グローバル時代の企業防衛、特命・情報リスク調査分析チーム 第1回「その必要性」 | ScanNetSecurity
2021.06.20(日)

グローバル時代の企業防衛、特命・情報リスク調査分析チーム 第1回「その必要性」

三井物産セキュアディレクション株式会社の調査研究部長 大河内智秀氏に、同氏の提唱する新しい職能「特命・情報リスク調査分析チーム」について尋ねた。

特集 特集
特命・情報リスク調査分析チームの組織内マッピング図
特命・情報リスク調査分析チームの組織内マッピング図 全 2 枚 拡大写真
グローバル化が進展し、企業を脅かすリスクが変化しつつある現在、企業の権益と情報資産をいかに守るかを、4回にわたって専門家に話を聞き、その要諦を確認する。

第1回は、三井物産セキュアディレクション株式会社の調査研究部長 大河内智秀氏に、同氏の提唱する新しい職能「特命・情報リスク調査分析チーム」について尋ねた。情報セキュリティの重要性が増す一方で、日本企業のシステム関連コストは削減され、拠点は世界各地に分散し、従業員のイントラネット上の行動には目が届きにくくなっており、機密情報の持ち出しなどのリスクが高まっている。

これに応えるのが「特命・情報リスク調査分析チーム」だという。組織内にチームを設置することで「進むべき道に潜む不確実な状況を可視化できる」と語る大河内氏に詳しい話を聞いた。

●「特命・情報リスク調査分析チーム」とは

― まずは「特命・情報リスク調査分析チーム」の定義は何でしょうか

大河内 ビジネスインテリジェンス(※)を担うチームです。

※ ビジネスインテリジェンス…企業内のインフォメーションを収集、分析し、ビジネス上の意思決定に迅速に活用できるようにする仕組み。ここで言うインテリジェンスは「諜報」の意ではなく、データの集積であるインフォメーションを、知能・思考力・理解力をもって過不足なく、意思決定ができるように加工したものを指す

― 社会と企業はここ10年でどう変わったのでしょうか

大河内 2000年以降、企業は、年功序列や終身雇用の崩壊、系列取引の崩壊、資産価格の下落、デフレスパイラル、粉飾決算による内部統制の厳格化、内部者の不正による情報漏洩といったリスクの顕在化などにより、不確実な環境下で活動してきました。さらにリーマンショック以降、中国、韓国、印度勢の台頭により、更なる競争激化に巻き込まれます。こうして企業は、徹底したコスト削減を迫られてきました。

その結果、製造業では生産拠点をアジアへ移転する動きが加速しました。また一方では、固定費の圧縮のためにシステム関連費用が削られ、人件費の抑制のためにリストラが断行されました。実際、IDCの調べでは、2000年以降、システムのアウトソーシングが毎年前年度対比9%で伸びています。

さらに、製品やサービスのライフサイクルの短期化に伴い、システムのライフサイクルも短くなりました。長期に渡ってシステムを運用し、ノウハウを社内に蓄積するという概念や価値が希薄化していることも、アウトソーシングを後押ししています。

― なぜ特命・情報リスク調査分析チームを企業内に組織する必要があるのですか? 情報システム部門との違いは何でしょうか?

大河内 先ほど説明した背景により、情報セキュリティ関連の事故は起こるべくして起きています。リストラで退職時に恨みをはらすなど、スタッフの動機が生まれやすくなっています。トレンドマイクロ社は2009年11月「業務情報取り扱いに関するアンケート調査」の結果を公表しました。これによると、社会人の58%が転職や部署異動の際に「業務で扱っていた何らかの情報」を持ち出したいと考えていることが分かりました。さらに、システム運用のアウトソース化で、会社に対するロイヤリティが希薄な人員が運用に携わっています。企業は起こりえる事故を未然に防ぎ、実質的被害、風評被害などの損失を回避する必要性に迫られています。

さらに、海外進出によって、法制度の違いや、異なる文化・風土を持つローカルスタッフと直面することになります。また、倫理観が欠如した文化がグローバル規模で育っています。現地で何が行われているかを不安に思わない経営者はいないでしょう。

情報システム部門は、コスト削減のあおりで、人手が足りない状況にあります。また、ビジネス面からのアプローチは、そもそもミッションではありません。さらに、情報システム部門には社内の機密情報にアクセスする権限があります。2009年4月に証券会社の部長代理が顧客の個人情報を不正に持ち出した事件がありました。特命・情報リスク調査分析チームは、情報システム部門も調査対象として職務を遂行します。

