また、経営と一体化したセキュリティー対策を全社一丸で進める上では、それを担う専門組織を編成することも欠かせない。これについて茂岩氏は、自らの経験から、まずCSIRTを構築することを推奨する。CSIRTは参考になるモデルが多くあるほか、日本シーサート協議会(NCA)が様々な企業の関連情報の共有・連携を行っているため、自社に合う組織の形をイメージしやすいからだ。
「具体的なステップとしては、数名のコア人材をアサインしてスモールスタートすることをお勧めします。法律やシステムの知識も必要になるため、最初は複数部門の担当者が連動する仮想的なチームとしておき、徐々に組織化していくのです」(茂岩氏)。一定の成果が出るまでに3年程度はかかるので、これを踏まえて予算を組むことも重要だ。
専門性を補う方法として、外部ベンダーとの連携も積極的に行う。ただ、丸投げは禁物だ。特に、自社のコアコンピタンスとセキュリティーポリシーの策定は社内文化を知る人材が責任を持って行うことが肝心になる。その上で、自社の方針やポリシーに基づき、適切に外部ベンダーをコントロールするのである。
なお、異なる業態や複数の事業を展開している企業の場合、全社一律のポリシーがマッチしないこともあるだろう。その場合の手立てとして同社は「2階建てポリシー」を提案する。「全社共通のポリシーをベースラインとして、その上に事業部門独自のポリシーを設定するイメージです」と茂岩氏は紹介する(図2)。
それでも想定外の事象は発生するため、法令や技術進化、環境変化を反映しながら、ポリシーは随時見直すことが肝心だ。その際は、守りを固めつつ、現場の不便さや業務負荷を抑えるバランス解を探ることが大切になる。取り組みのヒントになるのが「リスクベースアプローチ」だ。
「これは、組織が内包するリスクを可視化して共有し、そのリスクが顕在化した場合の影響を最小化する対応策を講じるアプローチです。どのリスクを、どのような施策で低減するか。リスクテイク可能なラインを議論し合意しておくことで、組織としてのバランス解を実現できます」と茂岩氏は話す。
いずれにせよ、ポリシーの策定や見直しのプロセスで大切なのは、セキュリティー組織の側から事業部門側へ働きかけることである。すなわちセキュリティー組織は「自律型」であるべきなのだ。これを実現するには、各部門の事業責任者とCISOが日頃からコミュニケーションを取っておくことが欠かせない。「それが互いの信頼関係を築き、組織全体の対応力を高めることにもつながっていくのです」と茂岩氏は強調する。
サイバー攻撃はますます多様化・巧妙化している。未然に防ぐ対策の強化はもちろんのこと、ビジネスの視点で、被害の最小化と説明責任を果たすための体制構築も不可欠だ。フリーが実践するアプローチは、セキュリティーと経営の一体化を進めるための1つの指針になるだろう。