導入の背景
グループ全体のITガバナンス強化に向けてアンケート調査の仕組みを求めていた
在京キー局をはじめ多くの企業を有し、日本の放送・メディア業界を牽引するフジ・メディア・ホールディングス。重要かつ膨大な情報資産を扱う企業として、以前からグループ会社も含めたセキュリティ対策に力を入れてきました。
そのなかで、従前はある課題を抱えていたとフジ・メディア・ホールディングス 経営企画局 担当局長の佐藤 光雄氏は話します。
株式会社フジ・メディア・ホールディングス 経営企画局 担当局長 佐藤 光雄 氏
佐藤氏 当社はグループ18社の情報システム部に向けて、以前より年に1〜2回、ITガバナンス強化を目的としたアンケート調査を実施していました。
そのなかでいくつかセキュリティに関する質問項目も入れていましたがその内容が抽象的だったため、より実態に即した具体的な状況の把握が求められていました。
同社は関連会社の株式会社フジミックに協力を依頼し、課題への対策を検討。フジ・メディア・ホールディングスとフジミックの2社合同で、グループ全体のITガバナンスの強化に向けたプロジェクトを立ち上げ、より詳細なアンケート質問項目を策定することで課題の解決を試みました。
しかし、プロジェクトを進めるうえで新たな問題が生じたと、フジミック DX推進部の清水 秀人氏は話します。
株式会社フジミック DX推進部 清水 秀人 氏
清水氏 新たなアンケートでは、導入しているセキュリティソフトの名称を入力してもらうなどセキュリティに特化した具体的な質問の項目を増やしました。
その結果、詳細な回答を得られたという効果があった一方で、企業によっては「わからない / 不明です」と一言で回答するケースもあり、担当者のリテラシーや意識の差が浮き彫りになりました。
導入の決め手
業界平均と自グループの評価を比較できる他にないサービス、Secure SketCHを採用
同社はアンケート調査によるセキュリティ評価の課題を踏まえ解決策を検討。その結果たどり着いたのが、複数企業の総合的なセキュリティ評価と管理をクラウド上で完結できるSecure SketCHのGROUPSプランでした。
採用の決め手について、フジ・メディア・ホールディングス 総務局 業務推進部 情報システム担当の黒沢 伸氏はこう話します。
株式会社フジ・メディア・ホールディングス 総務局 業務推進部 情報システム担当 黒沢 伸 氏
黒沢氏 Secure SketCHは各種ガイドラインに沿った75問の設問へ回答することにより、各社のセキュリティスコアを可視化し、最新のセキュリティ対策状況を容易に把握できます。
またグループ全体の総合評価を業界平均や全国平均と比較できるという点も、約4000社(2023年9月現在)のデータを保持しているNRIセキュアならではの強みであり、他のサービスにはない有用性を感じました。
図. 5段階のランクやスコア、偏差値で企業の対策状況を定量的に可視化できる。
約4000社の統計データから、業界や売上・従業員規模で絞り込み、同業他社との比較も可能
グループ各社にSecure SketCHをスムーズに導入するために実施した「工夫」について、清水氏はこのように話します。
清水氏 Secure SketCHの導入に向けて、まずは各社のシステム担当からアカウントに登録する際の管理者やドメインの情報を集める必要がありました。
このような場合、メール連絡による情報収集だと担当者によっては回答が遅れたり、実際の利用者とは異なる担当者が管理者として報告されたり、管理が煩雑になりがちです。
そのため今回は、自社が利用しているアンケートサービスを活用してシステム担当者をアンケートサイトに誘導しました。メールアドレスやドメインの情報をサイト上で収集することで管理の負担を軽減し、その結果スムーズに利用を開始できました。
導入の効果1
グループ18社の対策状況を可視化。用語解説マニュアルで回答の精度も向上
清水氏の工夫により、Secure SketCHはグループ18社にスムーズに浸透しました。Secure SketCH導入による成果を佐藤氏は次のように話します。
佐藤氏 これまで実態が掴めなかった各社のセキュリティ対策状況を、Secure SketCHを使うことで初めて可視化できました。点数やランクだけでなく、円グラフで自分たちの弱い箇所が視覚的にわかります。
また全国平均や業界平均との比較により、グループ全体のセキュリティ評価の実態がつまびらかになりました。例えば、18社のほとんどがウイルス対策ソフトを正しく導入していましたが、ウイルス感染発生時の対応など有事の備えについては各社の対応状況にばらつきがあると判明し、即座に方針を検討できました。
加えて、Secure SketCHにより各社のセキュリティの状態を可視化し他社と比較できたことは、セキュリティ予算を確保するための根拠としても、非常に大きな意味があったと捉えています。
図. Secure SketCHのグループ評価イメージ
グループ総合評価を得点やランクで可視化でき、各社の評価結果を横並びで比較が可能
