悩み(12) 外部サービスの選定でIT部門だけでは対応が困難である
n社では、クラウド等の外部サービスを利用する際はチェックシートの運用を実施している。事業部門がチェックシートだけで利用可否を判断できず、システム部門への個別相談するケースが多くなり、システム部門は対応に苦慮していた。
基本情報
h社の状況
- 各事業部門から、外部のクラウドサービスを利用要請が増えたことを背景に、システム部門がクラウドサービス利用に際してのチェックシートを策定している。
- 外部のクラウド利用に際するチェックシートを設け、NG項目があれば非推奨としている。
- チェック項目はサービスやセキュリティの機能確認が主である。
h社のプロフィール
| 業種 | 製造業 | |
|---|---|---|
| 規模 | 4,000人 | |
| 管理 体制 | CISOの有無 | 有(CIOと兼任) |
| 専任のセキュリティ部署 | 有 | |
| サイバーセキュリティ の主管部署 | システム部門 | |
セキュリティ担当者の問題・悩み
n社では、要求を満たさないチェック項目があるサービスは、「非推奨」と位置づけ、リスクをとってでも利用したい場合は、事業部門長の承認を得させる仕組みとなっている。
しかしながら、責任範囲や免責事項など利用規約に関するチェックはできておらず、事業部門から個別に相談を受けた場合にシステム部門では規約の解釈や判断に苦慮することが増えてきた。
取組(12) 社内の関連部門と連携して外部サービスの選定を行う
解決に向けたアプローチ
システム部門・法務部門の早めの確認によるメリット
そこでn社のCISOは、外部サービス選定の判断に、システム部門だけでなく法務部門にも参画してもらうことにした。
当初はシステム部門で判断が難しい場合に適宜法務部門へ問い合わせていたが、問い合わせ件数の増加を踏まえ、定例会を開催することにした。
また、法務部門と協力しながら、チェックシートへ法務的な確認事項も追加し、事業部門で包括的な観点から確認ができるようにした。
得られた知見
n社のCISOは、クラウドサービス等の場合であっても、外部委託と同様、サービス選定に際しては、サイバーセキュリティリスクの管理部門のみならず、法務部門等、複数の部門の関与が必要 不可欠であると考えている。
これまでは、システム部門・法務部門が定期的に連携することがなかったため、用語の使い方や認識の齟齬が発生することもあったが、次第に互いに同じ方向で議論でき、建設的なコミュニケーションができるようになっていると感じている。