新米情シスが経営陣に情報セキュリティ研修をした話

はじめに

こんにちは。ゆるふわCIO候補（仮）のふみふみです。
情シス3年目となりました。3年くらいはまだ新米情シスと名乗っていいですよね？

というわけで昨年末より新たにスタートアップ企業にお声掛けいただき、副業情シスとしてIT統制や情シスの立ち上げ的なことをしております。

情報セキュリティ研修ってできたりします？

その副業先でIT統制向けのドキュメントを作成したりしていたのですが、とある日コーポレート部門のトップより

「無理を承知で爆弾投げるのですが笑
情報セキュリティ研修ってできたりします？」

「まずはボードメンバーに情報セキュリティについての大枠とうちでのリスク要因を認識してもらいたい」

という要望をもらいました。

正直、新米なのでセキュリティ研修を自分で実施したことはなかったですし、どんな内容にしようかな？とか迷っていました。でも、「これはせっかくの良いチャンス！」と思って2つ返事で『できると思いますー！』と回答してしまいました。何事も経験ですね。

研修資料はこちら

ゆるふわと名乗っているのでゆるふわなスライドテーマを意識してデザインしました。温かい目で見ていただけると幸いです。

実際にはトークやアドリブもそれなりに交えていますが、30分予定の研修で質疑応答含めて28分ほどとだいたいぴったりで収まりました。

何を参考にしたのか？

まずは第1弾かつボードメンバー（経営陣）向けということで、基礎的・全般的なこと・経営リスクよりの内容をメインに作ることに決めました。

昨今、情報漏えいやサイバー攻撃などが年々増加していますが、セキュリティ専任者の数は圧倒的に不足している状態です。特にスタートアップや中小企業ではまだそこまで着手できない、採用できないと言った状況だったりしますよね。

というわけで、まずは専任者のいないスタートアップ企業・中小企業が何を参考に情報セキュリティ対策を行っていくべきなのか、経営者に対してどのようなことを求めていくべきなのか、という視点で情報収集を行いました。

主に参考にしたのはこちら

■IPA

• 中小企業の情報セキュリティ対策ガイドライン

• 情報セキュリティ5か条

■経済産業省

• サイバーセキュリティ経営ガイドライン Ver 2.0

IPAの情報は情シスであれば馴染みのあるものかと思いますし、経営陣に向けてはやはり国自体がどういう方針を求めているのか、というのが一番強いかなと思います。 今回の研修は経営陣向けなので実際の対策としての細かい点には触れていませんが、IPAの資料の中には自社の情報セキュリティ対策への簡易的なチェックリストや、どういった流れで何を実施していくべきなのか、が分かりやすくまとめられており、未読の方はぜひ一度読んでみて欲しいなと思います。

さいごに

情シスであれば知っている内容も当然多いのですが、改めて今回の研修を実施・資料を作成するにあたり、IPAや経産省の資料は非常に勉強になったなと感じました。これらを踏まえて今後はNIST CSFなどを軸に具体的に情報セキュリティ対策を実施していければなと考えています。

よく「うちは経営層の理解が得られないから…」とか「セキュリティにあまり投資してくれないんだよね…」ということを耳にします。確かにどれだけセキュリティに投資してもらえるかはその企業の状況や経営層の理解度・関心度、はたまた業界・業種など様々な要因があると思います。

その中で僕たちのような情報システム・情報セキュリティに携わるメンバーができることは文句を言うことではなく、「いかに上長・経営陣に分かりやすく理解してもらえるか」「理解してもらう為の努力をするか」だと思います。それでもダメなら転職しましょう笑

僕自身も新米から抜け出すためにこれからも日々精進して参ります〜