[架け橋 by CIO Lounge]

2024年7月11日(木)CIO Lounge

リスト

[Focus] これからのセキュリティ戦略

　皆さんこんにちは。私は大学を卒業した1987年にワコールへ入社し、生産や営業といったライン部門を経験後、1990年に情報システム部門に異動しました。当時のシステムはいわゆる汎用機を中心に動いており、「情報漏洩リスクなんて、ほぼほぼ考えなくてよかった」時代でした。その後、PCの1人1台化とインターネットの社内導入、各種システムのオープン化とその後のクラウド化、パッケージ導入からSaaS利用へと発展していく中で、セキュリティリスクは飛躍的に拡大し、対策の重要性も高まりました。

　ワコールでは2005年にECサイトからの顧客情報漏洩、2014年にサイト改竄など大きなセキュリティ事故を経験し、そのつど対策を強化してきました。幸い近年は大きな事故はありませんが、一般消費者向けサイトを運営していますし、それなりに知名度もあるので、日々数百～数千件のサイバーアタックを受けています。防御できているものの、最近は標的型メール攻撃やなりすまし詐欺メールなど、新しい手口・脅威への「ヒヤリ・ハット」が常時発生している状況です。

　このようなセキュリティリスクの増大に対応すべく、数年前に情シスからセキュリティ対応機能を分離し、ワコールホールディングスにITガバナンス部という専任組織を設置しました（現在は経営企画部へ統合）。当時は業績が芳しくない状況であり、「今、部門を増やす意味があるのか？」といった反対意見も多かったのですが、何とか実現にこぎつけました。

　どういう目的や理由からセキュリティ専任組織を作ったのか。経営陣などに理解してもらうため、提案者である私がまとめた役割とメリットは大きく3つあります。以下で共有させていただきます。

①新規システム投資時のブレーキ役

　昨今のDXと称される流れの中、多くの企業で攻めのIT投資が求められています。情シスだけでなく事業部門やDX推進部門が「アクセルを踏む」中、セキュリティの観点で「ブレーキを踏む」のが専任部隊の役割です。どれほどメリットのある、あるいは効果が見込める投資でも、「このレベルのセキュリティ対策ができないかぎり、投資は絶対に認められない」と進言するのです。

　そこまでいかなくても最近は、安価で便利なサービスが多々あります。現場は「健康診断の予約サービスを導入したい」「作業員の動作解析分析のためにスマホアプリを入れたい」となりがちですが、情シスからすれば違います。基幹システムやイントラネットにつながるわけでもないし、正直面倒で関わりたくない案件です。安価なサービスには基本的なマルウェア対策すらできていない杜撰なものも多くあり、だれかがチェック役をはたさなければなりません。毎月何件も発生するそのような案件に対し、「セキュリティ観点でスクリーニングを行う」のも専任部隊の大切な役割です。

●Next：セキュリティ専任組織の第2、3の役割とメリットとは？