「100年前から情報セキュリティ」――凸版印刷に見る大規模企業の対策と現実:情報システム担当者のための「突撃! 隣のセキュリティ」(4/4 ページ)
サイバー空間の脅威から自社を守るために、情報システム担当者はセキュリティ対策の在り方を常に考える必要がある。本連載ではJPCERTコーディネーションセンターの情報セキュリティアナリスト、瀬古敏智氏が企業の情報セキュリティ対策事例を取材。エキスパートの視点から取り組みのポイントを分かりやすく解説する。
広く、多様な情報セキュリティ課題に、グループ全体でどう対応していくか
凸版印刷には海外を含め約200のグループ会社があり、現在は情報セキュリティ管理推進部会が、グループ全体の情報セキュリティガバナンスについても検討を行っています。藤沢氏は今後の課題として、「拡大し続ける情報セキュリティリスクに、トッパングループ全体としてどこまで対応すべきか。これは大規模な会社共通の悩みでしょう」と語ります。
「例えばカード製造を行う上で必要となる各種認定などの基準は、情報通信技術の発展とともに、今後どんどん高度化・複雑化していくと思います。これらをキャッチアップして仕組みに落とし込むのは地道で大変な作業です。コストの問題もあり、いかに経営層から理解を得て、取り組んでいくか。他社の情報セキュリティへの取り組み事例も参考にしつつ、常に投資効率を意識しながら検討し、自社にとって最適な形で実現したいと思います」(藤沢氏)
池田氏も、「求められる情報セキュリティのレベルが異なり、全社一律のルールを適用できない中、どうバランスを取ってどこまで目指すべきか、日々悩みながら取り組んでいます」と概観します。
グローバルに広がるグループ各社、海外顧客への対応と、凸版印刷が情報セキュリティでカバーすべき対象は広い範囲にわたります。加えて、業務によって必要な情報セキュリティのレベルはさまざま。広範囲かつ多段階の情報セキュリティについて、どのように方向を定め、現実的な仕組みにして運用していくかが、今後の対策の鍵であるようです。
組織内CSIRTであるTOPPAN-CERTの取り組みでは、「インシデント連絡窓口を一本化したことの効果」「地道な活動による社内での信頼獲得の大切さ」が分かりました。また、インシデントやその予兆に対応するにも、情報セキュリティガバナンスを検討するにも、日々の情報収集や社外の組織との連携が不可欠ですが、そこでJPCERT/CCや日本シーサート協議会を有効に利用している点も一つのポイントといえます。
今回のお話を基に、自社を守るITエンジニアの皆さんに役立つ情報セキュリティ対策のポイントをまとめました。ぜひ参考にしてください。
今回のまとめ
- 業態・業務単位で求められる情報セキュリティのレベルは異なり、一律のルールを適用できるとは限らない。それぞれの実情に合ったルールの検討が必須
- 海外の企業からは、日本の法律に適合しないような依頼があることも。セキュリティ対策を実施する上では文化の違いも意識する必要がある
- 組織内CSIRT(社内のインシデント対応チーム)にインシデント連絡窓口を一元化することで、情報セキュリティ対応を確実化・効率化できる
- 社内でのCSIRT認知には、日々の地道な活動による信頼関係の構築が重要
著者プロフィール
瀬古 敏智(せこ としのり)
エンタープライズサポートグループ 情報セキュリティアナリスト
セキュリティ会社で官公庁向けのセキュリティ監視業務や脆弱性検証業務を担当。2009年7月、JPCERTコーディネーションセンター 早期警戒グループに着任。情報セキュリティアナリストとして国内外のセキュリティインシデント情報を収集/分析し、早期警戒、注意喚起などの情報を発信する業務に従事。2013年よりエンタープライズサポートグループにおいて、情報収集/分析/発信業務の他、CSIRT構築支援にも取り組み、日本シーサート協議会、フィッシング対策協議会の事務局を担当している。
Copyright © ITmedia, Inc. All Rights Reserved.