機密情報を必要な担当者に限定して、安全に管理するための対応
企業情報
- 社名
- :一般社団法人新金属協会
- 従業員数
- :2~30人
- 業務内容
- :新金属に関する調査研究、情報の収集及び提供、講演会・見学会・研究会の開催、内外関係機関等との交流及び協力などの諸活動
- 支援期間
- :8ヶ月(5回)
一般社団法人新金属協会
セキュリティ対策への不安と運用の見直しへの検討
当協会では、新金属(チタン、ベリリウム、ウランなどの、近代工業における材料)に関する調査研究、情報の収集及び提供、会議の開催に係る業務(案内状・会議資料・議事録作成)などの業務を行っています。業務内容の中には半導体やレアアースなど「経済安全保障推進法」に則して取り扱う情報があり、セキュリティ対策について不安を覚えていました。そのような中、東京都のコンサルティングに申し込みました。
コンサルタントと面談をして、組織内で議論が必要となったのが、NAS(バックアップファイルサーバー)の運用ルールでした。セキュリティ対策として、それぞれの業務を担当するメンバーにどこまで権限を与え、どのような機器に保存して、どのようなタイミングで自動バックアップを取るかといった、細かなルールを決める必要がありました。
ルール作りをする中で、最も意見が割れたのが、バックアップ機器(NAS)を外付けハードディスクとクラウドのどちらにするかの議論でした。コンサルタントは、セキュリティ対策に関しての知識が豊富でしたので、外付けハードディスクとクラウドそれぞれのメリット・デメリットを提示しながら、様々な視点からのリスクを私たちにもわかるように説明してくださいました。
最終的に、取り扱う情報によって、外付けハードディスクとクラウドを使い分けることに決め、それぞれが適切なタイミングで自動バックアップする運用ルールを設定しました。コンサルタントに判断基準を丁寧に助言していただいたことで、職員も納得のいく判断ができました。
コンサルタントと面談をして、組織内で議論が必要となったのが、NAS(バックアップファイルサーバー)の運用ルールでした。セキュリティ対策として、それぞれの業務を担当するメンバーにどこまで権限を与え、どのような機器に保存して、どのようなタイミングで自動バックアップを取るかといった、細かなルールを決める必要がありました。
ルール作りをする中で、最も意見が割れたのが、バックアップ機器(NAS)を外付けハードディスクとクラウドのどちらにするかの議論でした。コンサルタントは、セキュリティ対策に関しての知識が豊富でしたので、外付けハードディスクとクラウドそれぞれのメリット・デメリットを提示しながら、様々な視点からのリスクを私たちにもわかるように説明してくださいました。
最終的に、取り扱う情報によって、外付けハードディスクとクラウドを使い分けることに決め、それぞれが適切なタイミングで自動バックアップする運用ルールを設定しました。コンサルタントに判断基準を丁寧に助言していただいたことで、職員も納得のいく判断ができました。
適切な助言で進められた具体的なセキュリティ対策
このように、組織内できちんとした議論を行うためには、私たち自身もセキュリティに関する知識を身に着ける必要がありました。私たちの業務の中には国の委託事業があり、情報管理を徹底する必要性からも、情報セキュリティ監査ができる職員が必要だと考えていました。そこでコンサルタントに紹介していただいたのが、ISMS(ISO27001)のセキュリティ監査講習です。
ISMS(ISO27001)は、情報セキュリティマネジメントシステム(ISMS)に関する国際規格で、必要な担当者のみが必要な時に必要な情報にアクセスできる権限設定に関する知識や、情報の破壊・改ざん・消去対策などについて学びます。組織の情報セキュリティマネジメントとして、技術的・人的な視点からリスク回避するための正確な知識を身に着けることができました。
知識を習得した上で、「セキュリティガイドライン」の策定にも取り組みました。
コンサルタントからは、「まずは、情報資産の区分をしっかり検討すること。そして、情報の管理者権限を決めること」というアドバイスをいただきました。情報を必要な担当者だけに適切に開示することの重要性は、監査講習でしっかりと学びましたので、情報ごとの管理者権限に関しては精査して取り組むことができました。
その後もコンサルタントから助言をいただきながら、アクセス制御の検討に続けて、ウイルス対策・セキュリティ監視ソフトの検討、データバックアップの検討、情報セキュリティ管理規程の検討、文書管理規程の検討を順に進めることができ、「セキュリティガイドライン」の素案を作成することができました。
ISMS(ISO27001)は、情報セキュリティマネジメントシステム(ISMS)に関する国際規格で、必要な担当者のみが必要な時に必要な情報にアクセスできる権限設定に関する知識や、情報の破壊・改ざん・消去対策などについて学びます。組織の情報セキュリティマネジメントとして、技術的・人的な視点からリスク回避するための正確な知識を身に着けることができました。
