2016/02/04
ネットワーク脅威システムセキュリティ情報漏えいファイヤーウォール

【情報セキュリティ新試験スタート】 経営層も現場も全員でセキュリティ対策をして会社・社会を守る!

左:コンサルタント 後藤 勇人さん、右:代表取締役 田邊 克重さんの画像

左:コンサルタント 後藤 勇人さん、右:代表取締役 田邊 克重さん

情報セキュリティは現在、これまでの物や設備による対策から、人的ミスへの対応や正しいセキュリティ知識を身に付けた人材の育成など、<人>への対策が重要視されるようになってきています。本年4月から開始する『情報セキュリティマネジメント試験』も、情報セキュリティマネジメントを担うことのできる人材へのニーズから生まれてきたものとも言えるでしょう。

では、実際に各企業での<人>への対策はどのように行われているのか、『情報セキュリティマネジメント試験』は資格としてどのように捉えられているのか。今回は、株式会社アジアンリンクの代表取締役・田邊克重さん、ITコンサルタント・後藤勇人さんのお二人にご登場いただき、IT企業の経営者、現場でさまざまなクライアントに接するコンサルタントの視点から、情報セキュリティの現状や自社での取り組み、『情報セキュリティマネジメント試験』の重要性についてお聞きしました。


田邊克重さんの画像

セキュリティについて社員の方たちに一緒に考えて欲しいという経営層は多い。

――貴社はIT企業として多くのクライアントと接し、情報セキュリティに対する意識の変化を日々感じておられると思いますが、一般企業、社会全体の現状はいかがでしょうか。

田邊さん:私が接している企業は中小企業も多いのですが、セキュリティ意識の高い経営者の方は多いように感じています。そうでないと会社が回らないという意識が強く、最近の相談ごととしては、会社全体のリテラシーを向上させるのが難しいという声をよく聞きますね。特に、事故は起こるものだという危機感を社員に持たせることに苦戦されているようです。人間って実際に味わってみないと分からないことがあるじゃないですか。仕事で使っているパソコンから情報が漏れる可能性があると分かっていても、漏れた時にどんなことが起こるのか想像できない。想像できないことに対して危機感を持たせるというのは難しいですよね。

――情報セキュリティについての相談は、経営層からが多いのでしょうか。実際の現場で担当されている方が多いのでしょうか。

後藤さん:どちらのケースもありますね。経営層が情報セキュリティについての方針決めのところで悩んで来られることもありますし、経営層の考えが現場の担当のところまで落ちてきて、「では、具体的なアクションプランはどうしたらいいのか」と担当の方が相談に来られることもあります。経営層の方で相談に来られるケースでは、面倒だから専門家に頼りたいというのではなく、すごくリテラシーが高くて、会社のことを真剣に考えた末に来られる方が多いように思います。いずれにせよ経営層は、担当者や社員たちに一緒にセキュリティ対策について考えて欲しいという気持ちを持たれている印象が強いですね。

田邊さん:私もある程度の方向性を示した上でのプランの立案は経営サイドでやるものだと思いますが、現場だからそこ見えるものや気づくものがあると思うので、そういった意見はどんどん取り入れていきたい想いは常にありますね。

後藤さん:弊社は社員一人ひとりも問題意識を持って、現場レベルの観点からセキュリティ対策を強化していますよね。

田邊さん:会社の情報セキュリティの状況を話すと、「そこまでやってるの?」って言われることもありますね。

後藤さん:セキュリティソフトや環境をとても高い基準で揃えています。そうでないと、クライアントに提案できないというのもあるんですけど。経営層からももちろん話はありましたが、私たち担当者間から、「まだ弊社の規模には合わないかもしれないけど、後々必ず必要になります」と要望して導入したものもあります。例えば、パソコンの操作記録も、弊社の規模の企業で導入しているところはあまりないのですが、現場サイドからの要望で導入しました。そういった対策が経営サイドからの一方的な指示だったりすると監視されているような気持ちにもなりますが、自分たちから挙がった意見だったので、問題なく受け入れることができましたね。

後藤勇人さんの画像

人・物・設備によるセキュリティ対策の先には<組織>がある。

――情シスの方たちの話を聞くと、トップダウンで行う情報セキュリティ対策はどうしても「やらされている感」があって、なかなか浸透しないそうです。現場サイドから要望が挙がってくるのは、さすがITコンサルタント企業である貴社ならではという感じがしました。他にも何か取り組まれていることはありますか。

田邊さん:システムの二重化やサイバーテロ対策もやっています。リテラシー的なところだと、セキュリティテストの実施や毎朝のパトロールをおこなっています。

――パトロールですか?

