★ 本記事のテーマ
インシデントへの対策は必須ですが、
本音はどうですか?。
- ① インシデントに対する組織の対応
- ② インシデントへの組織の本音
- ③ 痛い目に合わないと本気で組織は動かない
① インシデントに対する組織の対応
品質、環境、情報セキュリティなどあらゆる分野で
事故(アクシデント)への対策は必須です。
●品質:事故、品質不正
●環境:事故、法令違反
そして、
●情報セキュリティ:情報セキュリティインシデント
・・・
があります。
未然防止、再発防止の観点から
組織への要求事項があります。
ISO27001からの要求事項
一覧にします。
★やるべきこと一覧
- 6.1.3 情報セキュリティリスク対応
- 8.3 情報セキュリティリスク対応
- A5.24 情報セキュリティインシデント管理の計画策定及び準備
- A5.25 情報セキュリティ事象の評価及び決定
- A5.26 情報セキュリティインシデントへの対応
- A5.27 情報セキュリティインシデントからの学習
- A5.28 証拠の収集
- A5.29 事業の中断・阻害時の情報セキュリティ
- A5.30 事業継続のためのICTの備え
- A5.31 法令、規制及び契約上の要求事項
- A6.8 情報セキュリティ事象の報告
–
要求事項がたくさんあります。
インシデントに対する組織体制の在り方
組織が取るべき体制は主に
- 組織体制と権限の範囲
- 組織内規程の構築
- インシデント対応動き方
- インシデント対策訓練
の3つがありますね。
★組織体制と権限の範囲
表にまとめます。
| 層 | 役割 |
| ①経営層 (意思決定) |
・重大判断 ・資源投入 ・外部公表 |
| ②インシデント統括 (CSIRT) |
・全体指揮 ・判断 ・指示 ・外部連携 |
| ③実務対応チーム (事務局) |
・技術対応 ・封じ込め ・復旧 ・記録 ・報告書 ・再発防止 |
それぞれが役割と権限をもって、
インシデント対応できるように体制を組みます。
★組織内規程の構築
有事の際の行動と、
それを備える平時の行動を
冷静に対応するために、
規程(ルール)を作っておく必要があります。
★インシデント対応動き方
主に3つあり、
| レベル | 深刻度 | 最高責任者 |
| 1 | 低 | 情報セキュリティ管理者 |
| 2 | 中 | 情報セキュリティ管理者or経営層 |
| 3 | 高 | 経営層 |
インシデントの深刻さによって
組織内の動き方が変わります。
- 情報セキュリティインシデントの想定(どんな事故が起こりうるか)
- インシデントの深刻度によって、報告指示体制を決めておくこと
- インシデントの処置、完了、最終報告の指示
- 再発防止、事業継続管理へのアップデート
★インシデント対策訓練
組織にとって、
・事業継続危機に瀕するもの
から
・一部の社員の不手際で軽微だが、頻発するもの
などの想定しうるものを対象に
日頃から訓練します。
② インシデントへの組織の本音
よくある本音ですが
消極的なのが本音
インシデントに対応する組織の行動は当然ですが、
なるべくやりたくたいのが本音
●どうせ、インシデントなんてあんまり来ないでしょう!と思いたい
●経営層や中間管理職は情報セキュリティの意識が低いし。。。
●コストかけた分だけのリターンは無いし。。。
など、本音は、消極的なはずです。
ISMS活動の動機づけが難しい
情報セキュリティが大事な近年ですが、
・現実味がないだけに、いまいちピンと来ない
・こんな煩雑で手間なことわざわざしなくても大丈夫だよ!
・まあ、指示されたことだけやっていればいい。通常業務が忙しいからISMSどころではないよ!
が本音であり、
③ 痛い目に合わないと本気で組織は動かない
いい話ではありませんが、
あえてそうさせるのも手かもしれません。
インシデントが発生すると
組織内の混乱の中、次のことがよく見えるでしょう。
- 誰が他責、自責の念を持つのか?
- 本当に経営層は全面に立って責任を取るのか?
- 管理職やISMS事務局は本気で対応するのか?
- 自分の業務に支障が出るまで、誰も動かないではないのか?
- インシデントが発生してどれくらいダメージを受けたら組織は本気になるのか?
- 日頃の情報セキュリティへの意識や行動の大切さを身に染みるかどうか?
何でもそうですが、痛い目に合わないと、
平常のありがたみがわからないものです。
勉強、品質、環境、情報セキュリティ、防災、法令遵守などは
大事なのはわかるけど、日ごろは後回しにしたい面倒なもの
ですよね。
一番言いたいこと
1つ注意なのは、
そうなってはいけませんが、
平時から組織への意識向上・動機づけは
非常に難しいので、
くじけず、組織内に働きかける粘り強さが重要
。
と言いたいのです!
平時から粘り強く動機づけしよう!
勉強、品質、環境、情報セキュリティ、防災、法令遵守などの管理するものは
大切さを粘り強く伝え、行動につなげること
です。
土台を支える事務局担当者が
周囲への動機づけ、行動につなげるか
がキーポイントです。
事務局担当の頑張りにかかるので、この頑張りへの評価も組織でしてあげてください。
- 煩雑なISMSをわかりやすく伝えること
- NG行動とそれによる代償を何度も伝えること
- 不審な動きをする従業員への上手な注意喚起
- 情報セキュリティなどの管理活動の面白さを上手に伝えること
などの粘り強い活動が、
インシデントへの耐性強化につながり、
インシデント発生しても組織内での協力関係が出やすくなります。
このあたりの活動は、
結果として見えにくく、評価されにくい所ですが、
縁の下の力持ちな人を作ることが
組織で最も大事なことと考えます。
まとめ
以上、「情報セキュリティインシデントに対する組織の本音がわかる」を解説しました。
- ① インシデントに対する組織の対応
- ② インシデントへの組織の本音
- ③ 痛い目に合わないと本気で組織は動かない