EN

株式会社ソニックガーデン 様

導入事例

株式会社ソニックガーデン_001

攻めと守りを両立できるセキュリティ評価基準と仕組みで強みの開発スピードを落とさずセキュリティを総合的に強化

「納品のない受託開発」というユニークなビジネスモデルを採用し、ソフトウェア開発やシステム改善など、企画から運用までワンストップでサービスを提供する株式会社ソニックガーデン。事業拡大に伴いセキュリティ強化が課題となっていました。

高度なセキュリティを確立しつつ、強みの開発スピードを維持したい。

両立困難な課題の解決をサポートしたのが「Secure SketCH(セキュアスケッチ)」です。自社のセキュリティ対策を客観的に見直し、実行すべきタスクと目標を明確にすることで、開発に影響を与えない効率的なセキュリティ強化を可能にしました。技術面のみならず、組織体制の変革や社内セキュリティ意識の向上など、総合的なセキュリティレベル向上に成功しました。

 

POINT

ここがポイント

点数評価とタスク優先度設定で開発スピードを落とさず効率的なセキュリティ強化を実現

セキュリティに対して組織内でポジティブな変化が生まれた

Secure SketCHを活用し高水準のセキュリティを維持できる体制と仕組みを構築

導入の背景攻めと守りを両立できるセキュリティ評価基準が必要だった

 当社の事業が拡大していくなかで、お客様の増加に比例し取り扱う個人情報も増えてきていました。また、大企業のお客様からのご依頼も増えたことで、必然的にこれまで以上のセキュリティ対策が求められていたのです。

 エンジニアで構成される開発会社という性質上、従来からITセキュリティ分野の新しい知識をキャッチアップしていく社内の意識は高かったです。ただ、物理的なセキュリティや教育、組織体制といった、その他のセキュリティ分野に関しては、個人によって意識に濃淡があり、ITセキュリティ分野への関心に比べると同一の水準とは言いきれない状況がありました。もちろんルール策定など一定の対策は実施済みだったのですが、それでもインシデントにつながりかねないケースもあり、技術的な施策と合わせて社内教育、組織体制も含めた総合的なセキュリティ対策強化が必要になりました。

株式会社ソニックガーデン_002

取締役執行役員

安達 輝雄氏

 また、お客様に大企業が増えたことで、セキュリティチェックシートへの回答や第三者機関の認証が求められることが多くなっていました。セキュリティチェックシートを提出した場合でも、自社評価に基づいた内容になるため不十分と見なされるケースもあり、より客観的な評価が必要になっていました

 対策をはじめるにあたり、まずは社内体制から整えました。セキュリティ対策を担うための「セキュリティ委員会」を社内で新たに立ち上げ、具体的な施策を検討していきました。その際に、セキュリティの専門家であるNRIセキュア様にも立ち上げ・運営支援のコンサルティングをお願いしました。 

 こうした背景から、セキュリティ委員会で議論を交わす中で目標のひとつとして設定されたのが、個人情報の保護体制に対する第三者認定制度であるPマークの取得です。

株式会社ソニックガーデン_003

Programmer/顧問CTO

栩平 智行氏

 Pマークを取得するためのセキュリティ施策は多岐に渡ります。ただ、Pマークに対応するにあたり、開発スピードなどの攻めの姿勢、全社員リモートワークによる場所に縛られない開発環境など、ソニックガーデンならではの強みは損ないたくありませんでした。完璧なセキュリティ対策を求めると開発スピードが落ちる。かといってセキュリティに穴があってはいけない。

 リモートワーク体制のまま、これまで以上にセキュリティに配慮しつつ開発スピードは落とさない、いわば攻めと守りを両立できるセキュリティ対策の基準を求めていたのです。 

株式会社ソニックガーデン_004

Programmer/顧問CTO

坂川 雅俊氏

導入の決めてシンプルなセキュリティ評価とNRIセキュアのサポートで導入を決断

 そのような背景を踏まえ、数多くあるセキュリティ評価システムから採用したのがNRIセキュア様のSecure SketCHでした。Secure SketCHの機能に関していえば、わかりやすさが大きな選定理由になりました。社内のセキュリティ状況を点数で評価してくれるので「この点数を上げていけばいい」というシンプルさがありますし、提案される課題に対応していくことで点数がアップしていくのは単純に気持ちがよくモチベーションアップにもつながっています