― どういった職務を実施するのでしょうか

大河内 紙で処理されていた各種申請、個々の社員のスケジュール管理など、ほぼ全ての業務活動が電子化されています。特命・情報リスク調査分析チームは、社内にある膨大な情報をモニタリングし分析することにより、不正の予兆を炙り出します。予兆を発見した場合、関連部門と対応について協議し、社内関係者への聞き取り調査や継続的モニタリングを実施します。事象が事件に発展しそうな場合には、法的処置を含む今後の対応を弁護士と連携し助言します。

特命・情報リスク調査分析チームは、こうした職務を通じ、企業内に起こりえる事件を、未然に防ぐことが重要なミッションとなります。


●「特命・情報リスク調査分析チーム」の企業内での位置づけ

― 企業内での所属部門や、他部門との望ましい連携はどうお考えですか

大河内 チームが職務を遂行するにあたり、経営陣との直接対話が必要になります。よって、最も望ましいのは経営者の直轄組織ですが、内部監査部門もしくは経営企画部門の中にチームを設置することもあるでしょう。また、法務部門、広報部門、情報システム部門など、職務に関連する各部門との連携も必要になります。法務部門とは証拠の収集、広報部門とはクライシスコミュニケーションなどを協議します。

― チームはどのように編成されますか?

大河内 兼務することもありますが、監理官、分析官、調査官から成ります。監理官や分析官はまさにインテリジェンスを生み出します。監理官は経営陣に提言を行ったり判断を求めたりするほか、マネージャーとしてチームを管理します。分析官は調査官から寄せられた情報を分析します。調査官は24時間365日体制で、調査オペレーションを担当します。いずれも高度なスキルと高い倫理観が求められます。また、利害関係者から独立した第三者である必要があります。

※第2回は西村あさひ法律事務所の橋本豪NY州弁護士に話を聞きます

大河内 智秀,CISSP

略歴:NTTコミュニケーションズ株式会社を経て、2009年より三井物産セキュアディレクション株式会社 調査研究部 部長。 東京大学 国際・産学共同研究センタ研究員(2004~2008年)、東京電機大学 未来科学部情報メディア学科応用情報工学研究室研究員(2010年~)を務める傍ら、「企業リスクとIT統制」 (アスキー出版2007年)、「CISSP認定試験公式ガイドブック」 (NTT出版2005年)など多くの著書と講演実績を持つ。4月17日、品川で開催されるセミナー「グローバル化時代の不正対策」で基調講演を行う

《ScanNetSecurity》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. パラマウントベッド従業員の仮想デスクトップ環境がウイルス感染、過去のやりとりを装った不審メールを確認

    パラマウントベッド従業員の仮想デスクトップ環境がウイルス感染、過去のやりとりを装った不審メールを確認

  2. 富士通のプロジェクト情報共有ツールへの不正アクセス、総務省でも被害確認

    富士通のプロジェクト情報共有ツールへの不正アクセス、総務省でも被害確認

  3. スポーツクラブNASへランサムウェア攻撃、会員管理システムに障害発生

    スポーツクラブNASへランサムウェア攻撃、会員管理システムに障害発生

  4. 「糖質制限ドットコム」に不正アクセス、1年分の決済情報が流出

    「糖質制限ドットコム」に不正アクセス、1年分の決済情報が流出

  5. やけど虫の駆除方法、体液が皮膚に付いてしまった場合の対策について

    やけど虫の駆除方法、体液が皮膚に付いてしまった場合の対策について

  6. 病院向け情報管理システム OpenClinic GA に複数の脆弱性

    病院向け情報管理システム OpenClinic GA に複数の脆弱性

  7. 富士フイルムへのランサムウェア攻撃、外部への情報流出の痕跡は確認されず

    富士フイルムへのランサムウェア攻撃、外部への情報流出の痕跡は確認されず

  8. クラウドの脅威はプロバイダ起因から利用者起因にシフト…CSAJの11大脅威

    クラウドの脅威はプロバイダ起因から利用者起因にシフト…CSAJの11大脅威

  9. かくれ脱水から脱水状態に進行したときに起こるサインを解説(「教えて!「かくれ脱水」委員会)

    かくれ脱水から脱水状態に進行したときに起こるサインを解説(「教えて!「かくれ脱水」委員会)

  10. Apache HTTP Web Server 2.4 の複数の脆弱性へアップデート公開

    Apache HTTP Web Server 2.4 の複数の脆弱性へアップデート公開

ランキングをもっと見る