セキュリティ対策は突然必要に！

　情報漏えいは自分の会社だけでなく、取引先など周囲を巻き込んだトラブルに発展することも多い。そこで自分の会社内のセキュリティを強化するだけではなく、取引先に対し情報セキュリティ監査を受けるよう要請する企業も増えてきた。厳しい対応例としては、取引先企業のセキュリティレベルを格付けし、一定以上のレベルのセキュリティ対策をしている企業とのみ取引を行うケースすらある。

　株式会社インプレレにも取引先から「情報セキュリティ監査を受けてほしい」という依頼が届いた。株式会社インプレレのセキュリティは大丈夫なのか？？？

「セキュリティ監査」ってなんだ？

　その日の朝、株式会社インプレレを担当する三番町システム商会の秋葉原は、インプレレの社長である市ヶ谷一郎から呼び出しを受けていた。秋葉原が総務の飯田橋花子の案内で社長室に出向くと、市ヶ谷一郎が厳しい顔をして秋葉原を待っていた。

「実は取引先の一社から、セキュリティ監査を受けてほしいという依頼を受けてねぇ…。先方には、もちろんです！と答えたんだけど、セキュリティ監査って何なのか、さっぱりわからなくて」

「なるほど。取引先からのセキュリティ監査の依頼ですか。情報漏えいなどセキュリティがらみのニュースは増える一方です。セキュリティ対策は、これからの企業にとって欠かせないものですから」

「取引先の会社は、これまでもセキュリティ対策をとってはいたんだけれど、結構いい加減だったらしい。そのためなのか情報漏えいがあったみたいなんだよ」

「どこに問題があって情報漏えいされたんでしょう？」

「詳細は言ってくれなかったけれど、USBメモリで持ち運びしていたお客さんの情報を紛失して、そこから情報が漏れてしまったらしい。重要な情報の取り扱いがいい加減だったようでね」

その事件が発覚したことで、われわれのような取引先も含めてセキュリティ監査を行ってほしいってことなんだけど、セキュリティ監査にまつわる説明を読んでもさっぱりわからなくて…

「ITで考えると実感が伴いにくいので、紙の顧客台帳を例に考えてみましょう。ここに一冊の顧客台帳があります。1000件のお客さまの名前や住所が書かれ、企業はこの台帳をもとに営業活動を行っています。とても重要なものです」

「そうだね、それがないと営業ができなくなる」

「ところが、同じ台帳でもA社とB社では全く扱いが異なります。A社では社内でも一番大事なものとして、金庫にてこの台帳を管理しています。B社には同じ顧客台帳が何冊も存在します。顧客台帳をなくしてしまった経験があるので、なくしても困らないように何冊も顧客台帳を用意しているのですね。社員が家で残業をする時のために持ち帰ることも自由です」

「B社は自由でいいような気もするけど、大事な顧客台帳をなくした経験があるって聞くと、大丈夫か？と心配になるね」

「はい。例えばA社、B社ともに企業からデータを預かって、依頼されたダイレクトメールを送る業者だとしたらどうでしょう？A社、B社、どちらの会社を選択しますか？」

「それは絶対A社だよ。自分の会社のデータならなくしても、複製してもかまわないが、顧客から預かったデータをなくしたり、複製していたと聞いたら穏やかではいられないよ」

「それが当然の反応だと思います。取引先企業に情報セキュリティ監査を受けてもらうというのがまさにこれです。取引先は、大事なデータをちゃんと金庫に保存してくれているのか、勝手に複製したりしていないのか、気になります。そこで評価専門の第三者機関に監査してもらうのが情報セキュリティ監査制度です」

「リスクマネジメントを実施するためのリスクアセスメント」って？？？

「うわぁ、秋葉原さんの例え、わかりやすい！要するに大切な情報をどう管理しているのか、監査して調べますよ？ってことなんですね？」

「簡単に言ってしまえばそうです」

「私もインターネットでセキュリティ監査を検索してみたんですが、書かれている説明を読んでもどうもよくわからなかったんです」

「経済産業省ではセキュリティ監査制度を次のように定義しています。『情報セキュリティに係るリスクのマネジメントが効果的に実施されるように、リスクアセスメントに基づく適切なコントロールの整備、運用状況を、情報セキュリティ監査を行う主体が独立かつ専門的な立場から、国際的にも整合性のとれた基準に従って検証又は評価し、もって保証を与えあるいは助言を行う活動。』と」

「それ！飯田橋くんがプリントアウトして読んだんだけどちっとも意味がわからなかったんだよ。リスクマネジメントはなんとなくわかるけど、リスクアセスメントって何？　それに基づく適切なコントロールの整備ってなんだよ！」

