アズテックの情報セキュリティ体制
2020.03.24 | 調査コラム
目次
1. はじめに
以前のコラム(※)では、社内業務のアウトソーシングを検討するにあたって考慮すべきメリットとデメリットをご紹介しました。
(※)「特許調査のアウトソーシングのメリット、デメリット(1)」
(※)「特許調査のアウトソーシングのメリット、デメリット(2)」
委託先を吟味する際には、メリットは勿論のこと、如何にデメリットを軽減できるかという部分も重要になるわけですが、外部から情報収集を行ったとしても委託先の詳しい状況まではなかなか把握できないものです。そこで今回は、前述のコラムでご紹介した「ガバナンスの弱体化」に関連してアズテックの情報セキュリティ対策と管理の仕組みについてご紹介したいと思います。
2. 具体的なセキュリティ対策
独立行政法人情報処理推進機構(IPA)によると、2018年度に報道された情報セキュリティインシデントは、2017年度に比べて発生件数が減少した一方で「情報流出・紛失」の割合が15%増加しています。加えて、情報漏洩のインシデント原因は「誤操作」が 25.1%と最多であり、「紛失・置忘れ」が21.8%、「管理ミス」が13.0%、「設定ミス」が4.7% 等、原因の6割以上が人為的な過失となっています。
この人為的な過失への対策が、情報セキュリティの要の1つと考えられます。それを踏まえて、アズテック社内における具体的なセキュリティ対策の一部をご紹介しましょう。
① 監視とアクセス制限
社外の人物など第三者の立ち入りを防ぐとともに、業務に無関係な従業員によるデータへのアクセスを防ぎ、情報漏洩のリスクを低減しています。
- カメラによる入退室者の24時間監視
- ビルの警備システム+独自オートロック機構
- 分析室への部外者の立ち入り禁止(外部との打ち合わせは別フロア)
- 社内サーバーへのアクセス制御
② データの取り扱い
業務を遂行するサーチャーであっても無用なデータの持ち出し・閲覧・複製を防ぐことができ、情報漏洩のリスクを低減しています。
- 社外への情報の持ち出し制限と社外閲覧の制限
- USBメモリや個人利用端末の社内システムへの接続を禁止
- 社内作業エリアでの撮影・録音の禁止
③ ソフトウェア・サービスの利用
事故発生に対する直接的な防壁を立てるとともに、対策自体に係る労力の低減を図っています。
- メール誤送信防止ソフト
- セキュアなテレワークシステム
- ホワイトリスト方式のソフトウェア利用
- ログ収集ソフト
こうしたセキュリティ対策は、安全性と利便性がトレードオフとなります。実際に上記の対策についても手間が増えて面倒だという声が挙がることもあります。手間やコストを増やしてまで行う価値があるのか、という点は常につきまとう問題です。それでも私たちがこうした対策を打っているのは、機密性を保持することが顧客に提供する信頼として最も重要な要素の1つであると確信しているからです。細かいルールや手間ひまが増えたとしても、その姿勢が安全と安心に結びつくと考え、作業を徹底しています。
3. ISMS認証
いくら具体的な対策を立てたとしても、それを正しく実行できる体制が整わなければ効果は薄れてしまいます。アズテックはISMS(情報セキュリティマネジメントシステム)の国際規格「ISO/IEC 27001」の認証を取得しており、情報セキュリティのリスクに対する予防策の立案、それに準じた計画の実施と監査、更なる対策の立案という一連のサイクルを定期的に回すことで、継続的な改善をし続ける体制を備えています。
ISMS運用に際しては以下に挙げる3つのアクションが社内セキュリティ向上に効果をもたらしています。
① 効果的なセキュリティ目標の設定
部門毎のセキュリティ目標を毎年設定します。過去には全社目標を設定していましたが、全社から部門毎に切り分けることで、過去に起きた事故や想定されるリスクなどそれぞれの現場に即した課題を適切に対応できるようになりました。上意下達の目標設定ではなく、部門に属するメンバー達が自ら課題を認識し目標を考えることで、より効果的な課題解決と意識付けを行っています。
② 社内教育の実施
全従業員に対してセキュリティ教育を実施しています。eラーニングだけでなく、リスク・事故のトレンドや実際に発生した過去の事例を解説することで、定期的にセキュリティに対する知見をアップデートしています。またセキュリティ担当者は脆弱性・注意喚起の情報を毎日収集し、緊急性の高い脅威に対しても迅速な周知と対策検討を行うことで、被害の発生と拡大を防いでいます。
③ 内部監査の実施
全社を対象に監査を実施します。アズテックでは監査人を固定せず、従業員の中でローテーションさせています。一人一人が監査役を経験することにより、ルールを再学習しその意義を深く理解できるようになるため、変化していくセキュリティルールを定着、徹底させる効果を狙っています。
私たちはISMSを維持していく過程で、明らかに意識の変化がありました。自らセキュリティ課題を認識し目標を設定させることや、監査役として制度の役割や意義を認識させることは、より高いセキュリティ意識の醸成に繋がりました。更に認証機関をはじめとした外部の専門的なアドバイスを受けることで知識水準を引き上げ、より適切な対策を打てるようにもなりました。認証に臨む以前から組織として情報セキュリティを重視する方針ではありましたが、ISMSの認証やその運用を経て、私たちは自信をもってセキュリティ要求に応えられるようになったと実感しています。
4. おわりに
アズテックの定める情報セキュリティ基本方針の目的には、こう記されています。
「当社は顧客の知的財産に関わる立場として情報セキュリティに対する顧客からの高い要求に応え、以て当業者として相応しい信頼を得るべく情報セキュリティを重要な経営課題として認識し、当社全体としてこの課題に取り組む事とする。」
アズテック株式会社 情報セキュリティ基本方針
今やセキュリティ対策は社会的責任と言われており、私たちは顧客の秘密情報を安全に管理するために日頃から細心の注意を払っています。しかしながら、ただ厳しい対策を打っていれば良いわけでもなく、認証を受けていれば大丈夫というわけでもありません。私たちは機密情報を取り扱う会社として、セキュアな環境も含めたサービス品質を提供できるよう、今後も継続的な改善を果たしていきます。
総務管理部 小倉
<参考>
・情報セキュリティ白書2019(IPA)
https://www.ipa.go.jp/files/000079041.pdf
・ISMS(情報セキュリティマネジメントシステム)とは
https://isms.jp/isms/
・アズテック株式会社 情報セキュリティ基本方針
https://aztec.co.jp/security.html