ここでいう専門家とは

情報処理安全確保支援士のこと。登録セキスペとかRISSとか略称があって正直分かりづらい。今回の募集に対して誰でも応募できるというものではなく、登録セキスペ限定のもの。

登録セキスペになるには、情報処理安全確保支援士試験(SC)に合格した後、必要書類とあわせて申請・登録する。その後1年毎に更新と講習を受ける必要がある。登録にも更新にもそこそこ高い費用がかかる。

私の場合はこの制度ができる前の情報セキュリティスペシャリストの試験に合格してたので、3年ほど前に登録の案内が来た。それで登録したけれで、これまで特にメリットを享受しておらず登録・維持のために14万円ほど費やしていた。ソフトウェア開発の現場ではこの資格の有無はとくに関係がない。
今回は謝礼金もでたし、来年以降も続けられるようなら更新してもいいかな、という感じで。

中小企業の情報セキュリティマネジメント指導業務とは

「セキュリティポリシーの策定など中小企業における情報セキュリティマネジメント体制の構築に向けた支援を行う」ことが目的の事業でIPAが主催している。行政も企業の情報セキュリティに対して力を入れているのだろう。

派遣されるためにはEラーニングの講習を受ける必要があって、それが終わると企業とのマッチングが上手く行けば派遣されることになる。講習は資料を見ながら動画を見るというもので、だいたい5時間くらいで終わった。

指導は全4回の構成で、企業に対してのコンサルティング内容もカリキュラムが決まっていて、それに沿った資料やツールなども整備されている。
やることはだいたい決まっているので、事前の準備さえしっかりしていれば問題なくできそうな状況が整っていた。

申込みから派遣決定まで

10月末に申し込んで、講習を終わらせたのが11月末、12月1日に本申込み、という流れだった。事務局から連絡があったのが、12月10日で派遣が決まった。1回目の指導は12月24日となった。事業期間をはじめはちゃんとわかってなかったが、1月20日までに4回の指導を終えないといけないということだったので、週1回のペースで指導するスケジュールとなった。かなりタイトだ。コンサルとか初めてだし。
しかも12月中旬から新しいチームにジョインしたばかりだったので、新しいことずくめの約2ヶ月間だった。なかなか精神的な負荷の高い状況だった。

事前の打ち合わせ

コロナ禍の最中ということで、すべての指導をオンラインで行うということになった。さすがに顔合わせなしで1回目の指導をするのはきつそうだったので、事前に担当者との打ち合わせを打診して行った。全体の流れやスケジュールなどの認識合わせをして、事前にセキュリティ自社診断をしてもらうよう依頼した。
最初の連絡をメールでしたけど、屋号もないしGmailの名前もM.Mになってたのもあって、返事がなかった。なので電話で連絡したけど、電話って緊張するよね。

1回目の指導

1回目の目的は「企業の事業や情報システム環境の理解と情報セキュリティリスクの洗い出し」をすることだった。ヒアリングシートを基に先方のことを伺っていく。企業の基本的な情報や内部のシステム利用についてのことなどかなり詳しく聞いた。その後、事前に行ってもらっていた自社診断結果をみながら、セキュリティリスクを洗い出していく。
基本的には組織的な対策はできていて、コンピューターや個人情報などの情報資産管理は概ねできているし、人数は少ないものの専任の部署も設置されているし取り組みはできているようだった。多くの時間をヒアリングに費やしたけど、そのおかげで以降の指導がスムーズにいったと思う。情報収集大事。

2回目の指導

本来ならここで情報セキュリティ基本方針を策定したり、関連規定の整備検討などをするカリキュラムだった。しかし指導先の企業はすでに情報セキュリティ基本方針はできていて、関連規定の整備を手伝ってほしい、とのことだった。カリキュラムよりすでに大幅に進んでいる状況だぞ。困った。

ということだったので、事前に作成済の情報セキュリティ基本方針と関連規定を受け取り、そのレビュー結果と解説を行う、という内容で行った。想定よりも早く終わったので、3回目に向けての打ち合わせをすすめた。

カリキュラムでいくと3回目はコロナ禍におけるセキュリティ対策の検討をメインに行うことになっていたが、事業的にリモートは行えないようだったので、これもやることが特にない。

3回目の指導

3回目の指導では情報セキュリティ対策の実行計画について話し合った。今後の全社的に行う情報セキュリティ教育についての課題があるとのことだったので、それを踏まえ事前に実行計画を作成しそれのプレゼンを行った。教育計画は3つのフェーズに分け全体で1年〜1年半ほどの期間で計画を立てた。

まずは代表や役員などの経営層から、情報セキュリティの強化を進めることを周知してもらうことが重要だということを話した。こういうものは組織のトップがきちんと動かないと下はついてこない。それに合わせて、情報セキュリティが他人事ではなく当事者意識を持ってもらうための啓蒙活動や意識の向上を図っていく。
各部署や支店ごとに、ペア読書形式でのIPAのセキュリティコンテンツを視聴して進めていく計画とした。ここまでがフェーズ1。

www.ipa.go.jp

次に、定められた情報セキュリティ基本方針および関連規定を実践していく。フェーズ1で全体としてのセキュリティ意識を高め、その状態で実践へ移していく。関連規定はなかなかのボリュームがあるので、これもペア読書をしながらチームで実践していく。ペナルティや相互監視によって実践するのは悪手なので、チームで協力しながら実践していけるように仕組みづくりをしてもらうことをお願いした。ここまでがフェーズ2。

最後は部署ごとにセキュリティ担当者を決めて、CSIRTを設置し運用していくことだが、この段階に達するのはなかなか難しいだろうということで、現状では目標設定にとどまった。担当者を奥には、業務として設計する必要があるし、兼任になることが予想されるので、インセンティブを働かせる必要もある。この実践がフェーズ3。

全体で3段階の実行計画を作成し、これらの実現可能性を検討した。概ね良好な反応をいただき、これに沿って実践していただくとのこと。4月から実行開始のスケジュールとした。

4回目の指導

これまでの3回でカリキュラムはほぼ終えていたので、最終日はセキュリティアクション2つ星宣言の申請と振り返りを行って終了した。

感想

始めてのことでとても大変だったけど、事前の講習やカリキュラム、ツール類が充実していたのでしっかり準備できた。とはいえ内容を理解するのに時間がかかるので十分な準備期間が必要だ。コロナ禍もあり全てオンラインでの指導となったがこれはこれで良かったし、オンラインであれば全国の中小企業を相手にできることがわかった。オンラインでは信頼関係を作るのが難しいと感じていたので、第1回の指導より前に、担当者との事前ミーティングを開いたのだが、これは良い判断だったと思う。結果的に第1回の指導もスムーズにできた。

今回はスケジュールに余裕がない状態だったが、慣れれば問題なさそうなカリキュラムだし、通常のスケジュールであれば2,3社の指導も並行してできそうだ。今年もこの事業があるようなら引き続きやっていきたい。