知識を習得した上で、「セキュリティガイドライン」の策定にも取り組みました。
コンサルタントからは、「まずは、情報資産の区分をしっかり検討すること。そして、情報の管理者権限を決めること」というアドバイスをいただきました。情報を必要な担当者だけに適切に開示することの重要性は、監査講習でしっかりと学びましたので、情報ごとの管理者権限に関しては精査して取り組むことができました。
その後もコンサルタントから助言をいただきながら、アクセス制御の検討に続けて、ウイルス対策・セキュリティ監視ソフトの検討、データバックアップの検討、情報セキュリティ管理規程の検討、文書管理規程の検討を順に進めることができ、「セキュリティガイドライン」の素案を作成することができました。
テレワークの活用による、費用の削減や生産性向上の実現
現在は、育児・介護などの事由で柔軟な働き方の必要性が高い職員に対応できるよう、さらなるテレワークの活用を進めていこうと考えています。それは、これまでのテレワーク導入で、様々な価値を見出せたからです。
例えば、テレワークにより自ら考えて業務を遂行するようになったことで、より計画的、効率的に段取りできるようになったと感じています。打ち合わせに関しても、オンライン会議を活用することで、日程調整がしやすくなり、移動時間・会議時間の節約につながっています。また、通勤時間が削減できることで、ワークライフバランスも向上しています。今回のコンサルティングでは、出社勤務とテレワーク勤務が共存できる規定への変更についても助言していただきましたので、ハイブリッドワークしやすい環境が整いました。
組織としては、ペーパーレス化を進めることにもつながり、コピ―代の費用削減や職員間の情報共有の効率化にもメリットを感じています。今まで紙資料だったものがデータ化されたため、決められた格納場所にアクセスすれば、必要な情報を確実に共有できるようになりました。さらに、常に更新された情報を確認できるようになり、最新情報を見落とすケースも少なくなりました。
このように、テレワークの活用で業務効率が向上し、稼働時間を削減でき、生産性向上に寄与していると感じています。
コンサルタントには、テレワークの目的からはじまり、規程や環境の整備、導入・進め方などに関して一から詳しく教えていただき、優先すべき検討事項や作業の進め方のアドバイスもしていただけたことに感謝しています。
例えば、テレワークにより自ら考えて業務を遂行するようになったことで、より計画的、効率的に段取りできるようになったと感じています。打ち合わせに関しても、オンライン会議を活用することで、日程調整がしやすくなり、移動時間・会議時間の節約につながっています。また、通勤時間が削減できることで、ワークライフバランスも向上しています。今回のコンサルティングでは、出社勤務とテレワーク勤務が共存できる規定への変更についても助言していただきましたので、ハイブリッドワークしやすい環境が整いました。
組織としては、ペーパーレス化を進めることにもつながり、コピ―代の費用削減や職員間の情報共有の効率化にもメリットを感じています。今まで紙資料だったものがデータ化されたため、決められた格納場所にアクセスすれば、必要な情報を確実に共有できるようになりました。さらに、常に更新された情報を確認できるようになり、最新情報を見落とすケースも少なくなりました。
このように、テレワークの活用で業務効率が向上し、稼働時間を削減でき、生産性向上に寄与していると感じています。
コンサルタントには、テレワークの目的からはじまり、規程や環境の整備、導入・進め方などに関して一から詳しく教えていただき、優先すべき検討事項や作業の進め方のアドバイスもしていただけたことに感謝しています。
-
現状
取り扱いに注意が必要な情報の管理に不安を覚えながらテレワークの運用をしている状態
-
ゴール
設定セキュリティ対策として、機器やガイドラインを見直し、セキュアにテレワークを活用できる状態
-
コンサルタントの支援内容
・出社勤務とテレワーク勤務が共存できる規定への変更を助言
・機密情報を扱うファイルサーバーのアクセス制限やバックアップ頻度に関する助言
・セキュリティガイドラインの見直しに当たって、ISMS(ISO27001)のセキュリティ監査講習を受講した上での改定を助言 -
結果
・テレワーク勤務は必要に応じた判断で行えることになった
・機密情報を扱うファイルサーバーの運用方法がまとめられた
・セキュリティガイドラインを担当した従業員が、情報セキュリティ監査に関する知識を習得できた
・セキュリティガイドラインの素案を作成できた
今後に向けたアドバイス
今回の取り組みで、テレワーク勤務ができる環境が整ってきました。これらは状況により変更が発生し得るので、定期的に運用状態をチェックしていただくことが重要と考えます。ISMSのセキュリティ監査講習の知見を活かして、今後も情報セキュリティガイドラインのブラッシュアップをご検討いただければと思います。
※テレワーク課題解決コンサルティング事業での支援事例
※テレワーク課題解決コンサルティング事業での支援事例