セキュリティーの見直しシリーズ、最後は「体制」についてです。
2023年８月に発表された、政策研究大学院大学の報告では、情報漏洩が発生した要因の一つとして、情報システム担当者の不足、セキュリティ運用を行う仕組みの欠如を上げています。
初級・中級では、現場の人間や情報セキュリティの担当者が考えるべき問題に触れましたが、そもそも「情報セキュリティの担当者」が不在だったり、いたとしても十分に働ける環境でなければ、初級・中級の対応すらままなりません。
上級編では、経営者や、それに準ずる立場の方が行わなければならない、セキュリティの見直しについて、お話してまいります。

担当者は足りていますか？

政策研究大学院大学のインシデントの発表によると、情報システムの管理運用は以下の状況でした。
・情報システム担当者は１人のみで、且つ他業務も兼任している状態であったため、実質１人未満で運営
・大学の情報システム運用は、システム構築を担当したベンダーの技術者が数名常駐する形で行っていた
・情報システム担当者の業務量が過多であることから、ITベンダーの管理（具体的な要望や指示を出すなど）までできない状況だった
これは、日々の運用でも問題でしたが、長じて、セキュリティインシデントが発生・判明した後の、原因特定のための活動にも、影響を及ぼしました。
組織の規模にふさわしい人数、情報システム担当者を確保しなければなりません。

体制や規定の見直しはしていますか？

同大学では、2019年に「政策研究大学院大学サイバーセキュリティ対策等基本計画」を制定し、その中で「IT体制の整備・充実」に触れていました。
ですが、実際にその体制には、サイバーセキュリティに知見のある人物が含まれていたわけではなく、実際にインシデントが発生した際には、調査から復旧に至るまで、かなりの時間を要しました。

指針や体制の決定は重要ですが、それらが実際に機能できる状態なのか、都度確認が必要です。
設置当時には機能できるものであったとしても、
・担当者が異動していて、いつの間にか機能しなくなっていた
・サイバーセキュリティを取り巻く状況が変化したので、当初の指針では対応できなくなっていた
などの理由から、設置当時のベスト状態を保っていたとしても、状況に対応できなくなっている、ということもあり得ます。

セキュリティ教育は万全ですか？

同大学の発表では、２つの教育が十分でなかったと指摘されています。
・執行部のセキュリティ教育
・情報システム部員のセキュリティ教育
執行部は、自組織の状況を正しく把握し、監督官庁のガイドラインに沿って、組織を運営する責任があります。
が、同大学では、執行部の人事異動が行われた後、新任者に対して、セキュリティ教育は未実施だった模様です。
また、上述の通り、情報システム担当者は、１人未満で運用しているため、セキュリティ教育を受ける暇はなかったとしています。
組織の責任者は、自社を取り巻く環境を正しく理解したうえで、自組織を運営しなければなりません。
定期的に情報のアップデートを行いましょう。

さいごに

特にトラブルが起きなければ、体制が不完全であることは取りざたされません。
むしろ、日常業務の妨げになるため、セキュリティのための投資や、セキュリティ教育のための研修時間確保を煩わしく思う方もいらっしゃるでしょう。
ですが、そうしたことの積み重ねが、2015年から2022年に至る７年間のサイバー攻撃につながってしまいました。
もしかしたら訪れる「もしも」の時のため、準備を万全にしておきましょう。