「リスクマネジメントというのは、その企業が自分の会社にとってマイナスとなるリスクをきちんと認識し、ちゃんと管理しているのか。先ほどの顧客台帳の例でいえば、B社のように廃棄してよい書類と一緒に置いていては、いつ間違って廃棄されてしまうのかもわかりません。これが1つのリスク。さらに誰でも持ち出せるようなところに置いたのでは、社内から顧客データを持ち出して誰かに売ってしまう、なんてことも起こり得ます」

「怖いなぁ…」

「ですから、重要なデータを取り出すことができる人を制限し、誰がいつ取り出したのかを記録しておくことも必要です。」

「それじゃA社みたいに金庫に入れておくのが一番安全じゃないか！」

「はい。ただし、大事な情報が大量にある場合、顧客データをしまっておく金庫も大量に必要になります。金庫を買うのにもお金がかかりますから、何でも金庫にしまえばいいというわけではないのです」

「それに金庫にしまっておいたら、いざ使おうという時に簡単に使えませんよね？　社長はよく電話をかけてきて、このお客さん去年の今ごろにどんな取引があったっけ。なんて私に聞くじゃないですか。そういうことも簡単にできなくなりますよ？」

「そうです。誰にも使えないようなところにしまっておくことで、ビジネスにマイナスとなるようなリスクも発生します。そういったリスクがどこにあるのか、リスクを分析したり、評価したりすることがリスクアセスメントです」

一度入れたら終わりじゃない！

「うーん。イメージはつかめたけど、聞けば聞くほど難しいね。セキュリティ監査というのは」

「そうですね。外部の専門機関に依頼してリスクアセスメントを行うわけですから、簡単ですとはいえません。しかし、あまり大変だと考え過ぎてしまうと後ろ向きになってしまいますから、普段はできないリスクの棚卸しをするよい機会だと考えてみてはどうでしょうか？と申し上げています」

「いい機会かもしれないけど、お金もかかるし、時間もとられるなぁ…」

「それは否定できません。ただ、昨今のセキュリティトラブルが頻発している状況を見ると、セキュリティ監査で不適とされた企業は取引相手が少なくなるといったこともあるでしょう」

「そうなんだろうねぇ…。厳しい時代だなぁ」

「先ほど、顧客台帳と金庫に例えてお話をしました。ITを活用することで金庫や紙の台帳にはないセキュリティ対策を打つことができます。例えばデータの暗号化です。御社の取引先企業は、USBメモリから情報が流出したということですが、USBメモリ内の情報を暗号化するソリューションもあります。これを使えば、万が一USBメモリをなくしたり、盗まれたりしても情報が漏えいするリスクは低くなります」

「はぁ、そんな便利なものが？　私はセキュリティ対策っていうとウイルスをやっつけるヤツしか思い浮かばないんだけど」

「ウイルス対策（アンチウイルス）ソフトですね。これも大変重要なセキュリティ対策の1つですが、それ以外にもセキュリティ対策はいろいろとあります。例えば、先日お話ししたBCPのためのデータバックアップもセキュリティのひとつです。どんな働き方をしている企業なのか、社内にどんな設備があるのかによっても、必要なセキュリティ対策は異なります。まず、弊社の専門スタッフが診断しますので、そこから具体的なお話をさせていただければと思うのですが」

「はい、よろしくお願いします（ペコリ）。ちなみに、予算や期間はどれくらいかかるのかな？」

「弊社の専門スタッフの診断は早急に行われるよう手配しますが、対策予算がどれくらいになるのか、構築のための期間はどのくらいのなるのかは診断の結果を見ないとなんとも」

「そうかぁ。結構、お金がかかりそうだねぇ」

「依頼を受けたという情報セキュリティ監査の結果にもよりますが、現在は完全ではなくとも、改善の意志を持っていることを示し、改善に向けて作業中であると理解してもらえば、全部の対策を一挙に導入しなくてもよい場合もありますので」

「あぁそういうことも可能なのか。うーん、どっちにしても長期戦になるんだね」

「最近では、セキュリティ監査を行っていない企業のITシステムに侵入して、攻撃を行う事件も出てきました。いわゆるプロの専門家集団が攻撃をしかけて情報流出させるのです。そこに対応するためにも、一度セキュリティ対策を行えば終わりとは思わず、常に進化させていく心づもりも必要だと思います」

「そうか、へこたれずにセキュリティ対策ね！頑張らなくちゃなぁ！！」

「（社長、ファイトぉ！！）」