プラクティス10-1 情報共有活動への参加による信頼獲得と、収集した知見の社内への還元
従業員数900名規模の流通業であるX社は、IPAやJPCERT/CC等が公表する注意喚起情報等の収集を行っていたが、サイバーセキュリティに関する高い専門性を有する人材がいなかったため、大量に提供される情報から自社にとって有用な最新のセキュリティの問題やインシデント等の情報を見極めることに苦戦していた。情報システム部長は、かねてから交流のあった同業他社に相談したところ、様々な企業が参加しているセキュリティ担当者向けの勉強会を紹介された。
X社の実践のステップ
情報システム部長が実践したステップは以下の3点である。
- ①セキュリティに関係するできるだけ多くのメンバーに、業務として勉強会への参加を指示する
- ②勉強会では、自社のかかえている課題等を他社へ積極的に情報提供することで、コミュニティにおける信頼を獲得させる
- ③参加メンバーに、勉強会を通じた得た情報や知見を社内で共有させる
X社の実践内容
X社では、情報共有活動への参加に関して、以下の点を心掛けたことで、コミュニティの信頼を獲得し、円滑な情報共有が図られる関係性を構築できた。また、勉強会で得られた情報を社内に還元することで、他社の取組等セキュリティ対策の強化に繋がる知見に関し社内での共有が図られた。
表1 X社が情報共有活動への参加において心掛けた事項の例
| 分類 | 内容 |
|---|---|
| ① 継続的な参加 |
|
| ② 多くのメンバーの参加 |
|
| ③ ルールの遵守 |
|
| ④ 情報提供 |
|
| ⑤ 運営への協力 |
|
| ⑥ 顔を突き合わせたコミュニケーション |
|
| ⑦ 社内への還元 |
|
また、情報システム部長は、勉強会での交流を通じて得られた情報の収集と分析に係る手法について、情報システム部の平常時の業務として定義した。さらに、手順書を整備し迅速な初動対応ができるようにした。
表2 X社が定めた情報収集手順の例
| 収集先 | 収集対象 | 手段 | サイクル | 担当者 |
|---|---|---|---|---|
| セキュリティに関するコミュニティ |
| 対面 | 隔月 | 課長 |
| メール | 随時 | 担当 | ||
| JPCERT/CC |
| WEB | 日時 | 担当 |
| IPA | WEB | 日時 | 担当 | |
| 警察 | WEB | 日時 | 担当 |
表3 X社が定めた情報分析手順の例
| 分析観点 | 分析方法 |
|---|---|
| ① どのようなインシデントか |
|
| ② 自社システムに影響があるか |
|
| ③ 自社システムで対策が図られているか |
|
| ④ 速やかに対策が可能か |
|
表4 X社が定めた対応手順の例
| 分析観点 | 分析方法 |
|---|---|
| ① 速やかに対策が可能なもの |
|
| ② 速やかに対策ができないもの |
|
| ③ 特に、社内への注意喚起・情報共有が必要なもの |
|
情報システム部長は、経営層による問題点の認識・理解と、事業部門等他部門との連携が重要であると考えた。そこで、次のステップとして、こうした情報が事業リスクの評価やIT投資の検討等においても有効に活用できるよう、経営層や事業部門に対して、セキュリティへの認識や理解を得るための働きかけを行うことを予定している。