導入の背景
セキュリティ評価の仕組み化を検討。可視化ツールを導入したが自社の「立ち位置」を把握できなかった
日光ケミカルズは、事業所や関連会社の拠点を国内外に展開しています。Secure SketCHの導入以前に同社が抱えていたセキュリティの課題について、取締役兼IT企画推進室長の吉岡勝彦氏は次のように話します。
日光ケミカルズ株式会社 取締役兼IT企画推進室長 吉岡 氏
吉岡氏 最近ではわれわれのようなBtoB企業でも、セキュリティインシデントの被害を耳にします。危機感を覚え、数年前から本格的に自社環境のを仕組み化するための検討を始めました。その際、自分たちのセキュリティに関する「身体検査をどう行うか」がわからず、ツールを探す必要があったのです。
また、セキュリティの施策を実施する際、その目標や必要性に関する共通理解を得るうえでも難しさがあったと、IT企画推進室の高野梨紗氏はこう話します。
高野氏 セキュリティ施策に直接携わることがない方々に、私たちが何を目標にどんなことをしているのかを理解してもらうのは難しい場合が多々あります。しかし、効果的な施策を行うためには、組織のなかでその必要性を認識してもらうことが不可欠です。
また、担当者目線の評価は社内での説得力に欠けてしまいます。社内の理解を得るためには、一般的な評価基準をもとにセキュリティの状態をスコア化できる仕組みが必要でした。
このような課題に対して、Secure SketCHの導入前は別のサイバーセキュリティ可視化ツールを使ってチェックリストで診断していた同社。しかし、それだけでは不十分だと感じていたようです。
高野氏 ツール独自の基準でセキュリティスコアを可視化できても、その結果に対して「同業界のなかで自社の置かれた立ち位置を踏まえ、適切なセキュリティレベルなのか」と問われたとき、自信を持って回答するための根拠がありませんでした。データ化されても、その数値が何を示すのかがわからず、取り組みを行う意義を見失いかけていました。
選定のポイント
同業他社との比較や、各種ガイドラインの遵守状況が確認できる点に期待。導入は「びっくりするほど」スムーズだった
セキュリティ評価の仕組み化について新たなツールを検討した結果、Secure SketCHに目をつけた理由を高野氏は次のように振り返ります。
高野氏 Secure SketCHは評価結果を「得点」や「偏差値」といったかたちで定量的に可視化できるので、「自社のセキュリティレベルは同業他社と比較してどうなのか」が明確になると期待しました。評価結果はそのまま改善活動の目標として活用できますし、セキュリティ施策を進めるうえで経営判断の材料にもなるはずだと。
また、設問に回答するだけで各種評価基準・ガイドラインに照らし合わせた評価が出力されるため、現場の理解も得やすく、現状を把握し、優先順位をつけた取り組みが実施できると考えました。
Secure SketCHの導入に向け、社内提案を進めた高野氏。上長への提案や社内決裁で、難しさを感じた部分はあったのでしょうか。
高野氏 セキュリティ運用について理解がある上長だったので、提案当初から反応はとてもよかったです。「Secure SketCHを導入することで定量的な目標を定め、継続的に改善できるようにしよう」と、前向きな姿勢で社内決裁が進みました。思い返してみても導入にあたって苦労した記憶がなく、とてもスムーズに現場に浸透していった印象です。またNRIセキュアテクノロジーズのご担当者からのサポートも手厚く、こちらからの質問にも真摯に対応いただけたので大変助かりました。将来的にはグループ会社にも運用を拡大する可能性も念頭に置きつつ、まずは当社からスモールスタートしました。
日光ケミカルズ株式会社 IT企画推進室 高野梨紗氏
導入の効果1
タスク管理機能で年間計画に業務を落とし込み、抜け漏れのない運用を実施。導入時と比べて評価スコアが10.4%アップ
2023年5月からSecure SketCHによるセキュリティ評価を開始した同社。部門ごとにアカウントを作成し、各担当者がWeb上で設問に回答するだけで、簡単にセキュリティ対策状況を可視化できるようになりました。Secure SketCHの導入後、初年度から早くもセキュリティレベルの向上が確認できたと高野氏は語ります。
高野氏 導入初期のスコアを受け、本格的に対策に取り組むための体制を見直しました。具体的には、それまでIT部門及び各社システム管理者を中心に開催されていた情報セキュリティ委員会の位置づけを見直し、社長とダイレクトにコミュニケーションを取る体制に変更。この体制のもと、それまでは対応が追いついていなかったBCP対策に関する細かな定義づけと、それに紐づく業務の運用見直しを実施しました。
技術的施策については、導入済みソリューションをより効果的に活用するべく、Secure SketCHのタスク管理機能を活用しています。単に設問への回答でスコアを確認できるだけではなく、設問と必要なタスクを関連付けて管理し、年間計画に落とし込むことができる。ここにもSecure SketCHの価値があると思います。これにより、継続的な運用業務における抜け漏れの防止につながっています。各タスクについては「対応した場合のスコアシミュレーション」も確認できるので、そちらも参考に運用しています。
