導入の背景
グループ横断での客観的・継続的な評価を求めてNIST CSFを採用
グループデジタルソリューションセンター
ネットワーク・ITセキュリティチーム 課長 飯原 亮央氏
ポーラ・オルビスホールディングスは、グループ横断の情報セキュリティ委員会を発足し、専任チームを設立したことで、グループ内でのセキュリティ強化施策を実施できる体制を整備しました。一方で、効果的な施策を推進するための基盤となるグループ各社の現状把握に課題がありました。
グループデジタルソリューションセンターネットワーク・ITセキュリティチーム課長の飯原亮央氏は、当時の状況について次のように振り返ります。
NIST CSFの採用プロセスについては、同社の組織文化が大きく影響しています。
選定のポイント
なぜSecure SketCHだったのか。NIST CSF準拠と他社比較の両立が決め手に
2023年7月にツール選定を開始した際、同社が重視したのは運用面での実用性と、客観的かつ継続的な評価の実現でした。 飯原氏は選定の決め手について詳しく説明します。
そこでNRIセキュアは、統計データを用いて他社と比較ができるSecure SketCHの強みを活かし、Secure SketCHの1000満点中のスコアとNIST CSFの評価値(Tier1~4)を同時に算出できる評価支援を提案しました。
図. Secure SketCHの評価とNIST CSF 2.0の評価を一度に実現する評価支援を提案
このNRIセキュアの提案がなぜ決め手となったのか。ネットワーク・ITセキュリティチームの山本佑美氏が補足します。
グループデジタルソリューションセンター
ネットワーク・ITセキュリティチーム 山本 佑美氏
NIST CSF 2.0専用設問をグループ22社に展開。伴走支援と運用の工夫
導入決定後、NRIセキュアからは技術面だけでなく、運用面での柔軟な支援体制も提案されました。
こうして評価基盤と運用体制を整え、同社は段階的なアプローチで評価を展開。2023年にグループ内2社を対象に実施して課題を検証し、2024年のNIST CSF 2.0更新対応を経て、グループ22社全体に展開されることとなりました。
導入の効果1
NIST CSF 2.0に対応した包括的な評価でグループ課題の全貌が明らかに
グループ22社への包括的な評価プロジェクトにより、これまで見えなかった組織全体の状況が明らかになりました。
飯原氏は評価結果から得られた具体的な気づきについて語ります。
図. グループ全体の評価結果を算出(Sample、数値はイメージ)
この成果は、グループ各社の意識と行動に変化をもたらしたようです。
導入の効果2
NIST CSF 2.0 Tier値とSecure SketCHスコアの併用で経営層への説明力が飛躍的に向上
今回の取り組みで最も画期的だったのは、NIST CSF 2.0のTier値とSecure SketCHのスコアを同時に出力する仕組みの構築です。この併用アプローチが、特に経営層への報告において大きな効果を発揮しています。
導入の効果3
工夫された運用と機能の有効活用で、海外拠点への展開もセルフで対応が可能に
また運用面でも、システムの特性を活かした効率的な管理が実現しています。
図. 各社の設問に対する回答進捗状況を、Secure SketCH上で確認・管理などできる
海外拠点での運用については、特有の困難もありましたが、工夫することで対応しています。
今後の展望
「共通課題→個別課題」へ段階的アプローチによりセキュリティ対策強化を効率的に実現
今後のセキュリティ成熟度向上に向けて、同社はどのような戦略を描いているのでしょうか。飯原氏は段階的なアプローチについて次のように説明します。
Secure SketCHへの期待と、同様の課題を抱える企業へのメッセージ
飯原氏には、Secure SketCHの現在の運用における課題と、今後の期待も語っていただきました。
山本氏からは、同じような課題を抱える企業に向けて、経験に基づくアドバイスをいただきました。
前列左から飯原氏、山本氏(ポーラ・オルビスホールディングス様)
後列左から川崎、薮内、宮田(弊社)
※本文中の組織名、職名、概要図は2025年6月時点のものです。
