による情報漏洩
3-1.被害実例
3−2.内部犯行による被害統計情報
3-3.内部犯行による情報漏洩が増え続ける3つの原因
3-4.内部犯行を減らすための対策
4. 外部要因による情報漏洩
4−1.近年の個人情報漏洩の状況
4−2.実際の近年のサイバー攻撃による企業の被害実例
4−3.サイバー攻撃の統計情報
4-4.サイバー攻撃がふえ続ける5つの原因
4-5.急増する日本の企業のWEBサイト改ざんへの対策
4-6.サイバー攻撃の種類を把握しよう
4-7.日本におけるサイバー攻撃に対する国の対応と今後
4-8.外部要因による情報漏洩のセキュリティ対策
無料でここまでわかります!
ぜひ下記より無料ダウンロードしてみてはいかがでしょうか?

メルマガ登録はコチラ