証跡管理機能も便利だと感じています。セキュリティの評価・対策に関するデータや資料をクラウドのストレージで管理しているので、そのURLを各設問と紐づけて登録することで、ワンクリックですぐに参照できます。 導入年度末時点(2024年3月時点)で、導入初期との比較において評価スコアが10.4%アップしたのは、こうした一連の取り組みの成果だと考えています。
Secure SketCH タスク管理イメージ
設問と必要な改善施策を関連付けて管理が可能
導入の効果2
要点が整理されたレポートで、セキュリティ対策の目標や進捗に対する社内理解が大きく向上
Secure SketCHは設問によるセキュリティ評価機能に加え、レポート出力機能も有しています。社内におけるレポート機能の活用方法や有用だと感じている点を、高野氏に教えていただきました。
高野氏 レポートは月次で出力し、部門長が社内会議で報告する際に活用しています。要点が見やすく整理されていて、社内に説明する上で大変使いやすいと感じています。自社と同じ業界や規模の企業の平均スコアに対して、自社の位置付けを明確に示せますし、前年との比較なども一目瞭然。たとえば「現時点で他社平均を上回っている」「今後はこのスコアを上げていく」など、セキュリティ対策状況の進捗や目標についての社内共有が実に円滑になりました。対策前後の数値の変化について社内報告を求められたときにもスムーズに提出でき、非常に助かっています。
経営層を巻き込んだセキュリティ対策運用イメージ
定量的に同業他社データとの比較ができるレポートの出力が可能
高野氏の主導により社内に浸透しつつある同社のSecure SketCH運用。吉岡氏はその価値について、次のように総括します。
吉岡氏 Secure SketCHの導入で、これまで見えなかった脅威を可視化できるようになり、大変満足しています。とはいえ、新たな脅威が生まれるたびに対策を講じる必要があり、それが終わればまた次の脅威が現れる――いわば「終わりなき戦い」が繰り広げられているのが、このセキュリティの世界です。そのような中、自社のセキュリティ対策の課題を明らかにしてくれるSecure SketCHは、次の一手を考える上で大きな助けになっています。
今後の展望
Secure SketCHの活用を深化させ、すべてのステークホルダーに安心を届けたい
サイバーセキュリティの重要性を早期から認識し、施策をアップデートしてきた同社。これからチャレンジしたいことについて尋ねると、吉岡氏は次のように答えました。
吉岡氏 基本的なことですが、社員のセキュリティ教育を継続的に実施し、より自分たちでリスクを最小限に抑えることが最も効率的なセキュリティ施策だと思います。サイバー攻撃との戦いに終わりはありません。これからも基本と応用の教育を繰り返し行なっていきたいです。そのうえで、お客様をはじめとしたステークホルダーに当社と取引をするうえで安心感を継続して認識いただけるよう、Secure SketCHの活用を当社グループ全体に拡大していくことも、今後検討していきたいです。
最後に両氏は、NRIセキュアテクノロジーズへの期待について次のように語りました。
高野氏 NRIセキュアテクノロジーズのご担当者には非常に丁寧に対応いただいたので、導入初期から運用まで、困るようなことはありませんでした。これからSecure SketCHの導入企業がさらに増えることを期待しています。特に、当社のような化学分野の企業の回答母数が増えると、われわれにとってより精度の高いデータになっていくと思います。
もしかすると他社平均の精度が上がることで自社のスコアが下がって苦しむかもしれませんが、セキュリティに関しては、競合企業とも共同して取り組むべき共通のミッションです。Secure SketCHはまさにそれを象徴するツールだと思います。
吉岡氏 近年の企業活動のデジタル化においてさまざまな仕組みの導入が進むなか、それらの脆弱性を狙った事案も増えるのではないかと心配しています。システムが複雑になるにつれ監視の目が行き届かなくなってしまい、攻撃される隙も増えてしまうでしょう。当社ではすでにMDR(Managed Detection and Response)やSOC(Security Operation Center)サービスを活用していますが、自社だけが十分な対策を行ったとしても、社会全体の脅威は低減されません。他の企業でも活用が広がっていくとよいですね。
複雑化するセキュリティリスクに対して、各企業が都度サービスを選定・調達するのは非常に困難です。NRIセキュアテクノロジーズには、セキュリティ関連のサービスをワンストップで提供する総合力を期待しています。
前列左から高野氏、吉岡氏(日光ケミカルズ様)
後列左から川崎、長谷川、足立(弊社)
※本文中の組織名、職名、概要図は2024年12月時点のものです。