サイバーセキュリティ対策というと技術的な課題にフォーカスしがちだが、「組織面での課題をないがしろにしてはいけない」と唱えるのは川口設計の代表取締役 川口洋氏だ。
同氏は大手セキュリティ企業での業務を経て、内閣サイバーセキュリティセンター(NISC)に出向。官民いずれの立場も経験し、現在は自身が立ち上げた川口設計で企業向けのセキュリティ演習などを提供している。
1月22日~25日に開催された「TECH+働きがい改革 EXPO 2024 Jan. 働きがいのある企業になるために今すべきこと」に川口氏が登壇。「サイバーセキュリティの理想と現実:効果的なインシデント対応のための戦略」と題して、よく見られる組織の問題を提起するとともに、技術的課題についてすぐに実施できる対策を紹介した。
-
川口氏の経歴
サイバーセキュリティの理想と現実が程遠い現状
企業や組織のサイバーセキュリティを長年支援してきた川口氏は、企業のサイバーセキュリティにおける理想の姿について次のように説明した。
「経営者のリーダーシップ」、「サプライチェーン全体にわたる対策への目配り」、「社内外関係者とのコミュニケーション」の3原則の下で、経営者の理解があり、CISO(Chief Information Security Officer)などのセキュリティ担当幹部、その下にCSIRT(Computer Security Incident Response Team)などの担当者がいる組織構造がある。ここでPDCAを回し、情報システム部門と業務部門が連携しながら、日々のセキュリティの問題に対処する。
しかし、「現実は違うというところが多い」と川口氏は話す。経営者はセキュリティに興味を持たず、CISOやCSIRTは設置、任命はされていても職務に即した行動があまりできておらず、人事異動もある。これら複数の問題点を挙げた同氏は「特に、事業部門から情報システム部門に丸投げすることが、諸悪の根源になっているようだ」と分析する。
「ビジネスの中心を担う事業部門の方々が、情報システム部門に『セキュリティは情シスがやってくれるだろう』と丸投げしてしまっている組織も多くあります。事故が起きている組織に限って、このような傾向が多いと感じます」(川口氏)
