多くの企業にとって、人材不足は共通した課題です。その中でも、セキュリティのような専門分野では、適任者がいないのを前提に考えることも必要です。特に中小企業では、取引先からのセキュリティ要求が高まる一方、人手が足りない社内での対応はきわめて難しいはずです。
本コラムでは、セキュリティに関わる社内人材の要否も含め、計4回にわたり中小企業におけるセキュリティ体制を考察します。
セキュリティ対策の担い手
他人事のように「セキュリティ対策は、大手企業の取り組みですよね!」といった認識が、中小企業にあるのではないでしょうか。そうした中、近年の中小企業を踏み台にしたサイバー攻撃では、サプライチェーンを構成する多くの企業に甚大な被害が及びます。企業間の取引条件として、セキュリティ対策の実施が求められるケースも増えています。
しかしながら、中小企業にとって、自社のセキュリティ対策の担い手がいないのは、もはや公然の事実です。そもそも人手不足で困っているところに、セキュリティの専門知識を有する社員がいるなどありえません。
中小企業のセキュリティ対策とは、いったいどのような体制で取り組めばいいのでしょう。
わが社のセキュリティ担当は?
中小企業にとって、セキュリティ対策とはどういった位置づけになるのでしょうか? 積極的に対策を進めたからといって、売上増加に直接効果を生むとは考えづらく、どうしても対策は後回しになりがちです。そうした二の次となるような取り組みを、若手社員に押し付けてしまう企業も少なくありません。「それならパソコンに詳しい○○君に任せよう!」 そんな無茶振りで、セキュリティ担当と呼ばれる社員がいたりします。
また、情報システムの管理をごく少人数で担当する「ひとり情シス」が、暗黙の了解でセキュリティを担っている企業も多いと思われます。システム管理の業務で手一杯なところに、セキュリティの負担がプラスされるどころか、もともと担当だったような扱いを受けるのです。
しかしながら、セキュリティ対策への取り組みは、そうした担当さえ決めれば解決するものではありません。セキュリティ対策を会社の組織活動にするには、役割責任を明確にして体制を整備する必要があります。あたり前のことですが、一般的な社内業務と何ら変わりはないのです。
特に近年、取引先からセキュリティ対策の実施状況を問われるケースが多くなっています。サプライチェーンを構成する一つの企業がサイバー攻撃で操業を停止すると、その影響がサプライチェーン全体に及ぶことが考えられます。セキュリティリスクは、サプライチェーンを寸断しかねない事業上の課題です。
いろいろ考えられる役割責任
組織的にセキュリティ対策を進めるには、どのような体制が必要になるのでしょう。体制における役割責任を考えてみます。
- 情報セキュリティ責任者
セキュリティ対策は、担当者だけに任せるのではなく、組織の正式な業務にする必要があります。そのためには、要員・予算といった経営資源が適切に配分できるよう、経営幹部の十分な関与が求められます。大手企業では、CISO(Chief Information Security Officer:最高情報セキュリティ責任者)と呼ばれる役員がいることも少なくありません。 - 情報セキュリティ管理者
一般的な社内業務の遂行では、それぞれの担当者を取りまとめる管理者(課長や係長等)がいます。セキュリティ対策についても同様です。情報セキュリティ責任者から権限委譲を受け、セキュリティ対策の社内統制を図ります。
- 情報セキュリティ担当者
情報セキュリティ管理者の指示のもと、実務レベルでセキュリティ対策に取り組みます。いわゆる業務担当者の役割です。専任のセキュリティ部門が設置できない企業では、それぞれの部門から兼任の担当者を選抜することが多いと思います。 - 情報セキュリティ委員会
セキュリティ対策を推進するにあたり、部門間での利害関係等を調整します。情報セキュリティ責任者を中心に、各部門の責任者(部長等)が参画した会議を、4半期ベースで行うことが考えられます。
いったい誰が担うべきなのか
そうした役割責任への理解があっても、もともと人手不足で困っている中小企業にとって、「それって、いったい誰がやるの?」となるはずです。売上・利益に直結しない業務ですから、間接部門として専任組織を設けるわけにもいきません。
セキュリティ対策は、情報システムに関りが深いことから、情報システム部門が主管するのが望ましいかもしれません。ただ、中小企業では情報システム部門がない会社だってあります。どの部門にも該当しない業務となれば、形式的に総務部門が受け持つことも多いはずです。
いずれにせよ、中小企業のセキュリティ対策は、事業上の重要な課題と認識しつつ、各部門が協力しながら進めるしかありません。そうしたことからも、社長が情報セキュリティ責任者の役割を担い、トップダウンで全部門を取りまとめる体制だって十分考えられます。
セキュリティ対策の推進を、各部門の業績で評価することは難しいですから、経営判断でトップが舵を取るべき課題といっても過言ではないのです。
次回は
第2回では、セキュリティ管理者の役割について、その重要性を深掘りします。特にデジタル化の進展で、セキュリティ管理者がDX推進に欠かせない存在に変わってきています。