「セキュリティをIT部門から分離」─セキュリティ専任組織の3つの役割とメリットとは?

CIO Lounge正会員・森本 秀治

 皆さんこんにちは。私は大学を卒業した1987年にワコールへ入社し、生産や営業といったライン部門を経験後、1990年に情報システム部門に異動しました。当時のシステムはいわゆる汎用機を中心に動いており、「情報漏洩リスクなんて、ほぼほぼ考えなくてよかった」時代でした。その後、PCの1人1台化とインターネットの社内導入、各種システムのオープン化とその後のクラウド化、パッケージ導入からSaaS利用へと発展していく中で、セキュリティリスクは飛躍的に拡大し、対策の重要性も高まりました。

 ワコールでは2005年にECサイトからの顧客情報漏洩、2014年にサイト改竄など大きなセキュリティ事故を経験し、そのつど対策を強化してきました。幸い近年は大きな事故はありませんが、一般消費者向けサイトを運営していますし、それなりに知名度もあるので、日々数百~数千件のサイバーアタックを受けています。防御できているものの、最近は標的型メール攻撃やなりすまし詐欺メールなど、新しい手口・脅威への「ヒヤリ・ハット」が常時発生している状況です。

 このようなセキュリティリスクの増大に対応すべく、数年前に情シスからセキュリティ対応機能を分離し、ワコールホールディングスにITガバナンス部という専任組織を設置しました(現在は経営企画部へ統合)。当時は業績が芳しくない状況であり、「今、部門を増やす意味があるのか?」といった反対意見も多かったのですが、何とか実現にこぎつけました。

 どういう目的や理由からセキュリティ専任組織を作ったのか。経営陣などに理解してもらうため、提案者である私がまとめた役割とメリットは大きく3つあります。以下で共有させていただきます。

①新規システム投資時のブレーキ役

 昨今のDXと称される流れの中、多くの企業で攻めのIT投資が求められています。情シスだけでなく事業部門やDX推進部門が「アクセルを踏む」中、セキュリティの観点で「ブレーキを踏む」のが専任部隊の役割です。どれほどメリットのある、あるいは効果が見込める投資でも、「このレベルのセキュリティ対策ができないかぎり、投資は絶対に認められない」と進言するのです。

 そこまでいかなくても最近は、安価で便利なサービスが多々あります。現場は「健康診断の予約サービスを導入したい」「作業員の動作解析分析のためにスマホアプリを入れたい」となりがちですが、情シスからすれば違います。基幹システムやイントラネットにつながるわけでもないし、正直面倒で関わりたくない案件です。安価なサービスには基本的なマルウェア対策すらできていない杜撰なものも多くあり、だれかがチェック役をはたさなければなりません。毎月何件も発生するそのような案件に対し、「セキュリティ観点でスクリーニングを行う」のも専任部隊の大切な役割です。

②グループ会社のセキュリティ指南役

 物理的な距離や時差がある海外グループ会社、国内だがM&Aなどで最近ジョインした子会社、本業のビジネス形態と異なる会社など、本社から見てさまざまな意味で距離のあるグループ会社のセキュリティは、不安なものです。

 その緩和・解消もホールディングスにある情報セキュリティ専任部隊の役割です。「桶の理論(桶の一部分でも緩い個所があるとそこから水漏れする)」(図1)を基に、グループ各社の情報セキュリティレベルをモニタリングし、各社へ『このレベルの対策までは必ず取ってね』と進言します。

 そのようなグループ会社、子会社はシステムが統合されていない、されていても部分的なものであることがあります。IT基盤やソフトウェア、サービスも会社によって異なるでしょう。となると情シスは介入しにくい(できない)領域や状況であり、専任部隊が担うメリットは大きいです。

図1:桶の理論のイメージ(イラスト:いらすとや)

③セキュリティ対策予算の確保役

 グループ各社へセキュリティ対策を求める際、時に多額の予算が必要となります。海外であれば移転価格税制などの問題があり、基本的には各社が予算を確保する必要があります。しかし各子会社からすれば業績向上やコストダウンが見込める投資が最優先で、セキュリティ対策は後回しになりがちです。

 このような場合に情報セキュリティの専任部隊の存在意義があります。例えばホールディングスの経営層に対し、「この会社のセキュリティ対策にはこれだけかかります。親会社として必要と判断されますか?(それともリスクを放置されますか?)」と進言するわけです。もちろん、全社共通ソリューションを導入することなど、全体のセキュリティ対策の仕組みや予算をマネジメントすることも大切な役割です。

 今回、お伝えしたかったことは以上です。ここからは余談になりますが、情報セキュリティには「ここまでやれば大丈夫」というラインがなく、また対策を尽くしたからといって目に見える効果が生じるわけではありません。そのため苦手意識を持つ方は少なくないように思えます。

 しかしサイバーセキュリティの脅威は日増しに強まっています。ハッカー側の組織化、巨大産業化が進む中、隙があれば攻撃されると考えて間違いないでしょう。従来の情報セキュリティ体制が機能し続けるとは考えにくい状況が生じているのです。

 情シス内でセキュリティ対応することに限界を(正直、面倒で苦手だと)感じ、情報セキュリティ専任部隊を作った張本人ですが、私は2024年4月に役職定年&5月に還暦を迎えて再雇用になり、何の因果かその情報セキュリティ部門で勤務しています。設立当初から(宴会要員として)関わって来たCIO Loungeでも、今年から情報セキュリティ分科会のメンバーとなりました。 引き続き、この分野で少しでもお役に立てればと思っています。

筆者プロフィール

森本 秀治 (もりもと しゅうじ)

1987年にワコール入社後、営業部門などを経て3年目よりIT部門へ異動。その後、一貫してITの業務に携わり、2016年に執行役員IT部門長に就任。その後、2023年にワコールホールディングス監査室長を経て、2024年に定年後再雇用で同社経営企画部・情報セキュリティ担当、現在に至る。
趣味は①ヘタレな週末テニス、②(CIO Lounge活動時を含む)安酒場での飲み。