情報セキュリティ

  1. トップページ
  2. 情報セキュリティ
  3. セキュリティエコノミクス
  4. プラクティス・ナビ
  5. プラクティス5-5 事業部門によるDX推進をセキュリティ確保の観点から支える仕組みづくり

プラクティス5-5 事業部門によるDX推進をセキュリティ確保の観点から支える仕組みづくり

公開日:2026年4月28日

背景

従業員数250名規模で水産物加工を行うL社は、自社で3つの工場をもち、それぞれ異なる加工食品の生産を行っている。うち1つの工場で扱う食品は消費期限が短いため、市場需要の読みを見誤ると商機を逃したり、多くのフードロスを生じさせたりするため、工場のベテラン職員の勘と経験に頼って生産量を調整していた。そのような状況の中、同社の食品を販売しているスーパーより、人流データや気温をもとに24時間後の販売需要を予測する仕組みを共同で運用しないかとの提案を受け、L社の社長もそれに同意したことから、工場においてスーパーへの接続方法を検討した結果、クラウドサービス経由で情報を共有する仕組みがよいと判断し、試行的な運用を開始した。この結果、当該工場の利益率が2倍以上改善するなどの成果が得られ、本格的な運用を進めることになったが、L社の工場向けのセキュリティルールは工場がインターネットから隔絶されていることが前提のままで、見直しが図られていなかった。

本格的な連携に先立つスーパーによるセキュリティ監査でその指摘を受けたL社の社長は、試行において何事もなかったのは幸運だったが、今後デジタル活用がさらに進むと、管理の目が行き届かない状況でサイバー攻撃の被害を受け、製造が止まる恐れがあるとの不安を抱き、情報システム部長に実態を踏まえたルール見直しと、今後のDX等の推進にあたって対策が後手に回らないようにする仕組みづくりを指示した。

L社の実践のステップ

L社の情報システム部長が実践したステップは下記3点である。

  1. 可能な範囲で迅速にリスクアセスメントを行う体制と環境の整備
  2. 事業部門において実施してよいデジタル活用の範囲を明確化
  3. 1と2の周知を通じた「相談が来る関係」の確立

情報システム部長は世間のデジタル活用の動きの速さを踏まえ、対策が後手に回らないようにするためには以下の2つの条件を満たす必要があると考えた。

  • リスクアセスメントとそれを踏まえたセキュリティ関連ルールの見直しを、事業部門が計画しているスケジュールに合わせて行えるようにする
  • できるだけ早期の段階で、相談を受けられるようにする

ただし現状では、「事業部門の新規取組に関して、情報システム部門がサイバーセキュリティリスクの観点からブレーキをかける」というイメージが社内に浸透しており、その結果、新しい取組に関して情報システム部門への連絡がなされにくい傾向にあると推察される。

今回の事例に関して、情報システム部長が望ましいと考える手続の流れは次図の通りである。

  • 図2-5.4 情報システム部長が望ましいと考える手続の流れは以下のテキスト版をご確認ください。
    図2-5.4 情報システム部長が望ましいと考える手続の流れ
図2-5.4 情報システム部長が望ましいと考える手続の流れ(テキスト版)

スーパー

  1. 連携の提案
    • 事業部門と協議する
  2. 施行実施
    • 事業部門と連携する
  3. 試行結果評価
    • 事業部門と情報システム部門と協議する
  4. 本格実施

事業部門

  1. 提案検討
    • 情報システム部門と社長へ相談する
  2. 施行案作成
    • 情報システム部門と社長と協議し、社長が承認する
  3. 施行実施
    • スーパーと連携する
  4. 試行結果評価
    • 変更があれば情報システム部門と共有する
  5. 本格実施案作成
    • 情報システム部門と社長と協議し、社長が承認する
  6. 本格実施

情報システム部門

  1. 試行の条件設定
    • 事業部門と社長と協議し、社長が承認する
  2. リスクアセスメント実施
    • 検討に必要な時間を確保できる
  3. セキュリティルール見直し案作成
    • 検討に必要な時間を確保できる
  4. 見直し案についての合意形成
    • 事業部門と社長と協議し、社長が承認する
  5. 新ルール運用

社長

  1. 承認
    • 事業部門と情報システム部門と協議し、施行案を承認する
  2. 承認
    • 事業部門と情報システム部門と協議し、本格実施案を承認する

承認

事業部門と情報システム部門と協議し、承認する

この実現に向けて、情報システム部長は次表の取組を実施した。

表2-5.5 情報システム部長が実施した取組
取組 内容
新たなデジタル活用に関するリスクアセスメントの迅速化

-他社で同様の取組があったり、セキュリティベンダから対策ソリューションが出ている活用方法については、市場シェアの高いソリューションで用いられている対策をベンダの推奨に従って採用する場合のリスクは許容範囲とみなす
-それ以外の独自性の高い活用の取組については、社長の承認のもとで専門のリスクアセスメントサービスを利用
事業部門において実施してよいデジタル活用の範囲の明確化

-情報システム部が公表している利用形態以外でデジタル活用を行う場合は、必ず情報システム部への相談が必要であることを明確化。これに反してインシデントが生じた場合は当該取組を行った部署の責任とする
-一方で、事前に相談を行うなどルールを守った上で発生するインシデントについては、明確な過失等がない限り取組の原因部署は免責となる旨を明示する
事業部門での教育受講 -「プラス・セキュリティ」(プラクティス3-4参照)として事業部門でDX等の取組を行う上で把握しておくべきセキュリティ知識を学ぶ講習に担当者を参加させる

これらの取組により、L社の事業部門から情報システム部への相談が増えつつある。現状において更なるルールの見直しが必要な取組は発生していないが、情報システム部長は従業員がサイバーセキュリティリスクに不安を抱くことなく、安心して新しい取組を検討できるようになったと考えている。

前のページへ 次のページへ

更新履歴

  • 2026年4月28日

    新規公開