プラクティス・ナビ
プラクティス・ナビ

プラクティス6-1 PDCAサイクルの検証と、演習・訓練を通じた評価・改善プロセスの強化

 従業員数1,500名規模の小売業であるM社では、サイバーセキュリティに関する目標と取組計画を策定している。情報システム部が主導する技術的な対策は計画通り進捗している一方で、従業員による不審メールの開封や無許可の業務用PCの持ち出し等が依然として頻発していた。各店舗におけるチェックシートを活用した点検に特段の課題は見られなかったため、情報システム部長は、店舗の業務とセキュリティの取組が切り離されており、取組計画の評価、改善が十分に機能していないと考えた。そこで、業務フローに踏み込んだ問題点の把握や対策の検討のため、セキュリティ評価の取組を見直すこととした。

M社の実践のステップ

情報システム部長が実践したステップは以下の2点である。

  1. セキュリティの評価や改善に関する取組を検証し、課題点を把握する
  2. 課題点である従業員の意識付けの不足を解消するため、演習・訓練を実施する

M社の実践内容

 評価や改善についての現在の取組内容を検証したところ、現場でのチェックシートを活用した点検が形骸化しており、その結果、課題の発見に至らず有効な改善も実施されてこなかったことが把握できた。点検が形骸化した理由として、点検を実施する従業員への意識付けが不十分であると考えた情報システム部長は、新たに机上演習やグループ討議を実施することにした。

M社で実践したPDCAサイクルの改善の例

図1 M社で実践したPDCAサイクルの改善の例

 情報システム部長は、机上演習やグループ討議の実施にあたり、参加者が実業務に関係する問題としてセキュリティを捉えられるよう、店舗の業務運営に関連するテーマを取り扱った。

M社で実践した机上演習やグループ討議のイメージ例

図2 M社で実践した机上演習やグループ討議のイメージ例

 また、参加者に対し、当日の気づきを踏まえて、後日自店舗のメンバーを集め、自店舗の課題や 改善策の議論を行うよう徹底した。

 M社では、こうした取組を毎年対象者を変えて実施している。その結果、各店舗において「多額の送金は、メールのみの依頼では対応せず、依頼先に電話確認するルールを策定した例」や、「朝礼で定期的に注意喚起を行うことにした例」等、具体的な改善が進んできている。

参考情報

PDCAサイクルを強化するための評価に関する取組として、情報システム部門等によるチェックリストを活用したセルフアセスメント(自己評価)や、独立した立場の専門家による第三者評価も有効である。

表1 PDCAサイクルを強化するための評価に関する取組

評価に関する取組内容
演習・訓練
  • インシデントを想定した疑似対応を行うことで、個々の管理策について評価
  • 手間や時間がかかる一方で、具体的な課題の抽出に繋がりやすいとともに、従業員への意識付けも図られる
セルフアセスメント(自己評価)
  • チェックリスト等を活用した個々の管理策の効果や達成度の評価
  • 手間、時間、費用が少なくて済み、手軽に行うことが可能であるも、従業員の意識付けが不十分である場合、運用が形骸化することもある
第三者評価
  • 対策の導入や運用に関与していない独立の立場の専門家による客観的評価
  • 独立の専門家に依頼するため、実施には時間と手間と費用がかかる

TOP