ある日突然「セキュリティ担当」になったら 最初の5日間でやること

はじめに

セキュリティLABOのアドバイザーリーダー松尾です。

ある日突然、「セキュリティ担当」に任命された!という方はいませんか?

自社のWebサービスが外部から攻撃をうけている・・・
情報漏えい事故が発生してしまった・・・
という最悪な事態とまではいかなくても、セキュリティ担当としてやっていく事に不安を抱える人も多いのではないでしょうか。そこで、ちょっと役に立つ自己分析(チェックリスト)をご紹介いたします。

そんなことより、セキュリティ担当は、知っておくべき知識や情報は山ほどあるのでは?と思いましたか?

しかし、実際の現場では専門知識よりも社長の氏名が漢字で書けるかどうかのことの方が重要な場面もあるのです。私自身が、ある日突然セキュリティ担当になってからの10年間の体験をもとに、最初の5日間でやることをまとめてみました。

1日目:IT用語を使わずにセキュリティを語れるようになる

これまで当たり前のように使っていたシステムなどに関するIT用語は、多くの人に対して共通の言葉でないことがあります。

セキュリティ担当になると、システムやセキュリティなどの専門用語を知らない業務担当や営業担当のみんなへ、個人情報の取り扱い方を教え、個人情報を安全に取り扱う方法を語っていくことになります。

そのとき、平易な表現で説明やアプローチができれば、こちらを向いてくれて、信頼を得ることが出来るはずです。

<1日目のチェックリスト> 次の語群をシステム系ではない方向けに「平易な表現」で説明することができますか。

2日目:会社の本業がわかるようになる

自分の勤めている会社の業務やルールを知っていますか。

どのようなお客様がいて収入を得ているのでしょうか。また、どのような商習慣で、なにに縛られていて、それぞれはどんなパワーバランスになっているのでしょうか。

社内に置かれている様々なルールはそれらに影響を受けています。決して壊してはいけない鉄則などもあります。例えば、システムの担当を長い間続けていると、実は本業のビジネスについて深く理解していないことがあるかもしれません。

<2日目のチェックリスト> 下記に関する情報を書くことができますか。

3日目:どうして今セキュリティ担当になったのかを考える

会社は、損害が出たときにはじめて「損害をなくしたい!」と思うものです。それまでは、「被害が出てないから、今しなくてもいい」というものです。

あなたがセキュリティ担当に任命されたその時、会社に損害はでていませんか?
どのような損害が出て、どのくらいの規模でしょうか?
どのようないきさつで発生した損害であり、どのような一時対応がされているでしょうか?

あなたは本当は損害をなくすために送り込まれた精鋭なのかもしれません。明確な目標「損害をなくしたい(発生させたくない)」ということを会社から明示されているのです。要求事項が明示されているということは、とてもやりやすい仕事だと言えます。やりにくい/難しいと感じたときは、「(自分が)何をどうしたらいいのか知らない」ということでしょう。

<3日目のチェックリスト> 下記について知っていますか。

4日目:セキュリティ対策は難しくないと気づくようになる

セキュリティ事故は、信じられないような簡単なミスで発生していることがあります。次のようなものがあげられます。

  • 本番環境の個人情報をデータを使ってシステムテストを実施する。
  • 外部へ個人情報を受け渡し、暗号化せずにメモリスティックに格納して送る。
  • 使い勝手を優先し、ビックデータの分析環境に個人情報を含むデータを保存する。

誰でもアクセスできるようなところに、個人情報を含むデータを意図せずに置いてしまうと、いつ盗まれてもおかしくありません。事故を誘発するような操作をしないということが大事です。これは、基本的な動きや作業なので決して難しいことではありません。

<4日目のチェックリスト> 下記から事故を誘発するような行為をお選びください。

5日目:自分の遵法(コンプライアンス)意識を確かめる

セキュリティ担当の目標は、施策が順調に推進されていることです。そのときに、遵法(コンプライアンス)を常識的に守るべきだと普通に語れるマインドを持っていることが必要です。

それには、個人情報保護に関する法律の成り立ちや法律が出現した理由を理解することが必要です。そのような法律ができる前は、個人情報が漏えいしても罪にも事件にもなりませんでした。そこに誰かの意思が働き、利権が動いた歴史を理解すると遵法(コンプライアンス)の意識を確認することができます。個人情報保護法の概要を知り、この法律を作った組織(団体)の意図を知りましょう。

<5日目のチェックリスト> 下記から遵法(コンプライアンス)に準じているものをお選びください。

まとめ:弱点を知り、補強する

各チェックリストの回答率を反映したレーダーチャートの結果をご確認ください。五角形の凹んだ部分の補強を推奨いたします。

最初の5日間は、今後の活動の根拠を示し、みんなにわかっていただくことが大事です。張り切って情報セキュリティを推進しましょう!