無料セキュリティ対策に不安がある企業必見！「セキュリティ対策無料相談窓口」

サイバーセキュリティ経営ガイドライン対応の進め方第６回である今回は、指示６「サイバーセキュリティ対策のための資源（予算、人材）確保」と指示７「委託先管理」について解説していきます。

前回の「サプライチェーンセキュリティマネジメントについて」までの流れで、一通りの“状況把握”と対策のための“取組み方針”が定まりました。

今回はその次の段階、取組みを“実行”する段階に入ります。ここでまず押さえるのは、「ヒト・モノ・カネ」の確保です。何をするにしても、この３要素は考慮する必要があります。

セキュリティ人材確保は最大の課題

取組みを具体的に実行するための３要素の内、特に意識すべきは「ヒト」の問題です。「サイバーセキュリティ経営を何とかしろ」と言われても、“誰が”何とかするのでしょうか。

サイバーセキュリティ経営ガイドラインの「対策を怠った場合のシナリオ」には下記の表記があります。

適切な処遇の維持、改善ができないと、有能なサイバーセキュリティ人材を自社にとどめておくことができない。

今やサイバーセキュリティ人材は引く手数多です。そう簡単に自社に引き込めません。また、人材を正しく評価できなければ、能力の無い人材に対策を委ねてしまうリスクも存在することになります。

このような状況から、ガイドラインでは下記２通りの方法を提示しています。

1. 予算を確保し有能な人材を取り込む
2. 1が不可能な場合は、信頼できる専門ベンダに対策を依頼する

システム管理の外部委託における注意点

次に「委託先管理」についてですが、近年は「クラウドサービス流行り」です。

自社内でサーバを管理していると、アップデートが大変です。作業も情報収集も手間がかかる。だから、まとめて管理してもらえるクラウドサービスを利用する。これは合理的な考えです。

では、実際にクラウドサービス業者を選定する際、どういう進め方をしたでしょうか？費用だけで選んでいませんでしたか？

クラウドサービスも、実質は、業務と情報の「委託」です。委託先が必要な管理体制を取れているかどうか、普通は確認しますよね。

• チェック体制はどうなっているのか
• 関係のない社員が触れる状態にないか
• 違法行為はしていないか
• 経営状況に問題はないか
• 問題が発生したときの賠償はしてくれるのか

などなど、確認事項は数多くあることでしょう。

ところが、クラウドと言った途端、もわもわした雲のようなイメージを持ってしまい、“何となく”大丈夫だと預けてしまっていませんか？

クラウドサービスの仕組みを知ろう

クラウドサービスと言っても、必ず物理的にデータがどこかに保管されています。そして、保管場所に対しアクセスできる人やメンテナンスする人がいます。

情報を預けるクラウドサービスの従業員が不正の出来ないような、或いはミスをしないような管理体制だと確信できていますか？もし、管理体制の確認もしないまま委託をしたのであれば、何か起きてもそれは“全面的にに委託側の責任”ということになります。

条件に合致するサービスを選択すること

2016年の動向としては、クラウドを利用した「マイナンバー預かりサービス」が多く発売されましたね。私個人も様々なサービスの管理体制を確認しましたが、明らかにマイナンバーガイドラインに準拠できないサービスもかなり見つかりました。

どんな品物やサービスでも、良いもの、そうでないものがあります。それでも、１０年持つものが欲しい、１年持てば良い、というように自分のニーズによって使い分けをしているでしょう。

この使い分けは、クラウドサービスであっても同じです。

自分たちが預ける“情報”と“使い方”を考え、どの程度のサービスレベルが必要か、どのような契約合意が必要かを導き出した上で、条件に合致したクラウドサービスの中から選ばなければなりません。

そしてさらに「問題が起きていないか、定期的にチェックをする必要がある」とサイバーセキュリティガイドラインでは謳っています。

まとめ

今回の内容は「責任は丸投げできない」という考えが根底にあります。人任せにするなら、必要な条件は揃っているか、任せても大丈夫な力量を備えているか、自らの責任で判断しなければなりません。

「分からないから専門家に任せた」という態度は有事の際には通用しません。サイバーセキュリティにおいては、CISOが責任の自覚を持って、人や外部に任せる必要があるのです。

次回は、指示８「情報共有活動への参加を通じた攻撃情報の入手とその有効活用のための環境整備」から説明します。