青葉台駅伝言板

考えをまとめるための日記。頭を整理するごとに書き換えてしまうので、そんなつもりで優しく見てくーださぃ

組織セキュリティのススメ


各社で組織セキュリティの推進をするなかで、質問が多かった点をまとめてみた。

 

① セキュリティ統制、セキュリティポリシーの策定と推進

セキュリティ統制の方針については、JISとかでも規程されてる。会社がポリシーとして決めたものは守る、を基本にするのが当然。例外前提がないわけはないけど、まずは守ることを基本にしないと、統制の意味がないというか、統制がかからない。

他方で、ルールで統制するのは大事だけど、愚直に守ることに、経営者・統制推進者・従業員がどこに遵守のこだわりを持つかは、それぞれの立ち位置で見直さないと勘所がわかりにくい。

推進者がミッションに燃えても、結局組織から見ればヒト・モノ・カネがかかる話だし、従業員からみれば事業の推進や業務の足枷に見えることはあるから、結局経営層と推進者が、「適切な運用をするんだ」という強いリーダシップを発揮することが大事。ちょっと話せば握れることでも、テレワークで全員が揃うことがなくなって相談できてなくてヒヤリ、ということも。

 

② 組織業務見直しに合わせた統制になっているか

JSOXの法案化は2006年。会計不正等、企業のガバナンスの信用性を問われたので、業務の見える化をして透明性を図るのだと。ITやセキュリティ関係で法律での規制ができると、業務の可視化と統制ってなんだ?って話で、すごく硬直した発想になる。

他方、組織の事業は生き物。伸びる事業もあれば、廃れる事業もあるし、それに応じて業務量もリスクも変わる。事業規模拡大による圧倒的な業務工数の増大もあるし、労働力不足などもあって、同じような業務のやり方をしたくてもできなくなることもある。組織業務の見直しを前提に統制を考えないと、結局は守れない硬直したルールだけが残ってしまう。

ルールはある一時点を抑えた。動画から切り取った1枚の写真みたいなもの。だからといって写真が無駄だとか間違いとかいうつもりはないんだけど、写真を見てどう評価するかは、その時々、時代で変わりうる。法律は時代では変わりうるとは言えないから、そこのギャップはどこかで埋めることにしておかないといけない。やってはいけないことと、柔軟でもよいこととの棲み分け。

見落としがちなのが組織をまたいだ業務委託関係。情報資産の管理部署が委託元なのか、管理業務も含めて委託されているのかは、何かあったときの責任問題にもなる。

 

③ 技術的動向による統制の見直し

事業の進め方、業務のやり方は技術的動向の影響を受ける。10年前ならまだしも、今更オンプレ前提でシステムは入れない。オンプレ時代はサーバを注文してからSEは6週間は勉強する時間があったが、今はそんな時間的な余裕がない。またクラウドSaaSかPaaSなどにより、セキュリティ統制を出来る範囲が変わる。以前であれば外部アクセスのポートだけ気にしておけばよかったのが、現在はSaaSサービスで要求されるポートを全部開けてしまっていいのかも気にしないといけない。万一の場合にクラウド事業者が責任を負ってくれることもないけど。その時は不安を感じながらポートを開けるけど、実害が発生する数年後には、ポートを開けることを悩んだ担当者もいなくなっている。

また、システム開発や運用で無料で使えるツールも格段に増えた。以前であれば、開発環境を揃えるにもコストも掛かったし、購入に決裁を諮った上で構築手段を学習するのに研修も受けてから技術開発も進めることが出来、きちんとヒトの成長に合わせたプロジェクトの進め方や、事業のススメ方が出来たが、今ではあちこちに無料でもいろんなツールが転がっていたりする。新しいプログラム言語を知らないと言い訳しても、最近は生成系AIがコードも書いてくれれば、絵まで書いてくれる。技術投資がなくても、一定の新しい技術の恩恵は受けることが出来てしまうので、投資承認が下りないことを言い訳にした準備期間も起きにくい。かといって、世の中の動向を無視してツールのインストールが一律禁止ではCISOやセキュリティ推進者を置く意味がない。

また全然違う観点として、DX化が進んでいる場合に、以前の業務と見直し後の業務がが似て非なるものになる。例えば、承認前にダブルチェックする、とかにしていても、承認行為自体がなくなっていることも。DX化の際は、事業や業務の肝は何なのか、必要なチェックをどうすべきかも留意したい。

などなど、技術的動向の変化に合わせて、ルールでカバーするのか、各社に任せられるのかどうかを決めたい。組織セキュリティは、組織の内部統制ガバナンスの1つなんだし。

 

④ 監査への対応

ルールだけ作ればみな組織セキュリティを守ってくれるのであれば苦労はないけど、実際には正しく運用されているかモニタリングは必要。各社の中でもともかく、監査できるヒトが確認はしたい。監査権限に基づいて初めて監査できる場合もあるので、組織セキュリティのルールを決めるところが監査の状況は相互にチェックできるようにしたい。

あとは人手任せのスクリーニングだけ、というわけにはいかないので、本来的には人的要素を介さずにシステムチックに、有事か平時かの区別ができるようにする。

 

意図して悪事を働く人も居るけど、多くはうっかりさん。うーん、全部ルールとして書いてくれと言われると資料が膨大になるので、まずはこの辺をしっかり考えるようにすることから始めてみよう。