独立行政法人 情報処理推進機構(IPA)より、最新の情報セキュリティ関連の被害実態及び対策の実施状況などを取りまとめた「2007年 国内における情報セキュリティ事象被害状況調査」が2008年4月17日に公表されました。
そのアンケートの中の一つとして、「情報セキュリティ対策管理の社内体制」があります。
アンケートによると、情報セキュリティ対策を「専門部署(担当者)」が実施している企業は、23.2%(就業者300人未満では、13.3%)と、多くの企業・自治体は他の業務を行いながらの「兼務者」が実施しているという結果が示されています。
情報セキュリティ対策が「複雑化」・「高度化」している現在においては、情報セキュリティ管理者に対する負担は高まるばかりです。
情報セキュリティ管理者は、情報セキュリティ対策に関するスキルを武装化し、情報セキュリティ上の課題やリスクを認識した上で、PDCAサイクルを継続的に繰り返し、情報セキュリティレベルの向上を図る必要があります。
前述のPDCAサイクルを継続的に行う際に、最も負担が大きいのが「Do」の部分です。
特に障害・復旧・事故対応が大きな負担となり、「Check」「Action」まで対応しきれず、何か事故が発生してから個別にシステム見直し等を実施しているケースも多々見受けられます。
PDCAにこだわりすぎ、不充分なセキュリティ対策を実施するよりは、ポイントを抑えて対策を実行するのもひとつの方法です。
以下は当社が考える3つのセキュリティ対策のポイントです。
この中で、アウトーシングすることが有効なのが2番目の「ルール通り正しく運用されている」です。
最も負担の大きい運用部分を外部委託することで、企業における負担は軽減されます。
さらに、能力のある第三者に委託すると、内部統制でいうところの職務権限の分離や正確性の担保にもつながります。
情報セキュリティ・システムは、構築よりも構築後の維持・管理が大変です。
アウトソーシングを検討するにあたり、情報システム全体を考慮した上で、情報セキュリティ業務の構築・運用・管理などの面から適切な対策を検討し、アウトソーシングするか否かを検討する必要があります。
例えば、企業が安全にインターネットに接続する場合、不正アタック、ウイルスチェック、スパイウェアチェック、スパムメール対策といった高度なセキュリティ対策を施し、これらのサービスレベルを継続的に維持する必要があります。
アウトソーシングサービスを活用した場合、以下のようなメリットがあります。
情報漏えいやウイルス感染等、セキュリティ・インシデントは、夜間や休日を問わず発生することが予想されるため、24時間365日対応可能な体制を用意する必要があります。
OSやアプリケーションの脆弱性により、製品の製造元からセキュリティパッチが公開されても、適用に時間を要すれば、危険にさらされることになります。
また、ウイルス対策ソフトも同様、常に最新のウイルス定義ファイルを適用しておくことが重要です。
アウトソーシング事業者であれば、専任の体制でスキルを持った要員が、必要に応じセキュリティパッチやウイルス定義の適用を、24時間365日体制で対応が可能です。
コスト面においては、ファイアウォール、ウイルスチェック、スパムメールチェックなど、様々なセキュリティ対策設備等に関わる設備投資コスト・運用維持コストを抑えられます。
また要員のスキル維持に関わるコストも抑えることができます。
情報セキュリティ対策をしていなかった場合、ウイルス感染や情報漏えいなどが発生する可能性があります。
万一そのような事態になった場合には、個人のパソコンが使用できなくなるだけでなく、会社全体の業務が停止や、取引先からの信頼性を失うことに成りかねません。
そこで、情報セキュリティ関連業務をアウトソーシングする際の注意点を紹介します。
情報セキュリティ対策業務のアウトソーシングを丸投げすることは決して良くありません。
アウトソーシング会社とアウトソースする業務を明確にし、サービスレベルを書面にて取り交わすべきです。
また、トラブルが発生した場合の責任の所在をあらかじめ文書化して明確にしておく必要があります。
アウトソースしたからと言って、業務をアウトソーシング会社に任せっきりにするのではなく、アウトソーシング会社をマネージメントするシステム担当者を社内に置く必要があります。
必要に応じ、定期的なレポートの提示の要求や、打合せを行うことも有効と言えます。
一つの目安として、以下の外部認証の取得の有無があります。
情報セキュリティ・システムは、取り扱う情報や、相手の取引先などによって、セキュリティ・レベルは様々です。
そこで、どのような情報・データや機器を、どのような脅威から、どのようにして守るか、セキュリティ・ポリシーを策定し運用します。
セキュリティ・レベルに見合ったサービス内容をアウトソーシング会社が提供しているか否か、も選択のポイントと言えます。
アウトソーシング会社の選定に不安がある場合には、委託先を実地見聞したり、第三者を入れてアウトソーシング会社を評価しても良いと思います。
情報セキュリティ対策業務をアウトソーシングすることによって、管理・運用から全て解放されるわけではありません。
稼動レポートを提出してもらうとか、定期的な状況報告を実施する等、アウトソーシング会社が提供するサービスの“管理”に重点を置いた体制が必要になります。
万一、セキュリティ・インシデントが発生した場合のことを想定した、善処できる意思決定機能を用意しておく必要があります。
