プラクティス5-5 事業部門によるDX推進をセキュリティ確保の観点から支える仕組みづくり
従業員数250名規模で水産物加工を行うL社は、自社で3つの工場をもち、それぞれ異なる加工食品の生産を行っている。うち1つの工場で扱う食品は消費期限が短いため、市場需要の読みを見誤ると商機を逃したり、多くのフードロスを生じさせたりするため、工場のベテラン職員の勘と経験に頼って生産量を調整していた。そのような状況の中、同社の食品を販売しているスーパーより、人流データや気温をもとに24時間後の販売需要を予測する仕組みを共同で運用しないかとの提案を受け、L社の社長もそれに同意したことから、工場においてスーパーへの接続方法を検討した結果、クラウドサービス経由で情報を共有する仕組みがよいと判断し、試行的な運用を開始した。この結果、当該工場の利益率が2倍以上改善するなどの成果が得られ、本格的な運用を進めることになったが、L社の工場向けのセキュリティルールは工場がインターネットから隔絶されていることが前提のままで、見直しが図られていなかった。
本格的な連携に先立つスーパーによるセキュリティ監査でその指摘を受けたL社の社長は、試行において何事もなかったのは幸運だったが、今後デジタル活用がさらに進むと、管理の目が行き届かない状況でサイバー攻撃の被害を受け、製造が止まる恐れがあるとの不安を抱き、情報システム部長に実態を踏まえたルール見直しと、今後のDX等の推進にあたって対策が後手に回らないようにする仕組みづくりを指示した。
L社の実践のステップ
L社の情報システム部長が実践したステップは下記3点である。
①可能な範囲で迅速にリスクアセスメントを行う体制と環境の整備
②事業部門において実施してよいデジタル活用の範囲を明確化
③①②の周知を通じた「相談が来る関係」の確立
L社の実践内容
情報システム部長は世間のデジタル活用の動きの速さを踏まえ、対策が後手に回らないようにするためには以下の2つの条件を満たす必要があると考えた。
- リスクアセスメントとそれを踏まえたセキュリティ関連ルールの見直しを、事業部門が計画しているスケジュールに合わせて行えるようにする
- できるだけ早期の段階で、相談を受けられるようにする
ただし現状では、「事業部門の新規取組に関して、情報システム部門がサイバーセキュリティリスクの観点からブレーキをかける」というイメージが社内に浸透しており、その結果、新しい取組に関して情報システム部門への連絡がなされにくい傾向にあると推察される。
今回の事例に関して、情報システム部長が望ましいと考える手続の流れは次図の通りである。
図1 情報システム部長が望ましいと考える手続の流れ
この実現に向けて、情報システム部長は次表の取組を実施した。
表1 情報システム部長が実施した取組
| 取組 | 内容 |
|---|---|
| 新たなデジタル活用に関するリスクアセスメントの迅速化 |
|
| 事業部門において実施してよいデジタル活用の範囲の明確化 |
|
| 事業部門での教育受講 |
|
これらの取組により、L社の事業部門から情報システム部への相談が増えつつある。現状において更なるルールの見直しが必要な取組は発生していないが、情報システム部長は従業員がサイバーセキュリティリスクに不安を抱くことなく、安心して新しい取組を検討できるようになったと考えている。