導入の背景
攻めと守りを両立できるセキュリティ評価基準が必要だった
当社の事業が拡大していくなかで、お客様の増加に比例し取り扱う個人情報も増えてきていました。また、大企業のお客様からのご依頼も増えたことで、必然的にこれまで以上のセキュリティ対策が求められていたのです。
エンジニアで構成される開発会社という性質上、従来からITセキュリティ分野の新しい知識をキャッチアップしていく社内の意識は高かったです。ただ、物理的なセキュリティや教育、組織体制といった、その他のセキュリティ分野に関しては、個人によって意識に濃淡があり、ITセキュリティ分野への関心に比べると同一の水準とは言いきれない状況がありました。もちろんルール策定など一定の対策は実施済みだったのですが、それでもインシデントにつながりかねないケースもあり、技術的な施策と合わせて社内教育、組織体制も含めた総合的なセキュリティ対策強化が必要になりました。
また、お客様に大企業が増えたことで、セキュリティチェックシートへの回答や第三者機関の認証が求められることが多くなっていました。セキュリティチェックシートを提出した場合でも、自社評価に基づいた内容になるため不十分と見なされるケースもあり、より客観的な評価が必要になっていました。
対策をはじめるにあたり、まずは社内体制から整えました。セキュリティ対策を担うための「セキュリティ委員会」を社内で新たに立ち上げ、具体的な施策を検討していきました。その際に、セキュリティの専門家であるNRIセキュア様にも立ち上げ・運営支援のコンサルティングをお願いしました。
こうした背景から、セキュリティ委員会で議論を交わす中で目標のひとつとして設定されたのが、個人情報の保護体制に対する第三者認定制度であるPマークの取得です。
Pマークを取得するためのセキュリティ施策は多岐に渡ります。ただ、Pマークに対応するにあたり、開発スピードなどの攻めの姿勢、全社員リモートワークによる場所に縛られない開発環境など、ソニックガーデンならではの強みは損ないたくありませんでした。完璧なセキュリティ対策を求めると開発スピードが落ちる。かといってセキュリティに穴があってはいけない。
リモートワーク体制のまま、これまで以上にセキュリティに配慮しつつ開発スピードは落とさない、いわば攻めと守りを両立できるセキュリティ対策の基準を求めていたのです
導入の決めて
シンプルなセキュリティ評価とNRIセキュアのサポートで導入を決断
そのような背景を踏まえ、数多くあるセキュリティ評価システムから採用したのがNRIセキュア様のSecure SketCHでした。Secure SketCHの機能に関していえば、わかりやすさが大きな選定理由になりました。社内のセキュリティ状況を点数で評価してくれるので「この点数を上げていけばいい」というシンプルさがありますし、提案される課題に対応していくことで点数がアップしていくのは単純に気持ちがよくモチベーションアップにもつながっています。
図1. SecureSketCHによるセキュリティ評価画面(サンプル)。5段階評価や1000点満点評価、偏差値がわかる。
業界内でのセキュリティ対策評価のランキングを見られるのも魅力的でした。他社と比較することでより客観的に自社の状況を評価できますし、ランキングの上位に位置していれば施策に自信を持てます。特筆すべきはこの評価が永続するものではないという点です。
Secure SketCHの設問はNIST CSFや経済産業省サイバーセキュリティ経営ガイドラインなど国内外のガイドラインの内容が反映されています。これら各種ガイドラインの更新や、世界のセキュリティ環境の変化に応じて定期的に設問が見直されるため、高評価達成後も継続的な対策が求められます。そのような意味で高評価を達成するのは簡単ではなく、だからこそ信頼できます。
ちなみに当社はFREEプランからスタートして、後にPREMIUMプランへ移行したのですが、具体的な機能向上も然ることながら、NRIセキュア様のコンサルティングが得られることがPREMIUMプラン移行の決め手でした。Secure SketCHを導入することで自然とセキュリティについての考えが深まります。その際にSecure SketCHから示される課題の捉え方などで判断に迷ったり、より深い議論を行う際にプロのコンサルタントの助言がいただけるというのは非常に大きかったですね。このコンサルティング支援は、現在の非対面が主流となる以前から、ソニックガーデンのカルチャーに合わせてWeb会議やチャットを使って実施いただきました。
図2. Web会議やチャットを用いたサポート(プロフェッショナル支援のご契約が必要)
図3. ソニックガーデン様へのご支援をヒントに開発されたコミュニケーション機能(2021年9月より)
導入の効果
評価だけではない。タスク優先度設定により課題と対策が明確に