後藤さん:持ち回りで毎朝、社内をパトロールしています。キャビネットが開いていないか、個人情報を含む書類などが机の上に出たままになっていないかなどをチェックしています。セキュリティというと電子化されたものに目が行きがちですが、日本全体で見ると印刷物の放置といった紙での漏えいが今も一番多いんですよ。

田邊さん:結局情報セキュリティの事故って人的ミスが一番多いんですよね。先日もクライアントで、パソコンの入ったバッグが盗まれてしまったという事故がありました。盗まれてしまったのはいたしかたない……とも言えないですが、問題なのはそれが持ち出してはいけないパソコンだったことなんですよ。さらに、持ち出しの申請や、パソコンに何のデータが入っているのかといった確認もおこなわれていなかったんです。

後藤さん:勿論、弊社では持ち出したパソコンを失くしてしまったといった事故はないですね。持ち出しの申請も行っていますし、パソコン自体に重要なデータも入れていませんし、ハードディスクも暗号化しています。こういったルールを守っている方は情報セキュリティに対する意識が高いので、失くす可能性も低いと思います。

田邊さん:情報セキュリティの事故にはサイバー攻撃などもありますが、どちらかと言うと人の意識から生まれる事故が多いと思います。

後藤さん:『情報セキュリティマネジメント試験』の中にも脆弱性というキーワードがありましたが、今、セキュリティ業界の中で脆弱性ってすごく注目されているんですね。ソフトの脆弱性というのももちろんありますが、私が現場に出て思うのは、人こそ脆弱な面があって、人間の脆弱性を完全に撤廃できる組織はないという点です。だからこそ弊社も人間の脆弱性を補うために、先程話したようなパトロールやセキュリティテストを行い、講習会も一年に一回おこなっています。それも、社員全員を一律にではなく、SE、内勤、営業を別々に集めて、同じテーマでもそれぞれの専門知識レベルに合わせて内容を変えておこなっています。

――それぞれの対象に合わせて内容を変えるというのは大変ではないですか。

後藤さん:どうしてそこまでやるのかと言うと、ISMSの目標のために教育をしているのではなくて、全員が確実に理解することを目的にしているからです。例えば、SEには外部のセキュリティソフトの開発会社の方に来ていただいて、最新のサイバー攻撃の話をしてもらったりするんですが、内勤、営業の社員に同じ話をしても分からないので、私が言葉を変えてセミナーをおこなったりします。専門的で難しい話を長々としても意味がないので、身近な話にすり寄せたり、キャッチーな話や動画の時間を増やすなど興味を持ってもらえるように工夫しています。

――貴社はシステム的な対策は完備されていて、人への対策も行っておられますが、今後考えている対策はありますか?

後藤さん:人・物・設備の先には<組織>があると思います。アジアンリンクという組織だけではなく外のものが持っている良いものをどんどん取り入れてさらに対策を強化できればと思っています。例えば中央省庁が持っているガイドラインで新しいものが出たら積極的に読んで、世の中の流れをつかむだとか。弊社はセキュリティのコンサルティングをやっていますが、今行っているセキュリティが最上のものだとは思っていなくて、弊社とは異なる分野の深い技術を持った企業に教えていただくことも必要だと思っています。また、クライアントからとても専門的な深い解析などの依頼を受けた時など、「弊社では対応できません」とならないように、技術力の高い企業とパートナーシップを築いておく必要もあると思っています。

後藤勇人さんと渡邉克重さんの画像

情報セキュリティマネジメントの資格によって会社も個人も評価が確実に上がる。

――経営者という立場から、『情報セキュリティマネジメント試験』に対する期待などをお聞かせください。資格を取得することにより、どのような形で会社や社会に貢献することができると思いますか。

田邊さん:貢献という面ではリテラシーが確実に上がりますよね。知識の部分でも、いくらセキュリティ意識が強くても知らないことを防ぐことはできませんので、そもそも脅威というものはどんなものなのか、どんな事故があるのかということを資格の勉強を通して知るのは良いことだと思います。

――社内全体のセキュリティ意識を高めるのが難しいと感じられている経営層の方にとって、『情報セキュリティマネジメント試験』の資格を持っている社員がいるメリットは大きいですよね。

田邊さん:外部に向けてのPR材料にもなりますよね。弊社でもPマーク、ISMSを取得していますが、それに加え個人でこういった資格を持っていれば、クライアントからの評価もだいぶ変わってくると思います。