Secure SketCHの導入前に課題であると感じていた、担当者のリテラシーや意識の違いによる回答精度のバラつきへの対策としては、NRIセキュアが用意した「設問回答完了のための手引き」マニュアルが大変有効であったと、清水氏は振り返ります。
清水氏 Secure SketCHのアンケート項目には、内容によってセキュリティに関する専門用語が含まれます。一方で、例えば「ドメイン」という言葉の理解も不明瞭な担当者がいるのも事実です。
そこで誰もが質問の意図を理解できるように、NRIセキュアからいただいた「設問回答完了のための手引き」マニュアルをもとに「自社独自のアンケート簡易対策表」を作成し、専門用語の意味を一文程度で簡潔に解説しました。その結果、各社から一定以上のレベルの回答を得られるようになり、セキュリティ対策の状態を正しく把握できるようになったと自負しています。
NRIセキュアのこのマニュアルは、各社の担当者から問い合わせを受けた際に窓口で活用する“虎の巻”としても活用しています。
図. Secure SketCHの75設問の回答精度向上を目的とした「設問回答のための手引き」マニュアル
導入の効果2
セキュリティを「競う」のではなく「助け合い、高め合う」文化がグループに浸透
同社は現在、グループ各社の情報システム部担当者を集めてセキュリティ月例会を開催しています。そこでは、各社の担当者の質問に個別に答えたり、全社の評価結果を共有して各社の成功体験や課題をディスカッションしたりしています。
月例会により、各担当者のセキュリティに対する意識が大きく変化したと黒沢氏と佐藤氏は語ります。
黒沢氏 Secure SketCHで評価を実施した結果、各社のセキュリティ対策状況が明らかになりました。低い評価が出た担当者のなかには、評価結果に問題意識を感じ「どのように改善すべきか?」と具体的に質問をしてくる担当者が増えたことも導入の成果の一つです。
月例会を行うことで、グループ各社の情報システム担当同士のつながりも生まれ、全社で協力してセキュリティレベルを上げていこうという非常に良い雰囲気が生まれました。特に、情報システムの担当者が一人だけという小規模な会社にとってこうした関係は貴重です。
佐藤氏 本プロジェクトの背景にはITガバナンス強化がありますが、自グループの文化としてホールディングスがグループ各社に対して厳格な統制を課すのではなく、グループ各社の自由度を重視しています。そのため、以前からグループガイドラインは定めていましたが、ホールディングスが具体的な対策を案内することは控えていました。
しかし今回、Secure SketCHの評価結果を用いたセキュリティ月例会を行うようになってから、グループ会社からメール訓練やセキュリティ教育・ウイルス対策などサービスの紹介の依頼や、サービス導入の具体的な要望が寄せられるようになりました。これは非常に良い変化だと感じています。
今後の展望
Secure SketCHで可視化した評価をもとに、継続的なセキュリティ対策強化を目指す
同社のITガバナンス強化に向けた取り組みは、Secure SketCHの導入により飛躍的に前進しました。最後に今後のセキュリティへの取り組みに関する展望やNRIセキュアへの期待を、お三方に語っていただきました。
清水氏 セキュリティ月例会では、現状だと各社の点数は伏せて全社平均と業界平均・全国平均を並べて共有しています。今後はさらなるセキュリティレベルの底上げを目指し、各社の点数を公開することも検討しています。
その際、点数が低い会社に対してはオープンに意見を交わしてフォローし合える関係性が重要になると考えています。情報共有の仕方には細心の注意を払いながら、ガバナンス強化に向けてグループ一丸となり取り組んでいきます。
黒沢氏 今回Secure SketCHを導入することで、グループ各社のセキュリティの課題が浮き彫りになりました。
その結果をもとに、今後は標的型攻撃への訓練やセキュリティ教育、セキュリティ対応マニュアルの策定やSOC・CSIRTなど専門組織の整備など、有事の際に有効であり、かつより実践的な取り組みを優先的に強化していきたいと考えています。
佐藤氏 Secure SketCHによりグループ各社のセキュリティ評価の可視化を実現できましたが、一度評価をして終わりではなく定期的・継続的に評価していくことが大切だと考えています。
評価結果を全社で共有して改善点を把握し合い、適切な施策を実行することでさらにセキュリティレベルが向上するという好循環が生まれ始めています。
引き続き、グループ内で共通化できる対策や施策を検討し、グループ全体での最適化を目指していきます。NRIセキュアには、今後も伴走支援やさらなる機能向上などに期待しています。
左から川崎(弊社)、佐藤氏(フジ・メディア・ホールディングス)
黒沢氏(フジ・メディア・ホールディングス)、清水氏(フジミック)、瀬戸(弊社)
※本文中の組織名、職名、概要図は2023年7月時点のものです。