EN

グリー株式会社 様

導入事例

国内外の情報セキュリティガイドラインに基づきセキュリティ活動全体を俯瞰|客観的な評価を継続的に実施し、自社の立ち位置と課題を明らかに

グリー株式会社

ゲーム・アニメ事業、コマース・DX事業、メタバース事業などを中心に幅広く事業を展開するグリーグループ(以下当社)では、人、組織、技術にまたがるセキュリティ対策を推進してきましたが、活動全体を俯瞰的に確認する手段に悩んでいました。その解決策として「Secure SketCH(セキュアスケッチ)」を採用し、主要な情報セキュリティガイドラインに基づいたチェックを業務に組み込んでいます。評価結果はセキュリティ対策の向上につなげるとともに、「グリー情報セキュリティ報告書」にも活用されています。

ここが
ポイント

  • 部分的・場当たり的なチェックではなく、セキュリティ活動全体を俯瞰的に確認して取り組むべき課題を把握
  • ISO27001やCSF、CISといった複数の主要な情報セキュリティガイドラインをベースに対策を評価
  • 客観的な評価に基づいて自社の対策状況を可視化し、社内はもちろん社外のステークホルダーにも「報告書」として共有

導入の背景

グリーグループのセキュリティへの向き合い方

gree-case-003開発本部 セキュリティ部 セキュリティ推進チーム 奥野 緑氏

 

ソーシャルネットワーキングサービスから生まれたゲーム・アニメ事業やコマース・DX事業、メタバース事業などを幅広く展開する当社にとって、顧客情報の保護は何よりも重要な命題です。そこで「セキュリティ部」を設けて全社的に対策を推進するとともに、部署、役職、雇用形態を問わず全従業員がセキュリティに対する意識を高く持ち、ポリシーやルールに沿って日々の業務に取り組んでいます。

こうした活動を2020年から公表しているのが「情報セキュリティ報告書」です。当社のセキュリティ活動を顧客やパートナーにお伝えすることを目的としています。最近でこそサステナビリティレポートを公表する企業は増えてきましたが、セキュリティ体制や方針・ルールなどに特化して詳細に公表する企業はまだ少ないのではないでしょうか。

本報告書では、主要な情報セキュリティガイドラインで求められる対策に基づき当社における対策実施状況を採点したものを、客観的な評価として掲載しています。2020年11月時点でのスコアは1000点満点中754点で、他社平均(約1,600社)の557点を上回っています。また、NRIセキュアテクノロジーズの「Secure SketCH(PREMIUMプラン)」を活用することで、当社と同業種(情報処理業界に所属する企業)の平均値639点をベンチマークとして参考にしています。

図1. 「情報セキュリティ報告書2021」の中で、Secure SketCHでの対策状況を報告

gree-case-001

参照:https://corp.gree.net/jp/ja/csr/management/information-security.html
※ 2024年度の最新版も発行されました! 詳しくはをご覧ください。

導入の経緯

Secure SketCH導入前に抱えていた課題

セキュリティ部では以前からさまざまな技術的対策を実施するとともに、情報セキュリティに関するルールを定めてきました。さらに、定めたルールに関しては、定期的にアセスメントを実施し、各組織での遵守状況も確認しています。

ただどうしても、その都度、リスクが高いと判断した、特定のテーマや組織に焦点をあて、対策状況をチェックし改善をすすめるという、部分的な対応にとどまっていました。そのため、セキュリティ活動全体を俯瞰的に見た上で、どこまでできているか、以前と比べてどのくらい改善し、課題がどれだけ残っているかを把握するという点では十分ではありませんでした。また、課題を洗い出す際に何を基準にすべきかという点にも悩んでいました。

そこでまず、自力でセキュリティ対策状況を俯瞰する仕組みを作成することを考え、2019年10月ごろから主要な情報セキュリティガイドラインを読み解きはじめましたが、行き詰まってしまいました。試しに米国国立標準研究所(NIST)が策定したCSFを元にチェック項目を作り始めましたが、参照する項目の選択や解釈の適切性について不安がありました。また、今後ガイドラインがアップデートされる度にタイムリーにキャッチアップし、自作のチェック項目を更新することは難しいと感じました。

導入の効果

Secure SketCH導入の効果

ガイドラインに基づいて適切かつ効率的に確認できるようなサービスがないかとWebで検索して見つけたのが、Secure SketCHでした。Secure SketCHは、セキュリティ専門家の知見を踏まえて、ISO27001やCSF、CISといった複数の主要な情報セキュリティガイドラインの要求事項をほどよく質問項目にまとめており、理解しやすいです。今後も情報セキュリティ報告書等で外部に評価結果を公表していくことを考えると、やはり信頼できる評価項目を利用することが大切です。ですので、 自力で作成する場合に発生しかねない、解釈や翻訳の間違いの懸念がないことも安心材料となりました。

Secure SketCH導入の際には、Secure SketCHを活用すれば、自力でセキュリティ対策の実施状況をガイドラインに基づいて評価するよりも、作業工数を削減できるだけでなく、現状見えていないリスクにも気付くことができるメリットを説明し、経営層の理解を得て導入に至りました。

図2. Secure SketCH の対応ガイドライン(サンプル)

ガイドラインチェック-001

NRIセキュア様には質問や要望に手厚く対応いただいたおかげで、サービス内容を十分に理解しスムーズに導入することができました。また、Secure SketCHには資料の掲載も充実しているのが気に入っています。たとえば、チェック結果に対するリスク分析のすすめ方について悩んでいましたが、NRIセキュアのブログでの解説が参考になりました。

現在当社では、Secure SketCHを利用した、定期的なセキュリティ対策チェックを業務に組み込んでいます。検出された課題は「課題表」にまとめ、リスク評価を行った上で、優先順位の高いものから順にプロジェクト化して改善に取り組んでいます。また、既に対策を実施しているものの、ガイドラインの定めるベストプラクティスと比較すると改善の余地がある項目を洗い出すことができ、より効果的な対策へシフトすることをセキュリティ部内で議論するきっかけにもなっています。

最近の取り組みとしては、評価スコアをレポートにまとめ、セキュリティ部が所属する開発のミーティングや経営層も参加する情報セキュリティ委員会で報告を始めました。

図3. Secure SketCH のレポート出力機能(サンプル)

レポート出力-001

今後の展望

case-gree-fig01

一番怖いのは、リスクを把握できずに放置していることです。Secure SketCHを導入することで、ガイドラインの定めるベストプラクティスに基づきリスクへの対策状況を把握し、優先順位をつけて対応できるようになったことが大きな成果だと考えています。

情報セキュリティを取り巻く環境は目まぐるしく変化しています。セキュリティ部としても変化に対応しつつ、お客さまへ安心安全にサービスを提供する支えとなるように、今後もセキュリティ対策を強化して参ります。

その一環として、当社のセキュリティ対策の座標や進むべき方向を認識し、社内やステークホルダーにも共有させていただくツールとして、Secure SketCHを活用していきたいと考えております。

 

※本文中の組織名、職名、概要図は公開当時のものです。(2021年5月)

導入いただいた製品資料はこちら

お問い合わせ