情報セキュリティマネジメントの訪問指導を開始しました。

佐藤です。

前回投稿した通り、指導員として登録をしたのですが、今年度は名古屋の某企業様の訪問指導を担当することになりました。

この事業ですが、4回の訪問指導を行います。訪問指導は無料で受けられるのでご興味がある方はIPAに問い合わせてみるとよいかと思います。

話をもとに戻しますが、先日第一回目の訪問指導をおこなってきました。

今回、初訪問の企業様ですのでやはり受け入れる企業様の担当者の方はもちろんですが、私も緊張しました。

訪問指導で大切にしていること

訪問指導でまず大切にしていることは、訪問先企業様との信頼関係です。

なぜなら、情報セキュリティについて指導を受けるということは、現在の情報の取り扱いについて、不安や課題を抱えていることが想定されているからです。

それらを初対面の人間に開示するというのはやはり心配ですよね。もちろん秘密保持誓約書は取り交わしますが、人として信頼できるかどうかというのは相手のご担当者もきになるところかと思います。

次に目的とゴールの共有です。

情報セキュリティに限ったことではないですが、たった4回の訪問指導ではあるもののお互いが共通意識をもって取り組まないと結果は出せません。

目的とゴールについては最初にお伝えすることを常に頭にいれています。また、こちらからお伝えした目的とゴールがうまく伝わっていない、ピンとこない場合は、先に進めてもゴールにたどり着かないばかりか不満に陥る可能性があります。ですので、お話した内容で相手にうまく伝わっているかどうか、不明な点がないかという質問をするようにしています。

訪問指導の目的とゴール

さて、現在行われている訪問指導事業の目的は３つあります。

• 中小企業の情報セキュリティ対策意識の向上
• 中小企業の情報セキュリティ対策水準の向上の継続的な推進
• 情報セキュリティの専門家が中小企業に訪問して指導を行うことで中小企業と地域内の身近な専門家との関係構築の推進

中小企業においては情報セキュリティに関して専任で担当するという人材は抱えるのは困難かと思います。どうしても本業に目がいってしまうため、情報セキュリティにまでは手が回らないという事態が起こりえます。

一方で情報セキュリティというのは一回対策したら終わりというものではなく、時代によってリスクが変化し続けていくものです。

例えば今年でいえばコロナの影響でリモートワークを取り入れた企業が多いかと思いますが、自宅から会社のサーバなどへアクセスするためには、これまでであれば事前にアクセスしてもよい人間とそうでない人間を区別し、アクセスさせる仕組みを作っていました。

ですが、今年に関していえばそういった準備期間も取れずに、リモートワークに突入してしまった企業が多いため、安全に会社のサーバにアクセスできる仕組みになっているかどうかというのは疑問視される場合があります。

ですから私のような外部の情報セキュリティに詳しい人間と一緒になって対策を得る機会が増やそうとしています。

次にゴールについて。

今回のゴールは以下の通りです。

• SECURITY ACTION　二つ星の宣言
• 情報セキュリティ基本方針の作成
• 情報セキュリティに関する各種関連規定作成のとりまとめ
• 今後の情報セキュリティ活動のための計画策定

指導員としてのゴールは4番目の計画の策定と実行してもらえるような意識づくりかと考えています。やはり4回の訪問ですべてのことに対応するのは困難です。企業の従業員の方たちで継続して活動してもらえるようにしていく必要があるなと思ってます。そこが一番のやりがいですね。

2回目は12月に入ってからの予定です。目的を達成できるよう責任がありますが頑張ります。