「セキュリティをIT部門から分離」─セキュリティ専任組織の3つの役割とメリットとは?
2024年7月11日(木)CIO Lounge
日本を代表する百戦錬磨のCIO/ITリーダー達が、一線を退いてもなお経営とITのあるべき姿に思いを馳せ、現役の経営陣や情報システム部門の悩み事を聞き、ディスカッションし、アドバイスを贈る──「CIO Lounge」はそんな腕利きの諸氏が集まるコミュニティである。本連載では、「企業の経営者とCIO/情報システム部門の架け橋」、そして「ユーザー企業とベンダー企業の架け橋」となる知見・助言をリレーコラム形式でお届けする。今回は、ワコールホールディングス 経営企画部・情報セキュリティ担当で、CIO Lounge正会員メンバーの森本秀治氏からのメッセージである。
皆さんこんにちは。私は大学を卒業した1987年にワコールへ入社し、生産や営業といったライン部門を経験後、1990年に情報システム部門に異動しました。当時のシステムはいわゆる汎用機を中心に動いており、「情報漏洩リスクなんて、ほぼほぼ考えなくてよかった」時代でした。その後、PCの1人1台化とインターネットの社内導入、各種システムのオープン化とその後のクラウド化、パッケージ導入からSaaS利用へと発展していく中で、セキュリティリスクは飛躍的に拡大し、対策の重要性も高まりました。
ワコールでは2005年にECサイトからの顧客情報漏洩、2014年にサイト改竄など大きなセキュリティ事故を経験し、そのつど対策を強化してきました。幸い近年は大きな事故はありませんが、一般消費者向けサイトを運営していますし、それなりに知名度もあるので、日々数百~数千件のサイバーアタックを受けています。防御できているものの、最近は標的型メール攻撃やなりすまし詐欺メールなど、新しい手口・脅威への「ヒヤリ・ハット」が常時発生している状況です。
このようなセキュリティリスクの増大に対応すべく、数年前に情シスからセキュリティ対応機能を分離し、ワコールホールディングスにITガバナンス部という専任組織を設置しました(現在は経営企画部へ統合)。当時は業績が芳しくない状況であり、「今、部門を増やす意味があるのか?」といった反対意見も多かったのですが、何とか実現にこぎつけました。
どういう目的や理由からセキュリティ専任組織を作ったのか。経営陣などに理解してもらうため、提案者である私がまとめた役割とメリットは大きく3つあります。以下で共有させていただきます。
①新規システム投資時のブレーキ役
昨今のDXと称される流れの中、多くの企業で攻めのIT投資が求められています。情シスだけでなく事業部門やDX推進部門が「アクセルを踏む」中、セキュリティの観点で「ブレーキを踏む」のが専任部隊の役割です。どれほどメリットのある、あるいは効果が見込める投資でも、「このレベルのセキュリティ対策ができないかぎり、投資は絶対に認められない」と進言するのです。
そこまでいかなくても最近は、安価で便利なサービスが多々あります。現場は「健康診断の予約サービスを導入したい」「作業員の動作解析分析のためにスマホアプリを入れたい」となりがちですが、情シスからすれば違います。基幹システムやイントラネットにつながるわけでもないし、正直面倒で関わりたくない案件です。安価なサービスには基本的なマルウェア対策すらできていない杜撰なものも多くあり、だれかがチェック役をはたさなければなりません。毎月何件も発生するそのような案件に対し、「セキュリティ観点でスクリーニングを行う」のも専任部隊の大切な役割です。
●Next:セキュリティ専任組織の第2、3の役割とメリットとは?
会員登録(無料)が必要です
- 「TICS=技術情報管理認証制度」取得のすすめ─中小企業に大きなメリット(2024/09/25)
- 情報セキュリティは経営者が率先して取り組むべき(2024/09/03)
- 実践的なOTセキュリティの進め方(2024/08/19)
- グローバル企業に求められる各国・業界の情報セキュリティ規制とは?(2024/07/23)
- 仲間を集めて広げる草の根活動─“古野電気流”の生成AI活用法(2024/06/25)