尼崎市のUSBメモリ紛失事件からCISO/CSOの必要性を考えてみた

2022年7月22日 14:30

こんにちは！
セキュリティ専門コンサルタントの小牟田（こむた）です。

世間を大きく騒がせた”尼崎のあの事案”を題材にしてみようと思います。

私事ですが以前尼崎市に住んでいたので、あのニュースを見たときは自分ごとのようにドキッとしました。

話が少し脱線しますが、尼崎は兵庫県なのに「大阪市の市外局番と同じ０６-」なのをご存知ですか？（関西の方はご存知かも）

その背景には、ちょっとした企業ドラマがあるのでよかったら読んでみてください。

悪例として最高の手本と呼ばれる尼崎市の事件

さて、本題です。

今回のセキュリティの教科書的なドタバタ劇。笑い事ではないですが、笑いの中にも学びあり。

状況を簡単におさらいすると

いやぁツッコミどころが多すぎる。

特に、仕事をやりきってガンガン呑んで朝置きたらカバンがなくて青ざめるという人間味溢れるエピソード。笑（もちろん許されることではないですが開放的になりたい気持ちはすごく分かります。特に金曜日ね。）

情報を悪用する意図はなかったようですが、社員もしくはそれに近い人物が”その気になれば”情報を持ち出すことができる環境も多いのではないでしょうか。

例を挙げるとソフトバンクの元社員が楽天モバイルに転職した際に機密情報を不正に持ち出した事件。

「情報そのものを売って収益化したい」「転職そのものを有利にしよう」「転職後の自分の成果につなげたい」

情報が持ち出される可能性を０％にすることは難しいので、情報に関する事故・事件は起きるものとして対策を練ることをおすすめします。

▼対策例

尼崎市の記者会見を見ても、セキュリティに知見を持って事故対応を指南してくれる人材やセキュリティの責任者がいないということは火を見るよりも明らかでした。

そういった立場の人がいれば、セキュリティの桁数やヒントをうっかり言っちゃったなんてことは起こりません。また、もっと迅速で正しい事故後対応ができていたはずです。

これは民間企業にも同じことが言えます。

一般的にセキュリティ責任者はCISO（Chief Information Security Officer）やCSO（Chief Security Officer）と呼ばれます。

トレンドマイクロ社「サイバーセキュリティに関する調査」によると国内大企業の最高情報セキュリティ責任者（CISO）または最高セキュリティ責任者（CSO）の設置率は38.7％で、同等ポジションを含むと73.3％、未設置は24.3％でした。

7割がすでに設置してると言えば聞こえはいいですが、3社に1社は設置してないと考えると決して十分とは言えません。

「うちはベンダーに任せてるから大丈夫だよ」そう仰る経営者もいらっしゃいました。

ただ、もし事故が起こったときに今のベンダーが真っ先に駆けつけてくれるでしょうか？

逃げずに記者会見にも同席して、原因や改善点を正しく説明し、その責任を認めてくれるでしょうか？

自社のセキュリティ責任者は、権限を持って部門や部署を越え、スムーズに判断や指示を行うことが可能となり、セキュリティに対して実効力のある施策や行動を行えるようになります。

情報システム部やセキュリティ担当など、特定の部門や部署、担当を配置するだけでは権限が足りず、判断が遅れてしまうことで被害が拡大し、企業価値にも影響します。

そのため特に上場企業はCISO（CSO）を配置することや迅速な判断による対処ができるような体制を構築しておくことが強く求められています。

リスクマネジメント手法のスタンダードになりつつあるセキュリティ責任者の採用を一度検討してみませんか？

少しでも興味を持っていただけたらお気軽にご連絡ください。

【過去記事】

お気軽にご相談ください
LinkedIn

ペルソナ株式会社　問い合わせ先
問い合わせフォーム

▼ペルソナってどんなところか気になったら
2022年のペルソナ
 ワーキングマザーの抱える罪悪感について考えてみた
 ペルソナ株式会社事業内容のご紹介

▼代表佐野ってこんな人です、Twitter始めました
https://twitter.com/Sano__Hiroaki

▼YouTubeはじめました
#1　ペルソナ創業の思いとこれまで
 #2　ペルソナの事業や制度について
 #3　若手社員から見たペルソナ

この記事が気に入ったらサポートをしてみませんか？