スタートアップ企業のセキュリティ担当に必要なこと

この記事は副業でお世話になっているAnytech株式会社のアドベントカレンダー9日目です。テーマはスタートアップなど社員数が少ない中小企業のセキュリティ担当者の行う上での心構えを書きたいと思います。

【2021年】Advent Calendar 2021｜AnyTech｜note

セキュリティ担当の課題

1.重要性が理解されない

よくセキュリティ担当が頭を悩ませるやつです。セキュリティってお金にならない(売上に結びつかない)でしょ？そんなコストをかける余裕無いし今ちゃんと動いているからいいじゃない？うちは大丈夫って言われてるあれです。

例えるなら車の任意保険とか家の火災保険などで「もったいないし大丈夫だ(確率低い）から入らなくていいよ」って言ってるようなものです。

2.みんな対応してくれない

OSやソフトウェアの脆弱性が出た(ソフトウェアの更新がきた)ときにSlackやメールで「みんな対応してね」って周知しても多数の人が対応してくれません。大体「いつもやってくれる人」「単純に忘れている人」「何度もいうと渋々やってくれる人」に分かれます（笑）

3.めんどくさい

今まで（全員）管理権限があって自由だった状態で規定や運用ルールを作ると依頼とか申請とか稟議とか手続きが増えて社員から小言をたくさん言われます。言ってる本人は愚痴程度なんですがセキュリティ担当者はストレス溜まりますよね。

4.監査が出来ない

これはセキュリティ担当側ですね。中小企業のセキュリティ担当ってだいたい兼任（情シスとかバックオフィス全部担当）なのでとても定期的に監査ログを見たりセルフチェックする時間がありません。

解決策

1.オープンな場で意見しよう

セキュリティのルールって大体が担当者間(担当者・上司・役員)のみで話してると思います。打合せがクローズドだと社員は状況把握出来ないし上司がNOと言ったらそこで終わってしまいます。打合せに全員参加は無理ですがSlackなどのオープンな場所で意見をすれば上司（役員）は圧力✊を使いにくくなります。

もしオープンな場でもセキュリティ対応を行わない選択（リスクの許容）をしたのなら、事故が起きたときあなたの責任ではありません。その時判断した上司（役員）の責任です。

なので口頭では行わず絶対証跡を残しましょう（笑）

2.しつこく言う

ちょっと根性論的なところがありますが・・・大体3回位周知してもやってくれない人は何度リマインドしても効果ありません。自分は以下流れで周知します。

1. 全体周知
2.リマインド1回目
3.リマイインド2回目（あと何名です）
4.リマインド（未対応者リストをつける or 名指し）※状況に応じて
5.DMで言う

これでほとんどの人は対応してくれます。ただし名指し（リスト）を使うのは上長と相談して慎重にやって下さい。人によっては晒されていると感じて離職率につながる可能性があります（なので最後はDMにしてます）

あとSlackとかだと「◯◯をしないと出れない部屋」というのを作るというやり方もおすすめです（チャンネル参加してる人＝まだやってない人なのでみんなすぐやってくれます）

3.理由を説明しよう

例えばその対応ってなんで必要なの？っていう人がいたらまず理由を説明しましょう。ISMSやPマークの規程で決まっている。◯◯のリスクがあるから等。これを言える状態じゃないとみんなに対応を依頼してもらうことは難しいでしょう。

4.まずはログを残す

情報事故が起きたとき、第三者機関による調査が行われる可能性があります。その時にログ何もありません〜何もわかりません。だと会社の信用に深刻なダメージがあり再起不能になる可能性があります。

最低でもログを残してフォレンジック調査が出来る状態にするのが第一歩です。ログの保存期間は法律もありますが重要なものであれば７年保存が良いと思います。詳細は以下記事をご参照下さい。

監査証跡の適切な保存期間はどれくらいか

その他おすすめの方法

1.社員が増える前に規程(ルール)を作る

ルールがない状態からルールが出来ると人はモチベーションが下がります。逆に着任時すでにそのルールがあれば受け入れてくれる事が多いです。まだ大丈夫と思わず早い段階で整備をすることを検討しましょう。

2.みんなにも考えてもらおう

セキュリティに限らず一方的な発信はみんな他人事感あって協力的になってくれません。例えば意見があった場合に「一緒に検討しましょう！打合せ入れさせて下さい！」って言ったり（それはあなたの仕事って言われたらそれまでですが）

あとは月1でみんなでセキュリティを考える時間を作って「もっといい方法はないか？」「これで大丈夫か？」等の意見交換ができる場を設けるとみんな協力的になってくれるし良い案も出ます。

（本業の会社では毎月セキュリティオフィスアワーを実施してます）

3.情報漏洩のニュースを共有しまくる

毎日どこかで情報漏えいが起きていてニュースにならない日は少ないと思います。当事者意識を持たせるためにSlackなどの雑談チャンネルにニュースをどんどん共有しましょう。

セキュリティを疎かにするとどうなるか思い知らせてやりましょう（笑）

4.自動化しよう

ここは情シスの人ならではですが、例えばMDM/EDRでセキュリティの自動更新出来るようにしたり申請を自動（簡素）化するとかですね。

セキュリティ担当や経営陣も出来れば社員には本来の業務に注力してもらいたいはずなので、出来るだけ工数がかからない方法を考えたりシステム導入をすることを検討してみましょう。

あとセキュリティ担当から未対応者を指摘しにくい（連絡しにくい）場合はBOTに発言させる方法もありだと思います。（システム情報を引っ張ってきて対象PCを割り出して発言させるとか）

まとめ

最近の情報事故はマルウェアより標的型攻撃やヒューマンエラー（設定ミス）がとても多いです。

セキュリティ対策に終わりはありませんが少なくとも最低限のことをしていれば世間からバッシングされるリスクを減らす事ができます。（会社の信用にも繋がります）

今は情シス担当ですがセキュリティ担当としても引き続き会社に貢献していきたいと思います。