2023年セキュリティ強化宣言!

新年あけましておめでとうございます。コーポレートIT室(CIT室) Usekです。 本年もバレットグループとカラフルバレットをよろしくお願いいたします。

カラフルバレット1年の計は最初の記事にあり。今回は私の決意表明に関わるような記事を書かせていただきます。

2023年セキュリティ強化宣言の背景

2022年も多くのセキュリティ事故が世間で話題となりました。

  • 3月:製菓会社がサイバー攻撃により顧客の個人情報が流出した可能性があると発表
  • 5月:不動産管理会社の元従業員が退職した際、入居者に関する個人情報を不正に持ち出し営業活動に利用
  • 6月:尼崎市全市民の個人情報入りUSBメモリの紛失
  • 8月:厚生労働省が委託した企業がクラウドのセキュリティ設定ミス+メール宛先ミスにより機密情報が閲覧可能な状態に

いずれも全く他人事に思えません。一歩間違えれば自分たちが被害者、加害者になる可能性は十分に考えられます。 バレットグループのセキュリティ担当者として、より一層セキュリティを強化しなければという気持ちでいっぱいです。 セキュリティを強化するために必要なタスクはちょっと見回せばいくらでも見つかり、まさに終わりがありません。

さらに厄介なのは、これほどセキュリティが重視される社会でありながら、セキュリティ強化それ自体は利益を生み出さず(損害を防止するという意味では会社の利益に貢献しているのですが)利益を生み出す業務がどうしても優先されてしまうという点。セキュリティは"重要度は高いが優先度が低い"という難しい立場にあります。

とはいえ後悔先に立たず。セキュリティ担当者として、利益を生み出す業務をこなしつつ、セキュリティ対策も並行して進めていかなければいけません。

バレットグループセキュリティ強化宣言2023

弊社では毎月"Bullet Headline"という社内向け動画を配信していますが、今月は全社に向け"バレットグループ セキュリティ強化宣言2023"をアナウンスします。 そして今年は以下の施策を実施することを宣言します。言ったからにはやらなければならない、という背水の陣です😅

バレットグループセキュリティポリシーの普及

セキュリティポリシーとは、ISMS(情報セキュリティを確保するための仕組み)を実現するための、社内規定といった組織全体のルールや、どのような情報資産をどのような脅威からどのように守るのかといった基本的な考え方から、情報セキュリティを確保するための体制、運用規定、基本方針、対策基準などが具体的に記載されたポリシーです。

bltinc.co.jp

弊社のホームページの案内でもありますように、これまでバレットグループ、BULLBASE、BGテクノロジーと別れていた各会社がバレットグループに統合されます。 私は統合後を見据え、各事業部の担当者を交えた上で全社共通で利用可能なセキュリティポリシーを策定してきました。 2023年よりこのポリシーを全社に展開、運用を開始します。 これにより、社内全体のセキュリティレベルの強化に加えて、将来的なISMS認証の取得を見据えることができます。

セキュリティポータルの継続運用

セキュリティ事故に関するニュースやソフトウェア・ライブラリの脆弱性報告、セキュリティを改善するテクノロジーなど日々たくさんの情報が発信されますが、これを全てチェックするのは一般の人には困難です。 展開が必要と判断した情報をピックアップし、社内で運用しているセキュリティポータルに記事を作成し、社内SNSで共有しています。 昨年は以下のような情報を発信しました。

  • 社内で利用しているOS、ブラウザ、WordPressプラグインの脆弱性とアップデートの依頼
  • OpenSSL脆弱性に対する社内インフラの影響と対応
  • Emotet感染拡大に対する注意喚起
  • 社内で受信した不審なメールについて情報共有
  • 巧妙化する偽サイトの注意喚起
  • 不正に取得されたドメイン上で稼働する偽サイトの注意喚起
  • ドッペルゲンガー・ドメインの事例に対する注意喚起
  • (先日紹介した)アンチウイルスソフトESETが、何から社内PCを保護しているのかの説明
  • 新技術”パスキー”によるパスワードレスな未来についての考察
  • 忘年会シーズンにおけるセキュリティ注意喚起

小さいニュースでも継続して情報を発信しています。企業のセキュリティを高める最も重要な要素は人間・つまり従業員です。 ランサムウェアの侵入経路で最も多いのは電子メールの添付ファイル。基本的な啓発を継続して行うことが重要と考えています。

e-learningの強化

企業のセキュリティを高める最も重要な要素は人間・つまり従業員です(大事なことなので二度言いましたよ) どんなに強固なセキュリティシステムやルールを用意したとしても、それを無効化・無視されたりすると結局意味がないのです。 e-learningについては導入している企業も多いと思いますが、ただ問題を配布しただけ、で終わりでは効果は十分ではないでしょう。 実際尼崎市USB紛失事故での報告書にも以下のような記述がありました

当該 e-learning における理解度の確認テストは繰り返し受験を行えば正答を暗記して完了できるような形式となっており、理解が不十分でも e-learning の受講を完了することが可能であった。

おりしもCIT室でもより効果がある社内教育を検討しており、過去のe-learningの結果を分析したところ、同じように繰り返し受験を行なって合格にこぎつけた従業員がいました。再三依頼しても受講してくれない従業員もいました。これでは意味がないので、上長を経由してイエローカードを出しました。 今年からは毎回試験の結果を分析して、上記のような従業員の存在を逐一チェックするとともに、正答率が低かった問題の解説をおこなったり、e-learningを提供している会社が用意してくれている教材をただ流用するのではなく、自社に関係がある知識について解説した教材を自作することにしました。 残念ながらセキュリティ教育自体は退屈なモノです。どうすればモチベーションを上げることができるのか、自分ごとにできるのか、どこの会社のセキュリティ担当者も頭を悩ませていると思います。年間通じて優秀な成績だった社員に何らかのご褒美を出せればと思うのですが、自分には決裁権がなく・・・😅

※企業や組織が提出する障害報告書は目を通しています。自社にも同じセキュリティホールが存在することがわかり、新たなセキュリティ施策の動機になります。

最後に

バレットグループは今年1月末で設立10年を迎えます。今後も更なる発展を続けられるようCIT室は後方支援をガッチリおこなっていきたいです。 セキュリティは重要で責任は重大ですが、バレットグループのメンバーが安心安全に本業に集中できるよう、さまざまな施策を進めてまいります。