セキュリティの
学び場

今回の解説ニュース

2018年から個人情報の漏えいが一切なかった企業から、そのセキュリティ施策が発表されています。今回は、個人情報漏洩がゼロだった企業グループがサイバーセキュリティで重視しているポイントと、個人がインターネットを利用する際に参考になる視点について説明します。今回のレポートでは重視している視点として、ガバナンス、技術、サービスの3つが挙げられています。セキュリティ施策として、情報セキュリティマネジメント体制や社内規程、セキュリティ強化に向けた監視技術、サイバー攻撃対策、デジタルサービスの不正利用対策などが挙げられています。その他には、情報セキュリティ委員会による情報セキュリティ推進者会議などの設置、ISMS認証の取得、監査、人財育成など、様々な施策が挙げられています。

ガバナンス、技術、サービスの3つの視点

・ガバナンス
自社とグループ企業のガバナンス向上が挙げられています。AIガバナンスの整備やISMS運用のDX化、グループ企業のガバナンス強化によって、最新のテクノロジーについて正しく使われるためのガイドラインだけでなく、グループ企業に対するサプライチェーンリスクも考慮したセキュリティ施策が実施されているのではないかと考えられます。

・技術
セキュリティ監視の高度化や先端的セキュリティ技術の開発が挙げられています。サイバー攻撃の予兆可視化や脅威情報プラットフォームの構築などにより、最新の脅威にも対応できるセキュリティ施策が実施されているのではないかと考えられます。

・サービス
サービス不正利用の抑止やセキュリティソリューションの強化が挙げられています。フィッシングサイト検知精度の向上や不正利用の検知高度化などによって、これらの被害を未然に防ぐセキュリティ施策が実施されているのではないかと考えられます。

「システムセキュリティ監査」「ISMS内部監査」「業務委託先監査」の３つの監査

情報セキュリティ関連規範の遵守と適切な運用を確認するために、「システムセキュリティ監査」「ISMS内部監査」「業務委託先監査」これら３つの監査は有効に機能することが考えられます。

例えば、自分で決めた目標に対してルールを決めたとしても、思った通りの結果にならないこともあるのではないでしょうか。具体的には、週に何回ジムに行くとか、おやつは1日何個までとか、ルールを決めただけでは、自分が望む結果が得られない場合があるということです。期待通りの結果を得るためには、それらのルールが適切に守られているか、本人以外の誰かが定期的にチェックすることが有効かもしれません。

セキュリティ対策も同様に、導入して終わりではなく、適切に運用されているところまで確認することが必要です。そのために、様々な切り口から監査を行うことで、その有効性を定期的に評価することが求められます。

レポートを見てみて1つでも試すことができそうな施策があれば、組織のセキュリティを向上させることができるかもしれません。最初からすべての施策を実行しようとせず、まずはできることから実施してみることが重要です。