2008年度 情報セキュリティ 目標達成状況

2008年度は7月にISO27001の継続審査を受審しました。審査の結果、マネジメントシステムの継続的改善・規格への適合性が認められました。審査の中でご指摘いただいた観察事項を改善の機会と捉え、情報セキュリティの更なる推進に取り組んでまいります。

個人情報管理には、実業務に携わる従業員一人ひとりの意識向上が欠かせません。また、JISQ15001に適合したルールの社内浸透を図ることも重要となります。社内啓蒙の具体策として、個人情報管理体制の案内役となるメールマガジンの配信を開始しました。2008年10月より配信を開始して、2008年度の実績は計6件でした。都度のニーズを確かめながら配信を続けた結果、社内ルールのポイントや法令改正の影響、情報漏えいを予防するツールの紹介などが主な内容となりました。

情報セキュリティ啓蒙メールを通して、ウイルス対策・アカウント管理・フリーウェア使用における注意喚起を継続して行なっています。そのほか、制作ソフトウェアのバグ情報・Tipsの共有や、ヘルプデスクが持つナレッジをイントラ上で公開することで、全社的な情報リテラシーの向上とスムーズに作業が行なえる環境作りに努めてきました。
スタッフからは啓蒙メールをもっとたくさん送信してもいいのではないかという意見もあがっているので、今後はさらに積極的にメール送信していきたいと考えています。

2008年度当初には、社内啓蒙の一環として個人情報に特化した社内ガイドラインの策定を計画していました。マニュアルの内容をわかりやすく周知することを目的としていましたが、その後、新たなガイドラインを起こすより現行マニュアルの使い勝手を見直すべきではないか、という議論が生じました。2008年度の内部監査にて、マニュアルの社内浸透が不十分であるとの指摘を受けたことが大きな要因となっています。一方で、2008年度は新たなルール、管理フローを整備したこともあり、わかりやすさに焦点を当てたマニュアル改定まで踏み込みきれませんでした。
メルマガの配信などルールの社内浸透に向けた工夫は始まっていますが、どのようなマニュアルが望ましいのかは、引き続き2009年度の検討テーマとなっています。

社内システムの変更や、リスクアセスメント手法の見直しに伴い、情報セキュリティマニュアルの全面的な修正を行ないました。主な修正内容としては、社内サーバーの重要度判定に基づくサーバー管理方法の変更や、ISO27001組織体制の変更に伴う管理担当者情報の修正などです。
今後のマニュアル整備の課題として、内容の整備だけでなく、全スタッフがすぐにマニュアルを参照できる環境の整備が求められているため、2009年度はマニュアルをWeb化しイントラ上で公開するための作業を進めていく予定です。

大規模災害発生時にも事業を継続できる体制を作るため、社内サーバールームに設置されていた基幹サーバーを、遠隔地にあるデータセンターへと移転しました。これにより得られた効果は以下の4つです。

しかし、新たに生まれた課題もあります。
まず1つ目が、当社とデータセンター間の通信におけるデータ転送速度の問題です。データセンターにファイルサーバーを設置したことにより、サーバーへのネットワーク通信の速度が低下し、業務効率を下げる結果となりました。現在は運用でカバーしていますが、通信機器を交換するなど、早急な解決を目指しています。
2つ目が、障害発生時の復旧時間の問題です。データセンターは遠隔地にあるため、障害の復旧にこれまで以上の時間がかかるようになりました。実際、 2008年度にサーバートラブルが発生した際は、担当者の不在も重なり、復旧にこれまでの倍以上の時間を費やしてしまった事例があります。
今後は冗長化や復旧訓練を行ない、復旧時間の短縮を目指すと共に、トラブル発生時の関係者への報告フローを定義し、速やかな復旧対応ができる体制を整備する必要があります。

経営層のメールを保全し、会社の重要な意思決定を追跡できる体制を作ることが、事業継続と内部統制の視点から求められています。この機能を実装するにあたり、当社では「外部メールサービスの利用」又は「新たなメールサーバーの構築」という2つの手段について検討がなされました。
導入が容易で管理コストに優れた前者と、費用面と機密性の高さに優れた後者。両者共にシステムを運用する上で重要な要素を有しているため、決定までに幾度も検討の場が持たれましたが、最終的に「経営層のメールを外部に預けることはセキュリティと信頼性の面で危惧がある」ということで、社内で新たなメールサーバーを構築することになりました。
現在、社内システム担当者がメールサーバーの構築作業を進めており、2009年度上半期中には実装が完了する予定です。