こんにちは!オルターブースの石田です。 この記事は、2025年オルターブースアドベントカレンダー18日目の投稿となります。前回は、jitsunariiさんの17日目カレンダーでした。 あと今年も残りわずかとなってきましたね。本日は、本年最後の福岡に滞在しております※普段は東京で営業してますw
今回ですが、今までの社会人人生で初めて経験した仕事である「情報セキュリティ」の監査担当をやってみたのでその苦労話?をしたいと思います。
なぜ営業とマーケティングしか知らない中年男性が監査をやることになったのか?
弊社は、Microsoft様含め、さまざまなパートナー様とお取引をしております。パートナーを維持するために様々な監査を受けなければなりません。 やることになった背景をズバリお伝えすると、社長から「石田さんやって」の一言でしたw オルターブースの行動規範の一つに「失敗を許容する文化を作る 」という文化がありますので、「まあ、手探りで取り敢えずやってみよう」ということで、着手してみました。
とはいえ、監査までの期間が決まっており、この監査通らないととんでもないことが起きると釘を刺されてしまいましたので、自分自身にプレッシャーを掛けながら着手しました。
ともかく敵を知る
営業、マーケティングはそれなりに詳しいつもりですが、「情報セキュリティ」は全くの土俵外です。 まずは、敵を知るということで下記を実践してみました。
①ISMS27001の本を読む ②当社の情報システム担当にヒアリング ③IPAが主催している「情報セキュリティマネジメント」を取得する ④監査法人のコンサルティティングを受ける
まず①ですが、全くのチンプンカンプンでした。 ですので、監査に詳しい②③④を実施してみました。 まず②ですが、当社のセキュリティ項目や実施事項など詳しく教えてもらいました。 当社はクラウドのプロフェショナルなので、全てがクラウド上で管理されており、権限ロールなどきちんと情報が守られていることを再認識できました。
そして③ですが、こちらは、並行して知識を得てみようとIPAが推奨する講座に申し込み情報セキュリティ全般を学ぶことができました。
情報セキュリティマネジメント試験は、情報セキュリティマネジメントの計画・運用・評価・改善を通して組織の情報セキュリティ確保に貢献し、脅威から継続的に組織を守るための基本的なスキルを認定する試験です。 ※IPAサイトから抜粋
こちらは結果的に正解でした。監査法人から求められるヒアリング項目に対して理解を得られたのと、当社が該当しないと思われる項目に対して理由を述べることもできかなり有効でした。 ついでに国家資格も取りましたw
「情報セキュリティをいかに確保するか」は今や組織にとって大きな経営課題となりますが、標的型攻撃、内部不正などの多種多様な脅威は、「ITによる対策(技術面の対策)」だけではなく、適切な情報管理、業務フローの見直し、組織内規程順守のための従業員の意識向上といった、「人による対策(管理面の対策)」についてもしっかりとした取組みが重要なのも今回の取り組みでかなり理解ができました。
私は、どちらかというと提案する側なのですが、今回の事案を通じてセキュリティに関する提案の大きな材料になったと実感しております。
情報システム担当は、企業内で結構嫌われる存在?と言われておりますが、彼らがきちんと管理、運用することで組織と個人が守られております。
年末にかけてかなり固いお話になりましたが、年末年始は、長期のお休みの方がほとんどなので、人的にも技術的にもセキュリティが甘くなる傾向があるそうです。それぞれ気を付けていただければと思います。
最後にオルターブースは、小さな組織でありますが、各分野のプロフェショナル集団が集まる少数精鋭部隊となります。
最先端のテクノロジーに触れる機会が沢山ありますので、ご興味のある方はお気軽にカジュアル面談やっておりますのでお問い合わせください。 ※最後は採用担当になってしまいましたw
それでは、皆様よいクリスマスと年末をお過ごしください。