後藤さん:『情報セキュリティマネジメント試験』の資格を持っている新入社員がいたら「おっ」って思いますよね。

田邊さん:情報セキュリティに対する意識を高く持って取り組んでいる人なんだという印象をうけます。就活にも有利なんじゃないでしょうか。資格の取得によって給料が上がるとか、就職がしやすくなるというのも、資格を持つ価値のひとつですよね。そういういった資格の性質を利用して社会全体のITリテラシーを上げるというのは上手い方法だなと思います。民間の資格ではなく国家資格というのも取得への意欲が高まるでしょう。

――これから『情報セキュリティマネジメント試験』を受けようと考えている方に向けて、経営者としてメッセージをお願いします。

田邊さん:資格試験を受ける時は、その資格にどんな価値があるのかを自分で判断して取り組むことを決めると思います。『情報セキュリティマネジメント試験』は、まだ出来たばかりの新しい資格ですが、今後必ず価値の出てくる資格だと思いますので、ぜひチャレンジして欲しいと思いますね。知識を身に付けるという点でも、講習などではなかなか頭に入ってこないということもあると思いますが、試験勉強を通してであれば確実に頭に入ってくると思います。


<株式会社アジアンリンク>
140-0002 東京都品川区東品川2-2-4天王洲ファーストタワー 18階
電話:03-5781-0730
URL:http://www.asianlink.co.jp/
設立:2007年8月1日
社員数:120名
経営理念:社員に安心と働く楽しさを提供し世の中に喜びを提供する

<田邊 克重さんプロフィール>
株式会社アジアンリンク代表取締役。
20代をネットワークエンジニアとして、様々な案件で活躍し29歳で起業する。現在はSI事業、教育事業、キャリア育成事業を統括し、SEの教育やキャリア育成に力を入れている。

<後藤 勇人さんプロフィール>
ITコンサルタント。
20歳で開業しフリーのSEとして多くの現場を経験。中央省庁や重要インフラにおけるコンサルティング業務経験や、大手セキュリティ会社との協業で培ったリスクアセスメント業務経験を生かした、ITリスクに関する多くの相談に対応されています。好きな食べ物はマグロ。

【相談無料】ITリスクに関するご相談は下記のメールへお問い合わせください!!
ITリスクの119番 al119@asianlink.co.jp


ジョーシス編集部

「情シスライフをもっと楽しく!もっと幸せに!」をコンセプトに「情報システム部門=情シス」で働く人たちの生活全般を応援するユニークな記事やコラム、ニュースを発信する情報サイトです。

コメント欄を読み込み中

同じカテゴリの記事

2017/05/18
セキュリティ

検知日数は短縮の一方、攻撃Gの手口は高度化 ファイア・アイが最新セキュリティレポート発表

検知日数は短縮の一方、攻撃Gの手口は高度化 ファイア・アイが最新セキュリティレポート発表
セキュリティベンダーのファイア・アイは、年次で発行しているセキュリティレポート「M-Trends 2017」を発表した。レポートは日本を含むアジア太平洋、欧州、中東、アフリカ地域のサイバー攻撃について調査した統計情報。同社では攻撃グループの高度化が進んでおり、特に金融系を攻撃するグループではその傾向が顕著としている。
2017/05/15
ビジネス戦略セキュリティ

ソニックウォール、販売代理店にセキュリティ学習プログラム提供 日本市場を攻略へ

ソニックウォール、販売代理店にセキュリティ学習プログラム提供 日本市場を攻略へ
ソニックウォール・ジャパン(現在の法人名はクエスト・ソフトウェア)は、記者説明会を開催した。同社はSMB(中小企業)を主なターゲットとし、法人向けにUTM(統合脅威管理)機器販売で強みを持つ。会見では日本での販売強化に向けたパートナー戦略などを発表した。
2017/05/08
セキュリティ

【新人向け実戦情報セキュリティ講座】ビジネスメールで法人を狙うオレオレ詐欺に注意!

【新人向け実戦情報セキュリティ講座】ビジネスメールで法人を狙うオレオレ詐欺に注意!
「オレオレ詐欺」は、子供を装って親などに電話をして、お金をだまし取る犯罪です。「振り込め詐欺」とも呼ばれています。これまで個人をターゲットにすることが多かったのですが、最近ではビジネスメール詐欺(BEC)の手法を使って企業を狙ったオレオレ詐欺が出てきています。その手口などを詳しく解説します。