私たちの会社では、2015年から情報セキュリティマネジメントシステム(ISMS)の認証を取得しています。 最初は特定の部門での認証取得から始まりましたが、その後、全社的な取り組みへと拡大しました。 現在、各部門から現場のエンジニアが集まり、情報セキュリティ委員会を構成しています。この委員会は、情報セキュリティの向上と維持に向けた活動を推進しています。 しかし、情報セキュリティは委員会のメンバーだけでなく、全社員が当事者意識を持って取り組むべき重要な課題です。
そのため、私たちは年に一度のWeb教育に加えて、パネルディスカッションやワークショップを開催しています。
昨年度は、事故事例から考える情報セキュリティ対策についてのパネルディスカッションを実施しました。 このディスカッションでは、情報セキュリティ委員会のメンバーが事故事例から具体的な対応策や予防策を話し合い、聴衆からも意見を募って議論をすすめる形式で行いました。詐欺メールが届いた場合の対処法や、セキュリティカードの紛失時の対応策など、具体的なケーススタディを通じて学びました。
今年度は、現場からリスクアセスメントを考えるためのワークショップを開催しました。 このワークショップでは、ランサムウェアによる被害やサプライチェーンの弱点を悪用した攻撃、テレワーク環境でのセキュリティリスクなど、現実的な脅威に対するリスクアセスメントを行いました。参加者は、リスクの特定、分析、評価、対応策の検討を行い、実際の業務に即した具体的な対策を学びました。 例えば、ランサムウェアによる被害を防ぐために、データのバックアップを定期的に行うことや、エンドポイントセキュリティをしっかり強化することが重要だと再認識されました。また、サプライチェーンの弱点を悪用した攻撃に対しては、協力会社との契約内容や運用の見直しが必要であるなど参加者間で多様な意見が飛び、議論されました。さらに、テレワーク環境でのセキュリティリスクについては、自宅の無線ルーターのセキュリティ設定やVPNアカウントの管理が重要であり、リスクポイントの共通認識が醸成されました。
これらの取り組みは、情報セキュリティの意識向上だけでなく、事業部やチームを超えた社内のコミュニケーションの活性化にも役立っています。情報セキュリティは全社員が協力して取り組むべき課題であり、私たちは今後も継続してこの取り組みを進めていきます。