• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版

【第2回】ITリスクの脅威と対策

ソフトバンクBB

2006年4月24日(月)

  • TalknoteTalknote
  • チャットワークチャットワーク
  • Facebook messengerFacebook messenger
  • PocketPocket
  • YammerYammer

※ 灰色文字になっているものは会員限定機能となります

無料会員登録

close

企業活動のIT(情報技術)への依存度が高まるにつれて、ITシステムそのものが経営リスクとなりつつある。ソフトバンクBBと東京証券取引所の失敗から、すぐそこにある脅威への対策を学ぶ。

ソフトバンクBB 常務取締役兼CISO 阿多親市氏
寄稿
ソフトバンクBB
常務取締役兼CISO
阿多親市氏

 2004年1月に表面化した顧客情報流出及び恐喝未遂事件から、丸2年が経過した。この間、考えられる情報セキュリティー対策はほぼすべて講じ、打った対策が機能しているかどうかを確認、さらに良くするにはどうすべきか、といった改善活動を続けてきた。まさにセキュリティー対策に明け暮れた2年間であった。この間、情報を漏洩していないと確信しているが、気を抜くことはできない。今後も、過去2年間と同様、情報の安全管理を徹底していく所存である。

 私の肩書であるCISOは、チーフ・インフォメーション・セキュリティー・オフィサーの略だ。情報セキュリティーの最高責任者という意味であり、実際、情報セキュリティーに関しては、私がソフトバンクBBの孫正義社長から全権を預かっている。2004年3月に、私がCISOに着任した時からそうしてもらった。さらにシステムを開発・運営する実動部門である情報システム本部を私の下に置いている。

 こうした体制を取ったのは、情報流出事件を受けて、情報セキュリティー対策を早急に取りまとめて実施しなければならなかったからである。当社が情報セキュリティー対策の第1弾を発表したのは2004年3月4日であった。合計649項目からなる対策を決定し、その中の主要部分については緊急対策として3月末までに実施した。

 この間、孫社長にいちいち了解を取ったり、現場の意見統一を図っていては、とても間に合わない。「そんなことをしたら仕事が止まってしまいます」と現場が反対することでも、「セキュリティーを確保するためにやれ」と言い切るためには、セキュリティーに全権を持つCISOの立場と、実動部門を配下に持つ必要があった。

ソフトバンクBBの教訓
 ■セキュリティー対策に全権を持つ最高責任者を置く
 ■最高責任者に実動部門を持たせ、対策を速やかに進めさせる
 ■技術、組織、人、オフィスの対策を組み合わせる


 2004年3月の実質3週間で実施した対策を列挙してみよう。セキュリティー全般の監視ができる運用拠点「セキュリティーオペレーションセンター(SOC)」の設置、顧客情報を閲覧できる操作者の制限、顧客情報を閲覧する専用の環境準備、パソコンやデジタル機器の持ち込み禁止、外部記憶装置の原則利用禁止、パソコン操作履歴(ログ)の収集、ネットワークの再構築、などである。

情報の出入り口を完全封鎖

 3月の緊急対策を分かりやすくまとめると、ソフトバンクBBが利用しているコンピューターとネットワークをすべて私の管理下に置き、出入り口を封鎖した、と言える。私は「部門サーバーは一切認めない」と宣言した。サーバーとは、データベースや業務処理ソフトウエアを動かす大型のコンピューターである。現場の利用部門が管理していたサーバーはすべて、情報システム本部の管轄下に移してもらった。そのうえで私が、当社の事務所が入居していたいくつかのビルを回り、管理者が曖昧なままで動いていたサーバーの電源を切って回った。

 社内で使っていたネットワークは、一般社員が利用できるネットワーク、コールセンターなど顧客情報を業務で閲覧する部門向けネットワーク、情報システム部門がシステム開発と運用を担当するために利用するネットワーク、そして顧客情報を扱えるネットワークといった具合に分けた。これにより一般社員のパソコンから、顧客情報を見ることは不可能になった。システム開発や運用のためのネットワークからはインターネットに接続できないし、電話や電子メールも利用できないようになっている。

 セキュリティーを確保するため、サーバーを止めたり、ネットワークを再構成するとどうなるか。現場で仕事が一時的にできなくなったり、不便になる。社長から全権をもらっていない限り、こうした対策は取れなかった。

 2004年4月以降も、様々な手を打ち続けた。一通り、システムとネットワークの穴をふさいだ後は、情報に関わる仕事のやり方をすべて洗い直した。ここでもCISOの権限を使い、「4月の1カ月間で、自分が担当している仕事のマニュアルを作って提出せよ」と指示した。システムとネットワークだけにセキュリティー対策を施しても不十分である。どんな仕事でどのような情報が使われているのか、を把握しなければならない。マニュアルは400冊以上出来上がり、これらを使ってセキュリティー要件を整理した。

 この“棚卸し”によって、さらに対策を講じるべき項目が見つかり、最終的には800を超える対策項目を洗い出せた。当然、800項目についても順次手を打った。恐喝事件の犯人が5月に逮捕されたが、この前後、捜査協力もしていた。情報システム部門のセキュリティー担当者の人数には限りがあり、全員が多忙を極めたが、何とか乗り切ることができた。

コメント0

「SOX法 最新IT経営術」のバックナンバー

一覧

日経ビジネスオンラインのトップページへ

記事のレビュー・コメント投稿機能は会員の方のみご利用いただけます

レビューを投稿する

この記事は参考になりましたか?
この記事をお薦めしますか?
読者レビューを見る

コメントを書く

コメント入力

コメント(0件)

ビジネストレンド

ビジネストレンド一覧

閉じる

いいねして最新記事をチェック

日経ビジネスオンライン

広告をスキップ

名言~日経ビジネス語録

グローバル市場でいい仕事をしたければ、まず「世界に通用する見識」を磨くことだ。

中谷 巌 「不識塾」塾長、一橋大学名誉教授