情報セキュリティ

  1. トップページ
  2. 情報セキュリティ
  3. セキュリティエコノミクス
  4. プラクティス・ナビ
  5. プラクティス10-1 情報共有活動への参加による信頼獲得と、収集した知見の社内への還元

プラクティス10-1 情報共有活動への参加による信頼獲得と、収集した知見の社内への還元

公開日:2026年4月28日

背景

従業員数900名規模の流通業であるX社は、IPAやJPCERT/CC等が公表する注意喚起情報等の収集を行っていたが、サイバーセキュリティに関する高い専門性を有する人材がいなかったため、大量に提供される情報から自社にとって有用な最新のセキュリティの問題やインシデント等の情報を見極めることに苦戦していた。情報システム部長は、かねてから交流のあった同業他社に相談したところ、様々な企業が参加しているセキュリティ担当者向けの勉強会(注釈)を紹介された。

  1. 注釈
    IPAやJPCERT/CC、JUAS、各業界ISAC等では、セキュリティに関する情報の提供や参加者同士の情報共有を目的として、各種セミナーやイベントを企画・運営しており、こうしたセミナーやイベントへの参加を通じて、人脈を形成することもできる。

X社の実践のステップ

情報システム部長が実践したステップは以下の3点である。

  1. セキュリティに関係するできるだけ多くのメンバーに、業務として勉強会への参加を指示する
  2. 勉強会では、自社のかかえている課題等を他社へ積極的に情報提供することで、コミュニティに おける信頼を獲得させる
  3. 参加メンバーに、勉強会を通じて得た情報や知見を社内で共有させる

X社の実践内容

X社では、情報共有活動への参加に関して、以下の点を心掛けたことで、コミュニティの信頼を獲得し、円滑な情報共有が図られる関係性を構築できた。また、勉強会で得られた情報を社内に還元することで、他社の取組等セキュリティ対策の強化に繋がる知見に関し社内での共有が図られた。

表2-10.1 X社が情報共有活動への参加において心掛けた事項の例
分類 内容
(1)継続的な参加 -参加当初は議論についていくことで精一杯であり、また通常業務が逼迫する中で参加の時間を確保することに苦労しつつも、参加を継続する
(2)多くのメンバーの参加 -情報システム部長や課長の他、セキュリティに関係するできるだけ多くのメンバーが参加する
(3)ルールの順守 -コミュニティにおける情報共有のルールを遵守する
(4)情報の提供
-高度な内容ではなくても、自社から提供できる情報や自社の悩みを隠さずに共有する
(5)運営への協力 -勉強会の準備や会場の手配等、事務局の運営を手伝う
(6)顔を突き合わせたコミュニケーション -なるべく顔を突き合わせての参加を心がけ、親睦会等のオフタイムのコミュニケーションにも積極的に参加する
(7)社内への還元 -勉強会で得らえた情報や知見を社内の他のメンバーに共有する

また、情報システム部長は、勉強会での交流を通じて得られた情報の収集と分析に係る手法について、情報システム部の平常時の業務として定義した。さらに、手順書を整備し迅速な初動対応ができるようにした。

表2-10.2 X社が定めた情報収集手順の例
収集先  収集対象  手段  サイクル  担当者 
セキュリティに関するコミュニティ 同業他社のIT障害全般に関する情報
脆弱性情報その他IT障害の未然防止、発生時の被害拡大防止等に資する情報
対面  隔月 課長
メール  随時 担当
JPCERT/CC インシデント対応
注意喚起情報
脆弱性情報
各種の重要なセキュリティ情報
WEB 日次 担当
IPA WEB 日次 担当
警察 WEB 日次 担当

インシデント発生時は、上記に関わらず随時情報を収集する

表2-10.3 X社が定めた情報分析手順の例
 分析観点 分析方法 
(1)どのようなインシデントか  -インシデントの対象(システム、情報資産等)及び、原因(攻撃手法、脆弱性等)は何か
(2)自社システムの影響があるか  -自社で保有・管理するシステムに関連のあるインシデントか
(3)自社システムで対策が図られているか  -(2)該当の場合、(1)の原因について、自社では対策が図られているか
(4)速やかに対策が可能か  -(3)で未対応であることが判明した場合、ウイルス対策ソフトウェアのアップデート等で速やかに解決を図ることができる
表2-10.4 X社が定めた対応手順の例
対応分類 
対応方法 
(1)速やかに対策が可能なもの
-セキュリティ対策ソフトのアップデート等を速やかに実施する
-対策未実施期間中に不審な通信等を検知していないか、ベンダに確認する
(2)速やかに対策ができないもの
 -関係部署と調整し、経営の承認を得た上で対策を実施する
(3)特に、社内への注意喚起・情報共有が必要なもの
-メール受信時やWebサイト閲覧時等に職員が被害を受ける恐れが
ある場合には、メールやWebサイトを開かないように注意喚起等を行う

情報システム部長は、経営層による問題点の認識・理解と、事業部門等他部門との連携が重要であると考えた。そこで、次のステップとして、こうした情報が事業リスクの評価やIT投資の検討等においても有効に活用できるよう、経営層や事業部門に対して、セキュリティへの認識や理解を得るための働きかけを行うことを予定している。

前のページへ 次のページへ

更新履歴

  • 2026年4月28日

    新規公開