ブラザー工業株式会社 様

導入の背景

グローバル72拠点のセキュリティ対策状況を可視化したい

ブラザーグループは40以上の国と地域に生産・販売・サービス拠点を有し、拠点数は70を超えます。2017年から「ISO27001」に基づき、グローバル拠点への情報管理監査を開始しました。主な目的は、情報セキュリティ全般の対策確認です。

「グループ会社で情報管理組織を設けているか」「従業員に対して情報管理にかかわる教育を行っているか」など簡単な7つの質問項目に回答してもらい、レベル1～5で評価。開始当初は「レベル2」の拠点もありましたが、2019年度末には、ほぼすべての拠点で「レベル4」に到達したため、今度は、質問項目を増やそうという話になりました。情報管理の状況をより詳細に把握し、課題を見つけ、改善のサイクルをまわしたいと考えたのです。

また、グローバル情報管理監査ではカバーできない、複雑化したサイバーセキュリティへの対応も急務でした。2018年度から、CIS Top20監査によるアンケート評価でグローバル統制を開始。2019年度からは日米欧亜州の統括拠点数社にCIS Top20監査の評価を展開し始めました。

このとき、私たちが抱えていた課題を、ざっと挙げてみます。

「CIS Top20監査」には171もの設問があり、回答負荷が高い。
設問の難易度が高いため、グループ企業の担当者のみで対応しきれず、本社のフォローが必要。
メール・Excel中心の業務プロセスのため、本社と拠点間の共有・連携の負荷が高い。
セキュリティの脅威は年々変化しており、設問内容の定期的な見直しが求められるが、そのために必要な高度な専門知識が不足している。
グローバル複数拠点における評価結果の統合や改善ポイントの抽出に手間がかかる。
内部・外部の評価を一過性ではなく、継続的かつ効率的に実施可能な仕組みにする必要がある。

これらの課題から現実的な計画とリソースでグループ72拠点に対して監査を実施することは非常に困難な状況でした。

早期にグループのセキュリティ対策状況を可視化し、改善の一手を打っていくためにはどうすればいいのか、正直、頭を抱えていたというのが実情だったのです。

導入の経緯

Secure SketCHなら、CIS Controls視点を含むセキュリティ評価をグローバルに展開し、グループ全体のセキュリティレベルを底上げできる

端的にいうと、「グローバル情報管理監査」と「CIS Top20監査」の両方に対応できるサービスだったことが導入の決め手になりました。当社の場合、72のグローバル拠点をカバーできることが必須だったわけですが、これほど大規模にセキュリティ対策状況を可視化できるサービス自体、他に見当たりませんでした。

図１. ISO/IEC 27001やNISTフレームワーク含むSecure SketCH対策項目のカバー領域

brother_case_002-1

この他にもSecure SketCHを導入したいと思った理由はあります。

「CIS Top20監査」導入において質問項目の難易度を課題視していたが、セキュリティ専門会社であるNRIセキュアテクノロジーズの知見が集約されたSecure SketCHであれば、設問が平易化され、設問数自体も減少させられる。そのため、拠点担当者の回答負荷を軽減できる。
回答結果が、Web上ですぐにスコアと共にフィードバックされ、課題やアクションを把握できる。「課題把握→解決策の対応→スコア改善」が可視化されることで、現場のモチベーション向上に繋がる。
「アンケートの回答入力による自己評価」と「社外視点の評価（自動診断）」の組み合わせで、自社のセキュリティ対策状況が可視化され、グループ全拠点の対策状況の継続的な把握・改善が可能となる。

CIS Controls視点を含むセキュリティ評価を、業務効率性を高めたうえで、グローバル72拠点に展開でき、グループ全体のセキュリティレベルを底上げできる。これがSecure SketCHを導入した最大の理由です。

また、Secure SketCHのご担当の方には、どのような方法でグローバル拠点にセキュリティ監査を展開していくか、Secure SketCHを導入しない方法も含めて、長期にわたって真摯に相談に乗ってもらいました。

検討当初は「COVID-19」流行の影響により、オンサイト監査を調査の選択肢として挙げにくい状況であったため、セキュリティ専門企業のコンサルティングを受けながら、監査対応の方法を模索できたことも、私たちにとってありがたいことでした。

図２.グループセキュリティ調査の進め方イメージ

brother_case_003

導入の効果

監査コストはオンサイト監査の4分の1大幅な経費削減に成功

まずは、2種類のセキュリティ監査（グローバル情報管理監査とCIS Top20監査）を、拠点の負荷を軽減しながら、現実的な計画とリソースで効率よく実施できるようになりました。

しかも、各拠点への説明やユーザー招待、質問への回答期間を十分に確保したにもかかわらず、サービス利用開始から最終的なレポーティングまで、わずか4カ月という期間で、大規模かつ高度な可視化を初めて実現できたことは、大きな成果だと捉えています。

今回は「Secure SketCHプロフェッショナル支援」を活用し、SketCH標準設問をベースに72拠点を総合的に評価・分析した全体レポートを策定いただきましたが、このレポーティングがまた素晴らしかったです。

