🕵️

企業HPからセキュリティへの姿勢を調べる

2022/09/16に公開

はじめに

転職活動をする際、その企業がどのぐらいセキュリティを意識して対策を行っているのか、セキュリティチームがどの管轄で活動を行っているのか、全社的に取り組んでいるのかといったことは、転職後、セキュリティエンジニアとして仕事がしやすいかに直結するほど、重要な問題になると思います。

今回は、企業HPからその会社がどのぐらいセキュリティ対策に力を入れているを調べる方法を紹介したいと思います。（ここで紹介されていることはあくまでも参考程度でお願いします。）

多くの企業にとって、セキュリティ対策とは利益を生むものではなく、リスクに対して何らかのアクションをするコストでしかない為、セキュリティ対策を行う為のアカウンタビリティが必要になると思います。

情報セキュリティ基本方針は、会社の経営理念やビジョンと十分に整合性をとりながら、セキュリティ対策が会社にとって必要なものであると経営陣が判断し承認をする文書です。

情報セキュリティ基本方針によって、組織の内外にセキュリティ対策へのアカウンタビリティを果たすことができる重要な文書になります。

情報セキュリティ基本方針には以下の内容が含まれます。

ISO/IEC 27001によれば、情報セキュリティ基本方針の作成は必須要件であり、作成にはトップマネジメントがリーダシップをとりコミットメントをする必要があります。更に、利害関係者がいつでも参照できるような形式・状態である必要がある為、多くの場合は企業HP上に公開されています。

まずは、情報セキュリティ基本方針が公開されており、内容が会社の経営理念やビジョンと整合性があり、実施するセキュリティ活動を確認することで、その会社のセキュリティへの姿勢を確認することができます。

情報セキュリティの活動を行う上で、体制があることは重要な要素だと思います。
情報セキュリティ体制を構築し、セキュリティ専門のチームがある事自体がセキュリティ意識が高いことの判断材料になると思います。ただし、そのチームが機能しているかは別問題です。

また、CISOが居るかどうかも重要な要素だと思います。CIOやCTOが兼任することもありますが、CISOを頂点とした情報セキュリティガバナンスが構築されていれば、情報セキュリティの活動がしやすい環境だと言えると思います。

情報セキュリティ体制の一つとして、CSIRTの活動もされていることも一つの観点となります。

多くの会社では、CSIRTを設立し日本シーサート協議会に加盟しています。
日本シーサート協議会では、「概要」、「設立の経緯・背景」、「会社内における位置づけおよび活動内容」を公開しているため、普段、セキュリティチームが行っていることの判断材料として使えます。

ISMSやプライバシーマークなどを取得していれば、セキュリティ意識が高いといえますが、効果的に運用されていなかったり、形骸化していることも多い為、会社に入ってみないとわからない要素が多いです。

また、取得していなくても、十分な情報セキュリティ対策を行っている可能性もあるため、参考程度で良いと思います。

公開している企業は多くありませんが、企業の取り組みをPDF形式などで纏めた資料を公開している場合があります。こういった活動がされている企業は、セキュリティチームが企業内で十分に機能している可能性があります。

情報セキュリティ報告書には、企業が行っているセキュリティ対策が他の情報源よりも多く盛り込まれているため、より詳しく分析が行える資料となります。
また、セキュリティチームの管轄や、組織内の連携について記載があることもあるので、立ち位置について知ることができます。

上記であげた情報以外にも、企業HPには沢山の情報が記載されている場合があります。
セキュリティに関連する情報は見つけづらい場所に記載されていることが多いので、根気強く探してみるといいでしょう。

最近はサステナビリティという項目にセキュリティを入れる企業が多い気がするので、そこからリンクを辿っていけば、面白い情報にたどり着けるかも知れません。