セキュリティレベル向上のため、
情報セキュリティポリシーの見直しが急務に。
プロ人材と議論を重ね、満足度の高い改定案を策定。

企業
社名:株式会社ダイキアクシス
所在地:愛媛県松山市
業務内容:各種排水処理装置の設計・加工・維持管理、合成樹脂等による製品の製造販売および設計・加工、各種建設材料・住宅設備機器の販売・施工、飲料水の製造・販売
従業員数:1,000~2,000名未満
プロ人材
名前:Aさん(フリーランス)
居住地:東京都
経歴:IT業界で業務プロセス改善、営業を6年経験。その後、複数の大手企業にて、情報セキュリティ・サイバーセキュリティのコンサルタントとして11年間従事。事業会社での経営戦略の実務経験も有する。CISSP、CISAを保持。
<プロ人材としての活動>
業務内容:情報セキュリティにおける現状把握、課題抽出、新しい情報セキュリティポリシーの策定支援
活動頻度:月2~4回
活動方法:対面およびリモート
- セキュリティレベルの向上のため、
情報セキュリティポリシーの改定が急務。 - 求めたのは、理想論ではなく
当社に合ったプランを提案してくれる人材。 - 運用時のコスト増加を抑え、
現実的な着地を目指し議論を重ねる。 - 今の環境に即した、
満足度の高い改定案が完成。
1)プロ人材の活用背景
セキュリティレベルの向上のため、
情報セキュリティポリシーの改定が急務。
当社は1958年にタイルと衛生陶器の専門商社として事業を開始しました。2005年に前身の会社からスピンアウトする形で、現在の株式会社ダイキアクシスを設立。住宅、水、エネルギーに関する4つの事業を柱とし、日本のみならず海外にも事業を展開しています。
今回、当社が急務として捉えていたのは、情報セキュリティポリシーの改定です。当時の情報セキュリティポリシーは10年以上前に策定したものであり、監査法人から改定を指摘されていました。社内でセキュリティテストを実施し自己診断してみたところ、「低い」という判定結果が出ました。改めて自社のセキュリティレベルを認識できたこと、また、以前より情報セキュリティへの課題意識があったこともあり、セキュリティレベル向上に向けたプロジェクトを立ち上げることになりました。
スピーディーに進めるうえで、
知見やノウハウが不足。
情報セキュリティポリシーの改定がセキュリティレベル向上の道筋になるのではないかと考え、社内で検討が始まりました。しかし、当社の担当部署(IT推進課)には、情報セキュリティポリシーに詳しい社員はいませんでしたし、セキュリティ人材を一から育成する時間的余裕もありません。もちろん、既存のスキルや経験をもとに、自分たちで調べながら進めることも可能です。しかし、それでは工数がかかり過ぎますし、このプロジェクトだけにリソースを割くわけにもいきませんでした。そこで考えたのが、プロ人材への依頼でした。プロジェクトメンバーに前職でプロ人材活用の経験を持つ社員がおり、「専門性が求められるプロジェクトをスピーディーに進める場合は、その領域のプロ人材にお願いすることが得策」と経験をもとに考えたためです。プロ人材の活用については社内でもすぐに合意が取れたため、さっそく人選を開始しました。

2)応募状況・決め手
求めたのは、理想論ではなく
当社に合ったプランを提案してくれる人材。
プロ人材を選定する際の条件として、専門知識や支援実績を有することはもちろん、当社に適した現実的なプランを提案してくれることを重視しました。情報セキュリティ対策は、どこまでやるべきかの判断が難しいものです。コストや現場の作業負担を考慮しなければ厳しい基準を設けられますが、それは現実的な案ではありません。ただ理想論を語るのではなく、当社相応のプランを提案いただけそうかを、選定基準の一つにしていました。
また、アドバイスだけで終わらず、ドラフト作成から最終案まで、私たちと共に考えてくれる人を希望しました。打ち合わせを重ねながら、当社に合ったセキュリティポリシーを共に作り上げていくイメージです。
数名と面談し、最終的にお願いしたのがAさんです。決め手になったのは、情報セキュリティに対する見識があまりなく「何から始めたらよいかわからない」状況の企業に対して、ゼロから支援した実績が数多くあったことです。人柄含め、理想を現実に近づけるよう一緒に取り組める方だと思いました。
3)依頼した業務、業務を進める上での工夫
運用時のコスト増加を抑え、
現実的な着地を目指し議論を重ねる。
まずは本社まで来訪していただき、現状のヒアリングからスタートしました。Aさんには、ヒアリングした情報をもとに脆弱性のある部分や対策が不足している点を洗い出していただき、加えて改善案も提案してもらいました。
次に行ったのは、情報セキュリティポリシーの改定案に関する議論です。事前にAさんには大まかな改定案のドラフトを作っていただきました。そのドラフトをもとに、Aさんとプロジェクトチームのメンバーとでリモートの打ち合わせを行い、ドラフトに盛り込まれた項目や内容、運用が当社で実際に対応できるのかを勘案していきました。
情報セキュリティポリシーを改定し管理項目が増えると、運用時にその分の作業負担や費用が増すという課題があります。案を出していただいても、そうした点がマッチしなければ、「ここは対応できないので変更してほしい」「運用方法を変えてほしい」といった要望を伝えていきました。いただいた案を社内で協議し、懸念点を伝え、再度提案いただく。議論を重ねていくうちに、目指すべきところが徐々に明確になり、当社に合った情報セキュリティポリシーの改定案が構築されていきました。
4)得られた成果
今の環境に即した、
満足度の高い改定案が完成。
現在は、情報セキュリティポリシーの改定案が完成し、取締役会議での協議が始まるところまでたどり着きました。改定案策定までのスピード感は期待通り。Aさんにドラフトを作っていただいたことで社内での検討がスムーズに進み、毎回の打ち合わせで具体的な議論をできたことが要因だと感じています。
以前の情報セキュリティポリシーは10年近く改定できていなかったため、内容が古く現状に適していない箇所も多々ありました。今回のプロジェクトを経て、今の環境に即した改定案を策定できたので、大変満足しています。
課題の洗い出しと改善策も整理できたので、セキュリティレベル向上に向けた具体的な施策も徐々に走り始めています。
プロ人材の持つ説得力や客観性が、
プロジェクト推進を後押し。
今回Aさんの支援を受けて感じたのは、プロ人材の経験やノウハウに裏付けられた説得力です。客観的な視点で意見をくれ、根拠と共に説明してくれるので、私たちも納得感がありました。また、Aさんの客観的意見は、社内で承認を得る際の説得材料の一つになったように感じます。
加えて、Aさんからは、ミーティングの際に情報セキュリティに関する最新トピックの提供がありました。月1回程度であっても、変化の激しいIT領域を担当する社員にとっては、新たな気づきが得られる場にもなったように思います。

セキュリティレベル維持のため、
適切な頻度でプロ人材を活用し続ける。
情報セキュリティポリシーの改定後は、社内への浸透と子会社へ展開を進めます。既存のセキュリティポリシーがある子会社は、改訂版への差し替えを行いますが、会社単位でセキュリティレベルを判定し直し、新たな課題が見つかった場合は、再度プロ人材の支援をお願いしたいと考えています。
情報セキュリティは一時的な対策で済むものではなく、運用を通して継続し続けなければいけません。できることは社内で対応しつつも、適切な頻度で継続的にプロ人材を活用し、セキュリティレベルの維持に努めたいと思います。