ブラザーグループは40以上の国と地域に生産・販売・サービス拠点を有し、拠点数は70を超えます。2017年から「ISO27001」に基づき、グローバル拠点への情報管理監査を開始しました。主な目的は、情報セキュリティ全般の対策確認です。
「グループ会社で情報管理組織を設けているか」「従業員に対して情報管理にかかわる教育を行っているか」など簡単な7つの質問項目に回答してもらい、レベル1~5で評価。開始当初は「レベル2」の拠点もありましたが、2019年度末には、ほぼすべての拠点で「レベル4」に到達したため、今度は、質問項目を増やそうという話になりました。情報管理の状況をより詳細に把握し、課題を見つけ、改善のサイクルをまわしたいと考えたのです。
また、グローバル情報管理監査ではカバーできない、複雑化したサイバーセキュリティへの対応も急務でした。2018年度から、CIS Top20監査によるアンケート評価でグローバル統制を開始。2019年度からは日米欧亜州の統括拠点数社にCIS Top20監査の評価を展開し始めました。
このとき、私たちが抱えていた課題を、ざっと挙げてみます。
- 「CIS Top20監査」には171もの設問があり、回答負荷が高い。
- 設問の難易度が高いため、グループ企業の担当者のみで対応しきれず、本社のフォローが必要。
- メール・Excel中心の業務プロセスのため、本社と拠点間の共有・連携の負荷が高い。
- セキュリティの脅威は年々変化しており、設問内容の定期的な見直しが求められるが、そのために必要な高度な専門知識が不足している。
- グローバル複数拠点における評価結果の統合や改善ポイントの抽出に手間がかかる。
- 内部・外部の評価を一過性ではなく、継続的かつ効率的に実施可能な仕組みにする必要がある。
これらの課題から現実的な計画とリソースでグループ72拠点に対して監査を実施することは非常に困難な状況でした。
早期にグループのセキュリティ対策状況を可視化し、改善の一手を打っていくためにはどうすればいいのか、正直、頭を抱えていたというのが実情だったのです。

IT戦略推進部 シニア・チーム・マネジャー
伊藤 智浩氏