導入の背景
グリーグループのセキュリティへの向き合い方
ソーシャルネットワーキングサービスから生まれたゲーム・アニメ事業やコマース・DX事業、メタバース事業などを幅広く展開する当社にとって、顧客情報の保護は何よりも重要な命題です。そこで「セキュリティ部」を設けて全社的に対策を推進するとともに、部署、役職、雇用形態を問わず全従業員がセキュリティに対する意識を高く持ち、ポリシーやルールに沿って日々の業務に取り組んでいます。
こうした活動を2020年から公表しているのが「情報セキュリティ報告書」です。当社のセキュリティ活動を顧客やパートナーにお伝えすることを目的としています。最近でこそサステナビリティレポートを公表する企業は増えてきましたが、セキュリティ体制や方針・ルールなどに特化して詳細に公表する企業はまだ少ないのではないでしょうか。
本報告書では、主要な情報セキュリティガイドラインで求められる対策に基づき当社における対策実施状況を採点したものを、客観的な評価として掲載しています。2020年11月時点でのスコアは1000点満点中754点で、他社平均(約1,600社)の557点を上回っています。また、NRIセキュアテクノロジーズの「Secure SketCH(PREMIUMプラン)」を活用することで、当社と同業種(情報処理業界に所属する企業)の平均値639点をベンチマークとして参考にしています。
図1. 「情報セキュリティ報告書2021」の中で、Secure SketCHでの対策状況を報告
導入の経緯
Secure SketCH導入前に抱えていた課題
セキュリティ部では以前からさまざまな技術的対策を実施するとともに、情報セキュリティに関するルールを定めてきました。さらに、定めたルールに関しては、定期的にアセスメントを実施し、各組織での遵守状況も確認しています。
ただどうしても、その都度、リスクが高いと判断した、特定のテーマや組織に焦点をあて、対策状況をチェックし改善をすすめるという、部分的な対応にとどまっていました。そのため、セキュリティ活動全体を俯瞰的に見た上で、どこまでできているか、以前と比べてどのくらい改善し、課題がどれだけ残っているかを把握するという点では十分ではありませんでした。また、課題を洗い出す際に何を基準にすべきかという点にも悩んでいました。
そこでまず、自力でセキュリティ対策状況を俯瞰する仕組みを作成することを考え、2019年10月ごろから主要な情報セキュリティガイドラインを読み解きはじめましたが、行き詰まってしまいました。試しに米国国立標準研究所(NIST)が策定したCSFを元にチェック項目を作り始めましたが、参照する項目の選択や解釈の適切性について不安がありました。また、今後ガイドラインがアップデートされる度にタイムリーにキャッチアップし、自作のチェック項目を更新することは難しいと感じました。
導入の効果
Secure SketCH導入の効果
ガイドラインに基づいて適切かつ効率的に確認できるようなサービスがないかとWebで検索して見つけたのが、Secure SketCHでした。Secure SketCHは、セキュリティ専門家の知見を踏まえて、ISO27001やCSF、CISといった複数の主要な情報セキュリティガイドラインの要求事項をほどよく質問項目にまとめており、理解しやすいです。今後も情報セキュリティ報告書等で外部に評価結果を公表していくことを考えると、やはり信頼できる評価項目を利用することが大切です。ですので、 自力で作成する場合に発生しかねない、解釈や翻訳の間違いの懸念がないことも安心材料となりました。
Secure SketCH導入の際には、Secure SketCHを活用すれば、自力でセキュリティ対策の実施状況をガイドラインに基づいて評価するよりも、作業工数を削減できるだけでなく、現状見えていないリスクにも気付くことができるメリットを説明し、経営層の理解を得て導入に至りました。
図2. Secure SketCH の対応ガイドライン(サンプル)
NRIセキュア様には質問や要望に手厚く対応いただいたおかげで、サービス内容を十分に理解しスムーズに導入することができました。また、Secure SketCHには資料の掲載も充実しているのが気に入っています。たとえば、チェック結果に対するリスク分析のすすめ方について悩んでいましたが、NRIセキュアのブログでの解説が参考になりました。
現在当社では、Secure SketCHを利用した、定期的なセキュリティ対策チェックを業務に組み込んでいます。検出された課題は「課題表」にまとめ、リスク評価を行った上で、優先順位の高いものから順にプロジェクト化して改善に取り組んでいます。また、既に対策を実施しているものの、ガイドラインの定めるベストプラクティスと比較すると改善の余地がある項目を洗い出すことができ、より効果的な対策へシフトすることをセキュリティ部内で議論するきっかけにもなっています。
最近の取り組みとしては、評価スコアをレポートにまとめ、セキュリティ部が所属する開発のミーティングや経営層も参加する情報セキュリティ委員会で報告を始めました。
図3. Secure SketCH のレポート出力機能(サンプル)
今後の展望
一番怖いのは、リスクを把握できずに放置していることです。Secure SketCHを導入することで、ガイドラインの定めるベストプラクティスに基づきリスクへの対策状況を把握し、優先順位をつけて対応できるようになったことが大きな成果だと考えています。
情報セキュリティを取り巻く環境は目まぐるしく変化しています。セキュリティ部としても変化に対応しつつ、お客さまへ安心安全にサービスを提供する支えとなるように、今後もセキュリティ対策を強化して参ります。
その一環として、当社のセキュリティ対策の座標や進むべき方向を認識し、社内やステークホルダーにも共有させていただくツールとして、Secure SketCHを活用していきたいと考えております。
※本文中の組織名、職名、概要図は公開当時のものです。(2021年5月)