【佐藤】　はい、私はALSOKの中で、情報セキュリティサービス推進室の室長と、システム管理部の担当次長を兼務しております。
　情報セキュリティサービス推進室は、お客様向けに新しい情報セキュリティのサービスや商材の企画をしている部署です。
　システム管理部は、社内のシステムの維持・管理をしている部署です。私はそこで、情報セキュリティの専門家として、ALSOK-CSIRTという社内CSIRTの担当で、システム管理部を兼務しております。

【佐藤】　もともと、10年ほど前の個人情報保護法の全面施行によって、世間一般として、企業から個人情報の外部への持ち出しに対して注意しないといけないということになり、これまで「人、物、金」を守り続けたALSOKとして、次は情報を守る必要があるということで情報セキュリティ事業を始めました。
　もともと、内部からの情報漏えいへの対策は、出入管理といったサービスとしてご提供していたのですが、それに加え、業務用パソコンやサーバー上のネットワークを経由した情報漏えいへの対策をサービスとして提供し始めました。弊社は24時間365日監視をしている点に強みがあるので、セキュリティのソフトを入れることによって、弊社の情報警備監視センターが機械警備と同様に監視をするというのが他社とは異なる点ですね。

【佐藤】　「セキュリティ」を商売にしていますので、実際の内部のセキュリティがどうなっているかという詳細まではお話しできないのですが、今回の講演の中で参加者の皆様にとって参考になると思うところは、社内でサイバーセキュリティに関してどのレベルまで対応していくべきかという点です。この点については、我々は経営陣も交えて非常に深く議論しました。
　講演を聞かれる皆様の中でも「サイバーセキュリティは重要だから対策しなければならない。しかし、どのレベルまで対策するのが本当に適切なのか？」ということを頭を悩まされている方が多いと思います。またそれは私のような担当者だけではなく、経営陣のような、サイバーセキュリティを専門としていない人にとっても「どのレベルまで対応すべきなのか？」というのは分かりづらいと思います。経営者にとっても、ステークホルダーから「貴社のサイバーセキュリティはどこまで対応しているのか？」を問われた時に、「我々はこのレベルを目指しています」ということが一言で言えるようなくらいまで理解していないと一筋縄ではいかない現状というのが今現れつつあると考えています。
　そのため、我々は社内でサイバーセキュリティについて決める際に、よくありがちな、「こういった対策はこれまで」といった難しい技術レベルに落としていく前に、「どのレベルを目指していくか？」ということを議論してきた経緯があるので、そのプロセスをご紹介すると皆様の会社のセキュリティレベルを決定していく際の参考になるのではないか、と思っています。

【佐藤】　一概にセキュリティ対策と言っても、国家機関のレベルまで対策すべきなのか、大手金融機関やIT企業のレベルを目指すのか、一部上場企業のレベルを目指すのか、それとも中小企業で対策しないといけないところまで対応するのか、様々なガイドラインが出ています。その中で、自社としてどこまで対策するのがふさわしいのかをどのように決めたのか、をお話できればと思っています。

【佐藤】　そこに関しては明言しづらいのですが、ただ、弊社が他の企業様と異なっていると感じるのは、自社がセキュリティをビジネスとしてきた企業なので、セキュリティ投資に関しては一定の理解が最初からありました。しかし、セキュリティをビジネスにしているからこそ、自社にとって最適なセキュリティ対策というのは何かというのを、相対的に見られた点があります。つまり、他の企業様ですと、自社の業界に合わせたセキュリティ基準を考慮されると思うのですが、弊社の場合ですと幅広い業界のことも踏まえて自社に最適なセキュリティ対策水準を策定しました。

【佐藤】　これは、弊社がBCP対策をお客様にコンサルティングサービスとしてご提供しているというのもあり、社内でBCPを意識した訓練を行っています。例えば、災害対策訓練や役職者が、自宅から本社や勤務地に実際に歩いてみたりといった訓練を行っています。その訓練に関するお話をできればと思っています。
　昨年度初めて、広域災害が日本で起こった際、それに乗じて海外からサイバー攻撃があった場合に、自社としてどう対処すべきか、といった、CSIRTの設置訓練と災害対策訓練を行いました。海外の事例ですと、BCPのプロセスを決めておくと、サイバー対策にも流用できるということもあります。その詳細は講演の中でご紹介したいと思います。
　BCPを意識したサイバー対策は、コンテンジェンシープランやBCPのプランと比べて、決めていらっしゃらない企業様が多いのですが、実はそれらプランを決めていると、サイバーにも応用が効きます。残念ながら技術的対策のところに予算が下りなかったとしても、BCPプランをしっかりと見ておけば、サイバーセキュリティで何かインシデントが起こった時に流用できるということをお伝えできればと思っています。

【佐藤】　人材育成に関しては、我々は業務で使っているITシステムが数多くあり、それぞれの担当が、それぞれの業務で様々なシステムを構築していく中で、セキュアコーディングの考え方を意識しないといけない、というように育成していっています。社内でIT企業から来た人材や社外から招いた講師がしてくれる、フェーズごとの研修があり、その中で必ずセキュリティに対する意識を講義しています。
　また、新しいシステムをリリースする際に、第三者機関のセキュリティのチェックを受けたかどうかを必ずその開発部門に課して、それを提出させるようにしています。そのため、作ったシステムに対して、何をしないとリリースされないかを、仕様を作る人材が学べるように、学びの場をつくるということはしています。

【佐藤】　そうですね、官民交流もしています。政府系機関や公的機関、サイバーセキュリティを実施している機関に定期的に人を出して、将来のCISOやその補佐ができるようなトップ人材を常に回してキープできるよう、育成をしていますね。

【佐藤】　水準を決めてここまで行くよう頑張ろうとなっても、新しい攻撃とそれを守るための新しいテクノロジーというのが出てきて、日々水準がどんどん高いものに変わって高いレベルのものが要求されるようになってきます。
　そのため長期的な計画で「ここまでのレベルまで来ました」という時には、既にそのレベルよりももっと上に、本来目指すべき水準になっていたりするということがあります。そうすると経営陣から「どこに終わりがあるんだ」と言われがちで、業界の中でのトレンドや新しい攻撃が出てくる為に、セキュリティレベルの水準が常に変わっていくものである、ということを理解してもらうのが難しい所ですね。

【佐藤】　いやいや、経営陣も理解してくれてはいるんですが、次々と対策をしたりしていくとなると、それなりの投資が必要になるので、環境がどんどん変わっていき、対策に終わりがない中で、どこまですべきなのかが、やはり難しいと思います。言ってしまえば終わりのないことなのかもしれませんが。

【佐藤】　システム部門の方が参加者に多いと思うのですが、社内ではいつも厳しいことを言われていると思います。「お金がかかる」とか「費用対効果が見えない」とか、色々言われていて大変だと思うんですよね。
　だからと言ってセキュリティ投資というのは、絶対的に必要だということは経営陣の方も理解はされているはずです。しかし身近に感じられなかったり、その投資対効果が見えなかったりということによって投資への二の足を踏んでらっしゃると思います。その現状に対して、社外で起こっていること、例えば環境の変化や競合の動き等をうまく利用するにはどうすればよいのかのヒントとして聞いて頂ければと思います。