導入の背景
事業が拡大する中で信頼できるセキュリティパートナーが必要だった
企業の情報セキュリティに対する脅威が日々高度化し、リスクが高まり続ける中、自社のみでセキュリティ対策を行うことはますます困難になっています。セキュリティ対策の必要性を自覚しながらも「どこから着手すればよいのかわからない」というケースは少なくありません。
事業が拡大する中で株式会社クラシコムでも同様の課題を感じていたと同社代表取締役社長 青木耕平氏は振り返ります。
青木氏 私自身はセキュリティの強化は企業の価値を高めてくれるポジティブなものだと捉えていましたが、クラシコムらしいセキュリティ強化を適切かつ効率的に進めるためには自社のみではなく、専門家の力を借りて推進することが重要だと考え、セキュリティに関する信頼できるパートナーを求めていました。
そんな中でNRIセキュア様を知ったのは、信頼できるビジネスパートナーから紹介いただいたことがきっかけでした。
導入の決め手
「客観的なスコアによる目標値の設定」と「対策の実行支援」が両立
自社のセキュリティ状況の明確化という課題に対して、NRIセキュアから提案されたのが、セキュリティ対策実行支援プラットフォームSecure SketCHでした。
青木氏 他社も利用している定量的かつ客観的な評価基準を取り入れることで、自社の現在地はどこにあり、1000点満点中何点を達成すれば相対的に十分と言えるのか、というように目標水準やロードマップが見えてきました。
そういった意味では、Secure SketCH は旅行に行くときの地図と旅行計画のようなものだと思っているんです。Secure SketCHを導入することで、行き先を明確にする地図と、そこに至るまでの旅程が示されている旅行計画が手に入り、安心して先に進めるようになりました。
図1:Secure SketCHの統計データを用いた目指すべきセキュリティレベルの設定(SAMPLE)
Secure SketCHに加え、NRIセキュアはセキュリティコンサルタントとしてもクラシコムに対する継続的なサポートを行ってきました。対話を重視したコンサルタントのスタンスが同社にフィットしていたと青木氏は語ります。
青木氏 セキュリティ対策を進める上では短期で行うべき具体的な施策の実行と、施策の先に目指すべきマイルストーンと最終的な目標の設定、この2つの視点を併せ持つパートナーが理想的です。
目の前のことだけに注力するのも不安ですし、逆に目標だけ示されても達成する方法や計画がなければ迷走してしまいます。その意味で、NRIセキュアは我々が求める両方の視点を持ち合わせていました。また、トップダウン型ではなく、対話を通して我々のカルチャーや価値観を尊重しながら、どのように進めていくべきか親身に相談に乗っていただけました。
図2:Secure SketCHの設問を活用して作成した対策計画(SAMPLE)
クラシコムのIT環境はMacBookとSaaSを中心に構成されています。こうした環境に対するコンサルティングは、それまでWindows環境を前提としたセキュリティ対策支援を行ってきたNRIセキュアにとっても新鮮な試みでした。
だからこそ、丁寧に対話を重ねながらマイルストーンを設定し、段階を踏んで着実なセキュリティの強化を行っていきました。最初からフルスペックのセキュリティを目指すのではなく、それぞれの組織の状況やリスクを把握した上で「ちょうどよいセキュリティ」を目指すことが効率的なセキュリティ対策につながります。
こうした進め方は「しっかりと土台を固めながら進んでいく」というクラシコムのカルチャーとも調和するものになりました。
導入による変化
一貫性あるルール策定により、セキュリティの心理的安全性が高まった
ビジネスプラットフォーム部 執行役員 部長の高尾清貴氏は、Secure SketCH導入により、目先の対策だけでなく、本質的なセキュリティ強化につながったと感じています。
高尾氏 導入当初は、セキュリティポリシーを始めとする戦略立案や組織のルール作りに関する対応項目が多かったですね。もし我々だけでセキュリティ対策を進めていれば、いきなり『どのツールを入れるか』という具体的な施策から着手していたかもしれません。
NRIセキュアにシステムや技術面だけでなく経営レベルの悩みまで幅広く相談できたことは、セキュリティ対策の土台を固めていくフェーズにおいてはとてもありがたく感じました。
システムプラットフォーム部 執行役員 部長の村田省吾氏は、Secure SketCHの導入により、社内からの質問に対しルールに沿って一貫性のある対応ができるようになったと語ります。
村田氏 ツールの導入を例にとると、セキュリティ対策上問題がないかを個別に精査するのではなく、共通のルールに沿って、このツールならここまで権限を渡しても問題ないと判断する。根拠も明示できるので、業務に自信が持てました。