Secure SketCHから示された課題に対して、セキュリティ委員会では毎週、対応策を話し合っています。Secure SketCH内で課題ごとに議論や対応フローをメモとして残せるため、タスクとして管理しやすく、PDCAサイクルを回していくうえでも有用でした。また、示される課題は優先順位で並び替えができるので、最も効率の良い順番でセキュリティ対策を進めることができたと感じています。
図4. Secure SketCHの活用におけるセキュリティ対策実行のPDCAサイクル
Secure SketCHは単に設問が示されるだけでなくベストプラクティス(最善策)が提案されるのが、とても役に立ちます。設問の意図や、設問に関する事例などの背景も併記されています。このベストプラクティスがあることで設問への理解が深まるとともに、課題をより本質的に捉えることができます。
またSecure SketCH導入により、リモートワークにおけるセキュリティを改めて見直すきっかけが生まれました。当社は2016年から全社員リモートワークへ移行しており、クラウドサービスをベースにリモート環境を構築していたため、すでに一定のセキュリティは担保されていたのですが、Secure SketCHからのリモートワークに関する設問を前にして、「なぜそのような対応をすべきなのか」「この設問が意味する本当の目的は?」など、さらなるセキュリティ強化につながる深い議論ができました。
図5. 各対策の詳細情報(ベストプラクティス/リスク/関連情報)が提示される。
導入後の組織全体の変化
高まる社内の意識により「セキュリティ委員会」にも影響が!
Secure SketCHの導入にあたり、技術的なセキュリティ対策の強化のみならず社内のセキュリティ意識向上など教育面での効果も期待していました。
そもそも「セキュリティ対策は大変だ」とネガティブに捉えてしまうのが普通です。しかし企業として対応していかなければいけない。そのようなジレンマを抱えるなか、半期に一度Secure SketCHの点数を社内で共有することで、セキュリティ対策に対してポジティブなイメージが高まったと感じています。点数というわかりやすい指標なので、「当初からこれだけ改善した」「セキュリティ委員会の取り組みによって会社としてのセキュリティレベルが向上している」ということを、社内により明確に示すことができるようになりました。
図6. 他社と比較したセキュリティスコアの変化が時系列でわかるタイムライン機能
志願制であるセキュリティ委員会のメンバーがどんどん増えてきているのも、Secure SketCHの導入による具体的な成果の1つだと思います。社内全体でセキュリティ対策に関するモチベーションが上がってきていることを感じますね。
セキュリティ対策に積極的に携わることでセキュリティに関する知識が蓄積され、「納品のない受託開発」でのお客様への提案力も向上しました。社員の多くがエンジニアなので日々研鑽を積み、知識をアップデートしています。
技術に詳しいのは当たり前という状況のなか社内でどうやって自分の強みを見つけていくか、いわばキャラ立ちさせていくかが重要です。セキュリティ委員会へ参加することで「セキュリティ分野に明るい人」という社内でのプレゼンス向上にもつながるため、高いモチベーションでセキュリティ対策に取り組めていますね。
今後の展望
Secure SketCHと"小口化"を組み合わせ、セキュリティの環境変化に対応
セキュリティを取り巻く周りの環境は常に変わり続けているため、現状に固執せず常に対策を更新していくことは必須です。その前提において、Secure SketCHの設問も定期的に更新されていくので、継続的なセキュリティ対策を行っていくうえでとても理にかなっていると思います。また、すでに対応済みの設問であっても定期的に見直し、新たな課題を自ら発見していくことで、さらなるセキュリティ強化につなげていきたいですね。
セキュリティ対策においては壮大な目標を掲げることよりも、日々の積み重ねの継続こそが重要です。当社が大事にしている「小口化」という考え方があります。例えば認定資格の更新や、お客様からの要望があったタイミングなど、外部要因によって数年に一度集中的にセキュリティ対策にリソースを投入するのではなく、自発的に毎週セキュリティ対策の議論を交わし、タスクを細分化したうえでひとつひとつ確実に対応していく。その結果として自然と高水準のセキュリティに達している状態が理想かつ健全だと思っています。このような「小口化」とSecure SketCHはとても相性がいいのです。
Pマークは知名度も高く、取得企業であることで社外へわかりやすくアピールできます。ただ、Pマーク取得はあくまで成果のひとつであり、Secure SketCHにより得られた成果は社内の意識や組織の変化などより広範に渡ります。今後はこれまで行ってきたセキュリティ対策の詳細を具体的に発信していくことで、社外からのさらなる評価や業績向上にも結びつくと考えています。
※本文中の組織名、職名、概要図は2022年2月時点のものです。
