組織内SOCの設置を

組織には重要情報の管理責任があるといえる。「内部統制を求められていようがいまいが、JSOX法が施行されようがされまいが、重要情報を守るのは当たり前のこと」。しかし、「企業にとって、効果が見えにくいセキュリティはやる気が起きないもの」でもある。

やる気が起きなければ、起こすようにしたらよい――そこで三輪氏は「じゃあモチベーションを高めましょう」と語り、経済産業省の「企業における情報セキュリティガバナンスのあり方に関する研究会」が示した報告書を紹介。ISMS認証などの第三者による認証・評価を公表することで、株主・取引先・顧客・消費者などから適正な評価を得られるよう促進することで、モチベーションを上げるのも1つの手段であるとした。

しかし三輪氏は、「1つのアプローチとして、これは良いと考えている。しかし、実際に現場の状況を見てきた経験から言うと、PSOC(Private Security Operation Center)を設置することが望ましい」と語る。

PSOCの"P"は"Private"、つまり組織内SOCと言い換えることができる。SOCについては、「セキュリティオペレーションセンターを監視センターと訳すことが多い。しかし、私はそうではないとずっと言い続けている」と語る。「PSOCはセキュリティをオペレーションするセンター。モニタリングするセンターではない」からだ。

「特にセキュリティは、社員だけでなく経営者のモチベーションの面で、目で見て分かることが大事だと思う。その象徴的なものとしてPSOCを位置づけるのだ。つまり、セキュリティをやっている部署の人間にジャンパーを着せてみるとか、ガラス張りの部屋で仕事をさせるなどする。その象徴として監視センターがあればいい」