セキュリティ監査

現場の「気づき」で高める情報の安全性
「助言型」のセキュリティ監査で、情報セキュリティのレベルを維持・向上

ＮＥＣソフトは、IT企業としての社会的責任を果たすため、2006年9月からセキュリティ監査を体系的に推進しています。これは、ＮＥＣのコーポレート STC（Security Technology Center）が定めた「情報セキュリティ対策基準」を共通基準として、ＮＥＣソフトSTCとCSR推進部が開発プロジェクトを対象にセキュリティ対策の現状を調査し、改善のためのアドバイス、改善状況の確認を行うものです。単純な適合判断や査定ではなく、改善活動を目的とした助言型のセキュリティ監査となっています。

セキュリティ監査の流れ

図をクリックして拡大

セキュリティ監査の内容は？

小橋

「情報セキュリティ対策基準」を使ってプロジェクトに対する「お客様対応作業におけるマネジメント」と「セキュアシステム構築・運用におけるマネジメント」の２つの側面から同時に監査を進めます。監査した結果、現状のレベルが基準に達していない場合は、そこを指摘し、改善を支援します。例えば、開発プロジェクトで「セキュリティの提案をしているか」「どんな対策を取るかについて合意を取っているか」など、お客さまとのやり取りも含まれます。

中村

お客さまのデータを預かる場合は個人情報など重要な情報が含まれないようにマスキングしてもらうことも重要です。これらの対策は協力会社に作業を依頼する場合も対象になります。

高山

開発作業の要員に対するセキュリティ教育や、お客さまからの機器の預かり、客先での入退出管理も重要な要素です。

セキュリティ監査で分かってきたことは？

小橋

通常、セキュリティを考慮した開発では「情報資産の洗い出し」と「脅威分析」といったプロセスが必要となります。システムが持つ機器、データといった情報資産をリストアップして、脅威にさらされる可能性や予想される脆弱性を検討するわけです。実は、セキュリティ監査を何度も重ねるうちに、当社として、問題点がわかってきました。部分的に実施している事が多いのですが、明確に、「情報資産の洗い出し」「脅威分析」といったプロセスで実施していないため、脅威や検討すべき対策の網羅性に問題があるのです。

中村

また、自分たちが担当しているシステムの範囲では脅威分析ができているのですが、システム全体としての脅威分析が十分でないことも分かりました。

高山

開発要員のセキュリティ意識という点では、ＮＥＣソフトでは情報セキュリティに関し、数多くのEラーニングや集合教育が行われ成果が上がってきています。ただ、教育にない部分に対しては注意が甘くなることもありました。例えば、お客さまのシステムに問題があった時、社内で誰に報告を上げるかというエスカレーションルートは、頭で理解しているだけでなく書面にして皆で共有しておくべきなのです。

小橋

監査を受ける側は最初、面倒と思われることが多いのですが、見えていなかった弱点に「気付く」ことができると具体的な改善策を取ることができます。お客さまにとっても自分たちにとってもリスク回避につながるので、監査終了後は大抵感謝されます。

セキュリティ監査を行う立場としての感想は？

小橋

最近は、全社的にセキュリティ対策への意識が非常に高くなってきています。

中村

重要なのは一定のセキュリティレベルまで上げることだと思います。そのために「情報セキュリティ対策基準」は非常に有効だと考えています。また、部門によっては、非常にしっかりとしたセキュリティ施策を実施しているので、それを全社に展開していければセキュリティレベルの向上に繋がると思います。

高山

私は一年ほど前にCSR推進部に異動してきて、初めてセキュリティに直結する業務に就いたのですが、現場の社員と向き合って改善を進めていくことに面白さを感じています。直接対話から生まれる様々な改善方法をうまく活かしていきたいと思います。

小橋

私はもともと開発部門にいたのですが、今後、情報セキュリティの重要性がますます高まっていくと考え、今の仕事に志願しました。監査をする中で「セキュリティが武器にもなり得る、ライバルに対する優位性になる」と改めて実感しています。これを社内に、そしてお客さまに理解していただくことが結果的に情報セキュリティの浸透につながるのではないでしょうか。

ページトップへ