2016年3月16日（水）

 情報セキュリティ対策には個々人の意識が大切

 東日本旅客鉄道株式会社 総合企画本部 システム企画部
 アナリシス・セキュリティセンター セキュリティマネジメントグループ
 副課長　五十嵐　章三

　
　昨今、標的型メール攻撃やWebサイトの閲覧からのウイルス感染など新たな脅威が猛威を振っています。これまでの愉快犯とは異なり、本気で企業や組織の重要な情報が狙われている時代、どのようなセキュリティ対応が必要となるのでしょうか。
　私は現在、システム企画部セキュリティマネジメントグループに所属し、当社を含むJR東日本グループ各社に対し、情報セキュリティ対策の徹底・指導実施を行っています。
　昨年に発生した日本年金機構の個人情報の漏えい事件、マイナンバー制度導入などにより、個人情報や機密情報などの情報セキュリティ対策について、多くの企業が関心を持っていると思います。情報セキュリティ対策と言えば、セキュリティベンダーやセキュリティ関連のセミナーなどでは「企業においては、個人情報、企業情報、機密情報を守るために、その情報を管理するコンピュータやネットワークの物理的なセキュリティ対策が必要である。」という話をよく聞きます。
　企業の多くは基幹システムにてF/Wによる通信制御、侵入検知によるアラート警報、サーバなどの機器に対してセキュリティソフトを導入するなど物理的・技術的な対策を実施していますが、それを行っても企業の情報漏えいの事件は無くなるどころか年々増加しています。標的型メールは巧妙で対策を簡単にすり抜け、Webの閲覧もどこが正常でどこが不正か見分ける事が困難となってきています。そうなると、最新の情報セキュリティ対策を導入していても、攻撃は完全には防げないという事です。
　よりセキュリティを強固なものにするには、物理的・技術的な対策だけでなく、関係者の意識が問題となってきています。
　具体的には、関係者一人ひとりが情報セキュリティ対策の重要性を認識し、適切に情報を取り扱えるよう、教育や注意喚起を徹底する事が欠かせません。
　弊社では、社員一人ひとりが理解するべく「情報セキュリティ10か条」を入社時に配布し、併せて情報セキュリティ教育を年一回全社員に対して実施しております。（テーマは毎年変更）
　さらに管理者に登用される際の研修では、情報セキュリティ講義を実施し、外部講師による講演やワークショップスタイルなどの様々な手法による教育に取り組んでいます。
　また、グループ会社、パートナー会社と一体となった情報セキュリティ推進組織を発足させ、研修、セミナーの開催や、情報発信及び情報共有を目的にグループポータルサイトを開設し、注意喚起や各機関の優良な取り組み事例を掲載、水平展開を図る事でグループ全体の情報セキュリティ意識の向上に努めております。
　このように様々な切り口から社員の情報セキュリティ対策の意識を高め、セキュリティインシデント発生時に何が守るべき重要な事で、そのために何を行わなければならないかを理解させ、速やかな対応に繋げていきたいと考えています。
 

※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。