山本氏　最初は別のベンダーが提供しているスポット支援型の診断サービスを使って、必要なセキュリティ対策を洗い出して進めましたが、うまくいきませんでした。

ベンダーに自社環境を説明し、理解してもらうのに手間がかかること、あくまでもスポットのサービスなので継続的なセキュリティ評価ができなかったこと、出てくるのがワンショットな診断結果のみで必要な対策まで見えなかったことなどから、有効に活用できなかったのです。

継続的なセキュリティ評価を、ベンダー任せではなく、自社で回せるようになることが課題でした。

山本氏　Secure SketCH導入の決め手としては、複数あります。例えば

• 自社で必要な時に、複数人でセキュリティ評価を実施でき、自由に評価を更新・確認できること
• 約3700社^※と比較した、自社のセキュリティ対応状況の定量的な評価が簡単に行えること　（※ 2023年4月時点）
• 脅威動向や最新の技術トレンドに合わせて評価項目自体がタイムリーに更新され、古くならないこと
• 自社が実施した対策状況の履歴が、Secure SketCHの画面上に残ること
• ベンダーによるワンショットの診断費用に比べて、導入しやすい金額であったこと

などでした。

まさに「欲しかったものはこれだ」と感じましたね。

加えて、Secure SketCHのコンセプトとして、ベンダーに依存せず、最終的には自社だけでセキュリティ対策を行えるようになることを想定したツールであることにも共感し、採用することに決めました。

山本氏　『評価ツールを導入しただけでは、具体的なアクションに繋がらないのではないか。攻撃や対策のトレンド、他社事例などの情報を広く持っている専門家からのアドバイスが必要ではないか』弊社のセキュリティ推進課の設立当初からそのように考えていました。

『自社で行うべきと考えたセキュリティ対策が、妥当なのかどうか。他社と比較した場合に進んでいるのか、それとも遅れているのか。』こうした点について、セキュリティ専門家からオピニオンをもらったり、自分たちの判断の後ろ盾や拠りどころが必要だと思い、アドバイザリーという形で継続的に支援を頂くことになりました。

山本氏　Secure SketCHでは、いま行うべき対策の概要だけではなく、その対策のベストプラクティスまでしっかり知ることができ、こうした情報を日々まさに参考書的に使っています。

NRIセキュア様のアドバイザリー支援では、毎月よく悩みやモヤモヤを相談しています。弊社の現状を根気よく聞いて頂き、課題をくみ取って適切なアドバイスを提供頂いていると感じています。自分たちでセキュリティ対策を推進する上で、NRIセキュア様からいつも背中を押してもらっていますね。

また結論に至るまでの思考や根拠なども一緒に共有していただけるので、自立・自走する力の形成にも繋がっているのではと感じています。今はセキュリティ対策において「元々当社がやりたかったこと」がしっかりできています。

山本氏　当初は何から、どのような順番で手を付ければ良いのかを思い悩む状態でしたが、Secure SketCHの導入後、「出来ているところ・出来ていないところ」を明確にすることができました。また、優先的に対応すべき項目が分かったことで、対策のロードマップを立てやすくなりました。

セキュリティ対応状況を数値で評価できるようになり、その数値を継続的に追っていくことができるようになったのも大きな成長だと思います。目標値として社内で共有しやすく、理解もしやすい。対策を行うと数値が上がっていきますので、モチベーションの維持・向上にも繋がっています。

山本氏　当社が現在取り組んでいる、BtoC領域の物流に必要なWeb・EC系システムとの連携などについても、最新事例や他社事例をアドバイス頂けるのでありがたいです。課題に応じて、豊富な社内の専門家人材をご紹介頂けるのも、総合セキュリティベンダーであるNRIセキュア様ならではだと思います。セキュリティ専門家としての対応の幅の広さも信頼感に繋がっています。

山本氏　NRIセキュア様とのコミュニケーションの中で、行うべき対策の指針や進むべき方向性の気づきを頂いています。それが、自分たちで調査しアクションを検討するきっかけになっています。こうした自立に向けた支援を今後もお願いしたいです。セキュリティ担当組織として、今後もますます体力をつけていきたいと思っています。