図３. プロフェッショナル支援のレポート（サンプル）

brother_case_004

グローバル各拠点のセキュリティ対策において、何ができていて、どこを改善すべきなのかが一目瞭然でした。アンケート回答による自己評価と自動診断を組み合わせた結果をまとめていただいたのも、社内外の複眼的な視点で、どの拠点のセキュリティレベルが高いのか、あるいは低いのかが非常にわかりやすかったので、経営層への説明もしやすくなりました。

これらのレポート結果は、グローバル拠点にも共有しています。実は、公開する前は、この結果を誰にどこまで共有すべきか、逡巡したのです。各拠点のランキングなども赤裸々になるため、他拠点との比較は明らかにせずに、自拠点の現状と課題だけが分かる形に加工して共有する案も出ました。

しかし、全社の中で自拠点がどんな評価を得ているのか、他社の順位も含めて共有したほうがいいのではないかと考え、最終的には、情報のマスキングはせずに展開する決断をしたんです。

実際に全拠点に共有してみて、この判断で良かったと思っています。

グローバル各拠点の経営層に確実に情報が伝わりました。セキュリティ対策として不十分な点や課題が明確になり、実際に、改善に向けた具体的な指示も出ています。セキュリティ状況を可視化し、課題を抽出するだけではなく、改善に向けたアクションに繋がったことは、嬉しい成果です。セキュリティに対する理解がある拠点は、レポートを読み解き、こちらからお願いしなくても、改善に向けた対策を自分たちで考えてくれるような動きも出てきています。

定量的な成果としては、監査コストの大幅減が挙げられます。

実は私たちは、Secure SketCH導入前に、2019年度のオリジナル計画に基づくオンサイト監査を試みたことがありました。

具体的には海外の工場2社に対して、CIS Top20監査の171問に、Excelで回答してもらいました。その際、1拠点に対して「事前準備の2週間＋出張を含めたオンサイト監査1週間」という期間を要しました。この方法では、グローバル72拠点をとても網羅できないと実感しました。

また、グローバル72拠点を「オンサイト監査した場合」「遠隔会議を用いてテレカン監査した場合」「Secure SketCHで監査した場合」の3つを比較すると、金銭的な監査コストは、「オンサイト監査はSecure SketCH監査の4倍」「テレカン監査はSecure SketCH監査の2倍」という試算になり、明らかな差が出ました。

そもそもオンサイト監査は、IT戦略推進部の組織体制では、人数も限られているため実現不可能でしたが、時間的・経済的コストの面からも、Secure SketCH導入の効果は圧倒的だったといえます。

導入をお勧めできる企業

Secure SketCHは、グローバル企業の心強いパートナー

拠点数が多い企業、とくにグローバルに展開している企業にはお勧めできるのではないでしょうか。

規模感のあるグローバル企業が、個別にヒアリングしてセキュリティ監査を実施しようとすると、「1年費やしてもできない」という事態になりかねません。Secure SketCHであれば、プラットフォームに回答してもらうことで瞬時に結果がわかりますから、拠点数が多いほど、得られる効果も大きくなります。しかも英語に対応していて、海外にそのまま展開できます。

また、評価結果をCIS Controls視点から見られるだけではなく、NISTサイバーセキュリティのフレームワークで見られることも、お勧めできるポイントかもしれません。日本ではフレームワークの適合状況を重視する企業はまだまだ少ないですが、海外ではフレームワークへの適合状況がわからないと評価基準の信頼性が担保できないため、サービスの導入ができません。その点からもSecure SketCHは、グローバル企業の心強いパートナーといえそうです。

図４. NISTサイバーセキュリティフレームワークとCIS Controlsをまとめて可視化

今後の展望

浮き彫りになった課題に対して、より重点的に手を打てるように

この1年間は、まずSecure SketCHを導入し、全社のセキュリティ対策の可視化に全力を注いだ日々でした。

今後は各拠点内で実施してもらう施策と、グループ全体の活動として底上げする施策を分けてセキュリティ対策を実施していきたいと考えています。

各拠点で実施してもらう施策としては、自己評価が「未実施」の項目について、まず最低限実施して欲しいものを本社で指定し、対策を進めてもらいます。Secure SketCH には、ありがたいことに「ベストプラクティス」があるため、本社から具体的な指示をしなくても、拠点の担当者がそれを読めば、何をすればいいかがわかるようになっていますので、自走して対策を進めてもらえることが非常に助かります。加えて、本社からは具体事例を展開することで対策のサポートを行っていく予定です。

グループ全体の底上げとしては「セキュリティ人材の育成」「クラウドサービスの利用管理」「インシデント対応訓練」などが課題であり、力を入れていかなければならないことがSecure SketCH の導入により可視化されたため、本社としてKPIを設けて、改善のサイクルをまわしていく計画です。

Secure SketCHの導入によりグローバル拠点の状況を可視化し、全社のセキュリティ対策を把握するという当初の目的は叶えられました。今後も、Secure SketCHを継続利用し、評価・対策のサイクルを繰り返し実行していきながら、浮き彫りになる課題へ重点的に手を打つことで、グループ全体のセキュリティレベルを底上げしていきたいと考えています。

brother210312-1