2023/10/30
by 佐藤 啓賢
 

本社がセキュリティ対策に力を入れて取り組んだとしても、子会社や孫会社にほころびがあれば、たちまちグループ全体に影響を及ぼす可能性があります。グループとしてセキュリティを強化するには、「情報セキュリティ監査」を実施して横断的にセキュリティポリシーおよびルールの遵守状況を把握し、それから対策に落とし込んで実行することが理想的です。DXCテクノロジーが支援してきた経験をもとに、「監査」のポイントをご紹介します。

 

セキュリティ統制は本社だけでなくグループ全体に浸透させるべき

もちろん子会社でもセキュリティ対策は講じているはずですが、本社の水準と開きがあったり、個別最適になっていてグループとして見たときに不十分であったりします。

そこで必要なことは、親会社主導でグループ統一のセキュリティポリシーおよびルールを設けて、国内、海外を問わず遵守する活動を行うことです。本社が大号令を発してグループ全体の取り組みにしなければなりません。

ただし、声を掛けるだけで遵守することは困難です。子会社は相対的に人材や予算が不足しがちですので、親会社がセキュリティベンダーの協力を得ながら支援し、対策を進めることが大切です。

そこでは経営層も巻き込んだ会社間のコミュニケーションも欠かせません。最近では企業買収によるグループ拡大の結果、資本関係や人間関係を背景に、グループでの統一的なセキュリティ対策が困難なケースもあります。特に海外の会社は、日本側の方針に足並みを揃えない傾向も見られます。

 

自己点検でグループ全体のセキュリティ状況を可視化する

グループ全体で統一的なセキュリティ対策を実施するには、ポリシーおよびルールの整備や実装だけでなく、グループ全体の監査を行い、セキュリティルールの遵守状況を可視化することが重要です。このとき、いきなり実地監査を行うのではなく、初めに自己点検を行い、その結果をもとに対象を限定して実地監査を行うことが最適解だと考えられます。これならば全ての子会社に赴いて実地検査を行う場合と比べて、双方の会社の負担を抑えられ、子会社・孫会社が100社以上あるような大規模なグループでも実行することが現実的に可能です。

自己点検は一般的に、あらかじめ本社側でチェックリストを用意し、これに各社が回答したものを確認・集計して行います。各設問に「できている」「できていない」のいずれかに○を付け、その理由や対応予定を記入します。

また、本社内でも同様に、組織や事業単位で自己点検を実施します。

自己点検の結果を数値化すると、実地検査を行うべき会社を効率よくリストアップできます。このとき、極端に点数が低すぎたり高すぎたりする会社も実地検査の対象とします。よく見せようと虚偽報告して点数が高い場合や、逆にチェックを実施する担当者が厳しすぎて点数が低い場合もあるためです。

 

実地監査では、コミュニケーションを大切にする

続いて、自己点検の結果を受けて行う実地監査では、自己点検結果の確からしさをチェックします。

実地監査では、現地とのコミュニケーションが大切です。現地に赴くことで、対策を実施する担当者や組織のリーダーに対して直接、改善の手法を伝えたりルールの誤解を解消したりといった指導が行えます。また、本社との関係性が浅い会社の担当者とも密にコミュニケーションを取ることで、セキュリティの改善活動が促進されるなどのメリットもあります。

 

セキュリティ成熟度を踏まえて、監査計画を作成し実施する

本社から統一ルールを示されたばかりで取り組みが浅い段階では、グループ各社はそれを守ろうとするだけで手一杯になるでしょう。本社も同様で、さらに掘り下げた対策までは手が回りません。

しかし、各社個別にではなく、グループとしての取り組みを繰り返す中でセキュリティ成熟度が上がっていくと、他社で発生したインシデントやその対処で得た知見を取りまとめて、新たな監査計画へ反映できるようになります。

また、グループ全体としての弱点が見えてくるため、重点的に取り組むべき対策が浮き彫りになっていきます。

 

監査結果をもとに経営層とグループのセキュリティ対策を強化

監査結果をよりよいセキュリティ対策につなげるためには、監査によって可視化されたセキュリティ遵守状況を、親会社の経営層に報告するだけではなく、子会社の経営層にも報告し、理解してもらうことが大切です。

例えば、各子会社や事業・組織単位で遵守すべきセキュリティルールが100項目あったとして、70項目達成できていれば、遵守率70%という目に見える形で現状を捉えることができます。そして、その後のセキュリティ計画を策定するのに役立ちます。各社が自分たちの立ち位置を数値で知ることにより、子会社同士での競争を促す効果も期待できるでしょう。

監査によって課題が明らかになるため、予算を充てるなどの対策を講じやすくなります。グループ全体としての課題や状況が判明したのなら、本社主導でてこ入れするきっかけになります。

遵守率が良好であれば担当者を褒めることもできます。セキュリティインシデントが起きないことが当たり前と考えられてスポットライトの当たらない担当者の意欲を向上させ、セキュリティ対策の好循環を生みだします。

 

監査計画から対策の実装まで、海外拠点も含めてフルサポート

今回ご紹介したようなセキュリティ監査は、必要性を理解していても、実際にアクションに移すことが困難でお悩みの会社も少なくないようです。

DXCテクノロジーでは、セキュリティの成熟度を踏まえた監査計画の策定から、監査実施、改善の実行までフルサポートで、子会社のセキュリティ成熟度の向上に貢献してきました。もちろん、お客様の予算や状況に応じた一部分だけのサポートも可能です。

DXCテクノロジーならではの特徴は、大きく2つあります。

1つは、セキュリティ対策で必要となるガバナンスとテクノロジーの双方を継ぎ目なく支援してきたナレッジがグローバルで蓄積されていることです。グローバル展開している企業グループに対して、さまざまな観点でご提案・ご支援できます。

もう1つは、バイリンガルで対応可能な体制です。海外の子会社については、監査計画を熟知したDXCテクノロジーの日本メンバーが現地に訪問することで円滑な実地監査を支援できます。

また、先ほど触れたように、海外の子会社を含めた統一的な取り組みは、国内以上に困難を伴うことが珍しくありません。主だった地域であればDXCテクノロジーの現地スタッフが支援を行えるため、子会社のある地域特有の文化や事情、経営層や従業員たちの心情に配慮しながら、実効性のある取り組みが可能です。グループや規模に関わらず、セキュリティ対策の強化や情報セキュリティ監査を検討しているお客様は、DXCテクノロジーへぜひお問い合わせください。

 

佐藤 啓賢(Yoshimasa Sato)
セキュリティサービス事業部 Security Delivery Lead。国内製造業および外資系ITベンダーを経て2023年よりDXCへ参画。メディア業界のお客様向けにセキュリティソリューションの導入・運用支援の他、製造業のお客様向けにセキュリティガバナンス支援等を実施している。

ほかの記事を読む

アイテムを更新しています。