　前述の考え方を踏まえて、中小企業の組織変革を考えてみよう。図1に仮想の中小製造事業者Bの組織変革の例を示した。変革前との違いは、図1内の点線枠で囲った通り、「CISO及びその直轄組織としてのCSIRTの新設」「SOC機能をMSS（Managed Security Service）利用により実現」の2点である。また、CSIRTから各工場の責任者に点線が伸びているが、この説明は後述する。

図1　仮想の中小製造事業者Bの組織の変革例（点線枠が新設の部分）（クリックで拡大）

　では、前回の大企業の例と同様に、課題に沿って、図1の組織変革の意図を説明しよう。

課題①：CIOとCISOが分離されておらず、IT投資とセキュリティ対策のバランスがとりにくい

　中小企業の場合も大企業と同様に、CISOの新設が課題解決の方法となる。中小企業の場合、そもそもCIOの設置さえ行われてないケースもあると考えられるので、CISOの設置はセキュリティ事故があったときに「責任を取る人」を決める意味合いが強い。場合によっては、社長が兼務することもあるだろう。具体的にCISOが何をすべきかについては、IPAから「中小企業の情報セキュリティ対策ガイドライン」^※2）が発表されているのでこちらを参照するとよい。

課題②：各工場のガバナンス部門の力が強く、CSIRTでセキュリティポリシーを策定しても、各工場で徹底されにくい

　大企業の場合は、CISO直下にIT-CSIRTだけでなく、事業部のセキュリティ担当者を巻き込んだOT-CSIRTを新設したが、中小企業では、そこまで人員を割くことができない。また、工場には、そもそも専任のセキュリティ管理者がいない場合が多いので、ITとOT両方のガバナンス機能をもつCISO直轄組織のCSIRTを新設し、情報システム部から2人を選抜して配置した。

　CSIRTのもつべき機能については、CSIRT協議会の資料^※3）などから確認できるが、全部を2人で行うのは不可能なので、フォレンジック担当など専門性が高い機能は外部のリソースを活用することになる。どこまでの機能を実現するかは、予算との兼ね合いだが、外部に頼るだけでなく、CSIRTメンバーのセキュリティのスキルアップは、必ず実施しなければならない事項だ。外部に頼れる部分は、具体的な運用やインシデント対応である「マネジメント」の部分だけであり、常時の方針決定や非常時の意志決定である「ガバナンス」は、自社の人員でしか判断できないからだ。情報処理安全確保支援士やCISSPなどのセキュリティ資格を取得することを目標としつつ、実務に関する知識をつけると良いだろう。

※3）関連リンク：日本シーサート協議会「CSIRT人材の定義と確保」

　また、経営直轄となり、CSIRTに強力な権限が付与されることで、課題であったポリシーの徹底がやりやすくはなる。とはいえ、現場にとって、セキュリティポリシーの徹底は、面倒な作業であることには変わりないので、CSIRTメンバーが、各工場の責任者と定期的に意見交換をして、ポリシーを柔軟に運用することが肝要だ。現場のキーマンが明らかなケースが多いと思われるので、組織と組織の関係というよりは、個々の信頼関係の構築を重視して進めるのが良い。図1ではその意味をこめて、担当者間を点線でつないでいる。

　中小の事業者であれば、対象となるOT設備はさほど多くないと考えられるので、単なるアンケートや定期テストだけではなく、CSIRTメンバーが直接現場に入って、OTシステムの資産管理のサポートやポリシー運用の立ち入り監査を行うことも可能だろう。ここは、中小企業だからこそできる小回りの効く運用を心掛けたい。

まずはITシステムの監視から始める

前のページへ 1|2|3 次のページへ