第33話 至上命令
隆が棚橋と八重洲で会った翌日、四菱ホールディングスのCSIRTは四菱自動車からの問い合わせ対応に追われていた。
「ええ、内部監査で確認する項目は、そちらの総務に伝えた通りです。ただ、準備万端で監査を受けられても意味が無くて、通常業務の中でのセキュリティ上の課題を発見して、改善することが目的です。そこはご理解ください」
「そりゃ建前はそうだけど、仮に七十のうち半分が改善対象ってマイナス評価されたら、私の立場もないし、ますますセキュリティ対策に時間を割くことになるんだよ。正直、冗談じゃない」
隆がやれやれといった面持ちで受話器を置くと、岡田が大丈夫かと声をかける。
「はい、大丈夫です。国内販売三課の課長さん、かなりお怒りでした。岡田課長もさっきの電話、大変そうでしたね」苦笑する。
「まったく……文句があるなら社長に言って欲しいよな……」
四菱自動車では昨日、社長命令が発令され、翌週から情報セキュリティの内部監査を実施することが決定した。
内部監査とは、部課単位の情報セキュリティレベルを評価することで、評価は監査人として訓練を受けた社員が行なう。
例年は年間計画に沿って行うのだが、今回は緊急事態のため、急遽実施が決定した。
四菱自動車は二十の事業部の配下にそれぞれ十の部、その下に六百ほどの課が在る。
これだけの課が在るため、通常は、前年に内部監査を受けなかった課が監査対象になる。
しかし今回は、全ての課が対象になるため、全社が対策に汲々としていた。
問い合わせ内容の中には、半ば苦情めいた物も多く、四菱のような減点主義が根付いた風土で、公に改善点を指摘する監査がいかに難しいか、隆は痛感していた。
「まいったな横尾君、只でさえ忙しいところに、社長通達のお陰でCSIRTはフル回転だ」
「本当ですね。そのぶん、四菱自動車のセキュリティ意識が上がれば、ありがたいんですけど」
「まぁ、クレイオスで見込んでた十二万台の売上三百六十億がゼロになって、場合によっては訴訟費用やら損害賠償費用もかかってくる。しかもクレイオスは社長肝入りのプロジェクトだったからな。社長が躍起になるのも無理はないか……」
「そういえば、今朝の日経にも、全社で内部監査実施って出てましたね」
「ステークホルダーに向けたアピールの面もあるからな……仏作ってなんとやらにならないことを、願うばかりだよ」
内部監査は、ハードウェア、ソフトウェア、情報管理体制、システムの利用状況などおよそ七十項目を、課単位で評価する。機密性が高いフォルダへのアクセス権管理やパスワードの管理、USBなどの外部記憶媒体の利用方法や管理方法などを確認し評価するのだが、一回三時間ほど要し、その間現場は業務がストップする。
これを六百以上の課を対象に行うため、監査する側もされる側も相当の労力を要する。
このため四菱自動車は、関連会社に対して監査が出来る社員の応援要請を出し、四菱グループの情報セキュリティ人材が、四菱自動車に集中投下される事態になっていた。
午後三時過ぎ、隆が遅いランチを採っていると、棚橋から着信が入った。
「棚橋部長、昨日はごちそう様でした」
「とんでもない。会社の状況もわかって有意義な時間だったよ。ところで、岡田課長は大丈夫か?深掘分析会議は」
「はい。午後から自動車で会議に参加されてます。それと部長、昨日少しお話しした、トップダウンで内部監査の実施が決定して……」
隆は、自動車のセキュリティ強化の影響で、目が回るほど忙しいことを棚橋に報告した。
「それは大変だな。ただ、四菱自動車はここを乗り切れば、情報セキュリティ対策が根付くだろうし、まさに産みの苦しみだな。CSIRTも含めて、今が正念場だ」
「はい、僕もそう思います」
棚橋と状況を共有で出来たことで、隆は少し気持ちが軽くなった。
