Open4
「サイバー攻撃 その瞬間 社長の決定」 を読みながら思ったことを書くスレッド
おむぎ対象書籍
- サイバー攻撃 その瞬間 社長の決定 (関通サイバー攻撃対策室)
おむぎ一旦、ざーっと読み終わった。時系列ごとに、事象・対応・筆者の思いが書かれていたので、当時の様子を追体験しているように感じた。
形骸化が根本原因なのでは
会社のウェブサイトを見たところ、Pマーク・ISMSは事故前から取得してる。
- 2007年 4月 プライバシーマーク取得
- 2014年 4月 ISMS(ISO27001)認証取得
経営課題であると認識していなかったとのことだが、認証を維持・運用するなかで経営層を含めたマネジメントレビューをしてるはず。そう考えると、いろんなルールが定められていなかったことではなく、全て形骸化していたことが根本的な問題だったのではないか。
形骸化してしまた原因が読み解けると、現場側が何を意識すればいいのかがわかるかもしれない。
情報システムやセキュリティを主管する責任者は何をしていたのか
社長としての決断をメインに描かれているので、情シス・セキュリティを主管する責任者の動きがあまりない。どういった動きをしていたのか、自分ならどうするかを推測しながらもう一度読んでみる。
保険屋・外部ベンダーのコントロールが甘かったのでは
保険屋や外部ベンダーにフラストレーションを感じていたことが著書の中で触れられているが、もっとできることがあったのではないか。自分ならどうするかを推測しながらもう一度読んでみる。
おむぎ仮説の深掘り
形骸化が根本原因なのではないか
- 常務取締役が東京物流事業本部と情報システム本部担当である。
- 物流事業を手掛ける会社なので、そのシステム周りを丸っと管掌しているということだろう。
- IR BANKによると、常務取締役である古川氏は物流事業本部長の暦が長いことから、"情報システム"の管理・統制をこれまであまりメイン業務として扱ってきていなかったのではないか。
- 情報システム本部内に「システム導入部 部長」はあるが、"システム導入"部なので、導入による業務改善がメインであると推測される。
- 管理本部や経営企画本部がありその中に情報システム管理の機能があった可能性もあるが、あくまで管理本部・経営企画なので、兼任しているだけとなっていたのではないか。
上記のことから、社内の情報システムの管理・統制を主業務とする"専任"の責任者がおらず、社内でも優先度が低かったのではないか。その結果、ISMS/Pマークは形骸化してしまったのではないかと思われる。
社長としての決断をする間、情報システムやセキュリティを主管する責任者は何をしていたのか
- 常務取締役が東京物流事業本部と情報システム本部担当であったので、"情報システムやセキュリティを主管する責任者"にあたる。
- 物流業務の復旧や顧客対応などの陣頭を取っていたのではないか。
- 会社の売り上げ・成長のダイレクトに影響を与える物流事業と、その事業を支える間接部門である情報システムを同じ人が兼任するとこういった緊急対応時にリソースが不足するうえ、実行と管理の権限が集中し過ぎてしまうので悪手なのでは。
保険屋・外部ベンダーのコントロールが甘かったのでは
- 情報システム本部担当である常務取締役は物流事業の対応で手が埋まってるので、おのずと保険屋・外部ベンダーのコントロールにリソースはさけなくなる。
- その結果、社長はフラストレーションを抱えるし、保険屋・ベンダーはうまく機能しなかったり対応が遅くなったりしたのではないか。
- 情報システムやセキュリティを主管する部長・本部長クラスがいれば、もうすこしコントロールできたのではないか。
仮説の深掘りから見えたもの・まとめ(仮)
- 本書の後半では、社長からの視点で教訓や具体的な取り組みを書いているが、社長論的な部分以外のシステム管理やセキュリティの部分においては、どれもISMS・Pマークの取得・維持の中で検討・確認・確立すべきものばかりの印象。ISMS/Pマークが形骸化していたのではないか、という仮説がさらに強くなった。
- 社長の視点に立つと、サイバー攻撃を受けると会社はどうなるのか、社長はどんな対応・判断が求められるのかを知ることができる。いちセキュリティ担当者の視点に立つと「経営者からみたセキュリティへの意識」ってどんなもんなのかを知ることができる本であると感じた。
- 資金調達の観点、社員の体調・士気を下げないコミュニケーションなど、普段の業務ではなかなか意識する機会がない部分の話もあり、その点も学びであった。
おむぎ一旦、一つの記事としてまとめた