グリーホールディングス株式会社 様

奥野氏　組織やサービス単位で実施しているアセスメントにより情報セキュリティ対策の実施状況は確認できていました。ただ、グループ全体としての対策レベルの把握や他社との比較など、客観的な評価を行うのは難しい状況でした。

また当時は、世間一般でランサムウェア被害の増加やクラウド利用の拡大が進み、リスクの高まりが広く認識されていたこともあり、経営層からセキュリティ対策状況について説明を求められる場面も増えていました。

こうした背景もあり、経営層に対して客観的な根拠をもとに説明できる仕組みの必要性を強く感じ、信頼できる評価指標の導入が急務であると考えていました。

奥野氏　まずどのガイドラインを使うかを決めるために、英語の情報源も含め情報収集を始めたのですが、翻訳や内容の理解に時間がかかり非常に苦労しました。

特に、米国立標準技術研究所（NIST）のCSFをベースにチェック項目を作成しようと試みたものの、翻訳はできてもそれを具体的な設問に落とし込むのが難しく、どの項目を参照すべきか、解釈が適切か、網羅性は確保できているのかという点に不安がありました。

さらに、ガイドライン自体が随時アップデートされるため、自作のチェック項目を常に最新の状態に保つことの難しさも感じていました。

奥野氏　ISMSだけでは技術的対策やサイバー攻撃への実践的な対策が十分にカバーしきれないことを、具体的な例を挙げながら説明しました。最終的には、複数のガイドラインを基に「いいとこ取り」で作られた、Secure SketCHの包括的なアプローチが評価されました。

また、セキュリティ専門企業であるNRIセキュアが提供し信頼性が高い評価項目を利用することで、「解釈に誤りがあるのではないか」という懸念も払拭できる点を、安心材料として伝えました。さらにNRIセキュアのご担当者には質問や要望に非常に丁寧にご対応いただき、サービス内容を十分に理解した上で、スムーズに導入することができました。

奥野氏　設問への回答や改善活動への協力が以前に比べて得やすくなりました。『情報セキュリティ対策はグループ全体で取り組むべき重要課題だ』という認識が浸透しつつあります。

対策の必要性を伝える際も、セキュリティ部門独自の判断ではなく、業界標準のセキュリティ基準に基づく要請であることを伝えることで、より納得してもらえるようになったと感じています。

奥野氏　ガイドラインの改訂や、新たな脅威の出現、クラウドサービスやリモートワークの普及など、環境の変化に合わせてSecure SketCHの設問やベストプラクティスが定期的にアップデートされるのは非常に助かっています。常に最新の基準で対策状況を確認できますし、自分たちでガイドラインの改定内容を調べて整理しようとすると膨大な工数がかかります。その負担を大幅に軽減できている点は大きなメリットです。

奥野氏　社内ルールの改定時には、Secure SketCHの設問やベストプラクティスを参考にすることで、どの項目を見直すべきかを効率的に特定できます。特にNIST CSFやISMSの改訂時には、迅速で漏れのない対応ができました。また、ベストプラクティスを確認することで、これまで許容していた点についても解釈の見直しを行っています。

なお、当初はスプレッドシートで管理していましたが、現在は関連部署の担当者にSecure SketCHに直接ログインして回答するように依頼しています。設問の表現も改善され回答しやすくなったほか、証跡資料の登録もスムーズになりました。常に利用者目線で使いやすさが向上していると思います。

奥野氏　具体的には、ベストプラクティスで暗号化を推奨されている保存データを特定し、暗号化の強化を進めました。さらに、サプライチェーンセキュリティの強化の一環として、業務委託契約書に情報セキュリティ条項を新たに追加し、情報セキュリティ誓約書への署名取得を実施しました。

奥野氏　当初は評価・分析・課題対応というPDCAのサイクル部分だけを図に表現していましたが、NRIセキュアからいただいたアドバイスを基に、リスクコミュニケーションの要素を加えました。

単にプロセスを回すだけでなく、リスクについて説明し、議論を深めることの重要性を改めて認識しました。特に経営層・統括部門・現場部門の三者の関係性については、単なる上下のつながりではなく、横のつながりや相互のコミュニケーションフローも含めて整理しました。

これにより、読み手にとってより分かりやすく、納得感のある構成に仕上がったと思います。

奥野氏　お客様やお取引先に対して、取り組み姿勢や対策状況を客観的に示すことは、非常に大きな意義があります。また報告書として公表することで、従業員の意識向上にもつながります。

社外への説明責任を果たすと同時に、社内のガバナンス強化やリスクコミュニケーションの活性化、モチベーションの向上にも寄与しています。報告書の発行は、有効な取り組みだと実感しています。

奥野氏　他社様が弊社の取り組みを参考にされていることは非常にありがたく、うれしいです。情報セキュリティ報告書の発行は業界内でも挑戦的な取り組みでしたが、Secure SketCHの評価結果や生成AIのガイドライン概要の掲載など、毎回試行錯誤を重ねながら、内容を工夫してきました。

お取引先から情報セキュリティ体制や対策状況を問われた際にも、報告書に掲載したSecure SketCHのスコアを提示し、参考にしていただいています。

奥野氏　ホールディングス体制への移行により、グループ各社がそれぞれの事業特性に基づき判断する場面が増えたことで、セキュリティ対策の基準適用や状況把握が難しくなるケースも出てきました。

奥野氏　セキュリティ部門が独自に考えた基準だと受け止められると、抵抗が生まれる場合があります。そこで、公的なガイドラインで求められているベストプラクティスであること、さらにそれを実施しない場合のリスクを丁寧に説明するようにしています。エンジニアとのコミュニケーションでは、根拠や背景を示しながら対話を重ねることを大切にしています。

奥野氏　今後も環境の変化や公的ガイドラインの更新に迅速に対応し、経営層に最新のセキュリティ対策状況を的確に伝える仕組みとして、Secure SketCHを活用していきたいと考えています。

奥野氏　これまでもクラウドサービスや生成AIの活用に伴うリスク、サプライチェーンリスクなど重要テーマを取り上げてきましたが、技術の進化や脅威の高度化に伴い、内容の迅速なアップデートと実効性のある対策方針、具体的な事例紹介を強化していきたいと考えています。

また、ホールディングス化に伴い、各社の事業特性に応じた対応を行いつつ、グループ全体での統一的な方針策定も重要な課題です。今後の報告書では、セキュリティガバナンスの強化や部門間連携についても、より積極的に取り上げていきたいです。

奥野氏　Secure SketCHは、適用する公的ガイドラインの選定や解釈に悩んでいる企業様に特におすすめです。数多くのガイドラインの中から重要なポイントを適切に整理し、設問形式でわかりやすく提示してくれるので、非常に使いやすいツールです。

また、他社との比較が可能なスコアリング機能もあり、自社の対策状況を客観的に把握できるだけでなく、その結果を経営層に説明しやすい点も大きなメリットです。さらに、スコアアップを目指すことで、社内のモチベーション向上にもつながります。

奥野氏　導入時には、単にスコアリングして評価するだけでなく、その評価結果をどのように経営層に報告するのか、また評価をもとにどのように課題を設定して改善していくのか、という一連のフローを事前に整理することが大切だと思います。導入目的及び活用方法を明確に定めることで、より効果的な運用が可能になります。

Secure SketCHはシンプルなツールですが、使い方次第で活用の幅は大きく広がります。当社でも、導入当初は自社の対策状況の確認から始めましたが、現在ではリスクコミュニケーションの手段や社内ガイドラインへの反映など、多岐にわたり活用しています。ぜひ一度試して、使いやすさや効果を実感してみてください。