疑問を情報システム担当者に尋ねれば信頼性の高い回答を返してくれる。それゆえ、現場も積極的にセキュリティ課題を伝えてくれる。Secure SketCHに沿った取り組みにより、そんな好循環が生まれました。
他部門の社員もセキュリティへの不安感が払拭されたことで、本来の業務に集中することが可能になり、間接的に業務の効率化につながりました。
現場の社員も業務効率化という形でメリットを実感できたこともあり、セキュリティ対策を強化していくことへの社内での抵抗感は少なかったといいます。同社では代表の青木氏がセキュリティ委員会に参加するなど、経営層から現場の社員に至るまで、セキュリティ対策を企業価値に直結する大切なものとして前向きに捉え、実践されています。
絶えず継続する必要があることもセキュリティ対策という取り組みの特色です。クラシコムでは、この「継続」のプロセスにもSecure SketCHが貢献しているといいます。
高尾氏 重宝しているのはベストプラクティスの項目です。ベストプラクティスには「施策を定期的に実施できているか」という項目があります。定期的な施策の実施を求められるため、それに適切に対応していくことで、自然とセキュリティ対策の『仕組み化』が促されるようになっていると感じています。
図3:対策の成熟度に応じたベストプラクティス(改善策)が提示される
村田氏 仕組み化はコンサルタントとの定期的なミーティングにより醸成されるものですが、Secure SketCHを見返すことでセルフチェックも可能になり、仕組み化がより強化されます。自分たちで定めたものだと基準が甘くなってしまうかもしれませんが、外部の評価基準を用いることでよりシビアに評価できるのも利点ですね。
今後の展望
自立自走できるサステナブルな組織体制にアップデートしていく
2019年のSecure SketCH導入以来、順調にセキュリティ対策を進めてきた同社。現在はロードマップで設定していた当初の目標水準に達しています。成功の要因として、導入当初から継続的なサポートを行ってきたNRIセキュアのコンサルタントの存在も大きかったといいます。
村田氏 Secure SketCHのチェックリストだけを渡されても、自社だけでは対応が難しかったのではないかと思います。コンサルタントの方にはリストの各項目の説明に加え、対応すべき優先順位なども併せてご提案いただけました。
やりとりにおいても、COVID-19以前よりWeb会議によるコミュニケーションを行い、希望に応じたコミュニケーションツールの変更等、こちらの業務スタイルに合わせて柔軟に対応いただけるため進めやすかったです。
高尾氏 また、我々はBtoCメインのプラットフォーム事業者ですが、NRIセキュア様もコンサルティング企業であると同時にSecure SketCHというBtoBプラットフォームの事業者でもあるので、当事者目線でのアドバイスをいただくことができました。
それでいて、判断が必要な場面では丁寧に情報提供をして頂いた上でこちらに判断を任せてくださいます。自分たちで判断を重ねていくことで徐々にできることが増え、我々の成長につながっていると感じています。
事業や組織がさらなる成長を続ける中で、クラシコムにおける今後のセキュリティ対策には、サステナビリティとアップデートの視点が重要になると彼らは考えています。
高尾氏 現在の情報システム担当者がいなくともセキュリティ対策の仕組みを回せるようになることが理想です。今後もこの水準を維持していくためには、セキュリティを理解できる人材の増員が必要だと感じています。いわばサステナブルな情報システムの体制を構築していくことが目標ですね。
村田氏 セキュリティポリシーは明文化されていますが、まだ情報システム部門しか共有していない観点もあります。それらも順次明文化を進めて、組織全体に引き継がれている状態にすることが次に目指すべきところです。
青木氏 セキュリティ対策が高度化するスピードよりも、サイバーセキュリティ脅威が高度化するスピードの方が早いので、社内だけでセキュリティ対策を賄えるようになったと捉えることは危険だと考えています。セキュリティには完成というものはなく、常にアップデートし続けなければ、現在の水準の維持すらできません。
しかし達成すべき水準が上がり続ける中、社内のみで情報をキャッチアップしていくには限界があります。
法務や税務においては社外の専門家と協力することが一般的なように、セキュリティも専門家の協力が欠かせない分野になってきていると思います。そのためにも、今後も信頼できる専門家とパートナーシップを築いていきたいですね。
※本文中の組織名、職名、概要図は2022年4月時点のものです。