株式会社ソニックガーデン_005図. Secure SketCHによるセキュリティ評価画面(サンプル)。5段階評価や1000点満点評価、偏差値がわかる。

 

 業界内でのセキュリティ対策評価のランキングを見られるのも魅力的でした。他社と比較することでより客観的に自社の状況を評価できますし、ランキングの上位に位置していれば施策に自信を持てます。特筆すべきはこの評価が永続するものではないという点です。

 Secure SketCHの設問はNIST CSFや経済産業省サイバーセキュリティ経営ガイドラインなど国内外のガイドラインの内容が反映されています。これら各種ガイドラインの更新や、世界のセキュリティ環境の変化に応じて定期的に設問が見直されるため、高評価達成後も継続的な対策が求められます。そのような意味で高評価を達成するのは簡単ではなく、だからこそ信頼できます。

 ちなみに当社はFREEプランからスタートして、後にPREMIUMプランへ移行したのですが、具体的な機能向上も然ることながら、NRIセキュア様のコンサルティングが得られることがPREMIUMプラン移行の決め手でした。Secure SketCHを導入することで自然とセキュリティについての考えが深まります。その際にSecure SketCHから示される課題の捉え方などで判断に迷ったり、より深い議論を行う際にプロのコンサルタントの助言がいただけるというのは非常に大きかったですね。このコンサルティング支援は、現在の非対面が主流となる以前から、ソニックガーデンのカルチャーに合わせてWeb会議やチャットを使って実施いただきました。

株式会社ソニックガーデン_010図. Web会議やチャットを用いたサポート(プロフェッショナル支援のご契約が必要)

 

株式会社ソニックガーデン_006

図. ソニックガーデン様へのご支援をヒントに開発されたコミュニケーション機能(2021年9月より)

導入の効果評価だけではない。タスク優先度設定により課題と対策が明確に

 Secure SketCHから示された課題に対して、セキュリティ委員会では毎週、対応策を話し合っています。Secure SketCH内で課題ごとに議論や対応フローをメモとして残せるため、タスクとして管理しやすく、PDCAサイクルを回していくうえでも有用でした。また、示される課題は優先順位で並び替えができるので、最も効率の良い順番でセキュリティ対策を進めることができたと感じています。

株式会社ソニックガーデン_008図. Secure SketCHの活用におけるセキュリティ対策実行のPDCAサイクル 

 

 Secure SketCHは単に設問が示されるだけでなくベストプラクティス(最善策)が提案されるのが、とても役に立ちます。設問の意図や、設問に関する事例などの背景も併記されています。このベストプラクティスがあることで設問への理解が深まるとともに、課題をより本質的に捉えることができます。

 またSecure SketCH導入により、リモートワークにおけるセキュリティを改めて見直すきっかけが生まれました。当社は2016年から全社員リモートワークへ移行しており、クラウドサービスをベースにリモート環境を構築していたため、すでに一定のセキュリティは担保されていたのですが、Secure SketCHからのリモートワークに関する設問を前にして、「なぜそのような対応をすべきなのか」「この設問が意味する本当の目的は?」など、さらなるセキュリティ強化につながる深い議論ができました。

株式会社ソニックガーデン_007

図. 各対策の詳細情報(ベストプラクティス/リスク/関連情報)が提示される。

導入後の組織全体の変化高まる社内の意識により「セキュリティ委員会」にも影響が!

 Secure SketCHの導入にあたり、技術的なセキュリティ対策の強化のみならず社内のセキュリティ意識向上など教育面での効果も期待していました。

 そもそも「セキュリティ対策は大変だ」とネガティブに捉えてしまうのが普通です。しかし企業として対応していかなければいけない。そのようなジレンマを抱えるなか、半期に一度    Secure SketCHの点数を社内で共有することで、セキュリティ対策に対してポジティブなイメージが高まったと感じています。点数というわかりやすい指標なので、「当初からこれだけ改善した」「セキュリティ委員会の取り組みによって会社としてのセキュリティレベルが向上している」ということを、社内により明確に示すことができるようになりました。

株式会社ソニックガーデン_009図. 他社と比較したセキュリティスコアの変化が時系列でわかるタイムライン機能

 

 志願制であるセキュリティ委員会のメンバーがどんどん増えてきているのも、Secure SketCHの導入による具体的な成果の1つだと思います。社内全体でセキュリティ対策に関するモチベーションが上がってきていることを感じますね。

 セキュリティ対策に積極的に携わることでセキュリティに関する知識が蓄積され、「納品のない受託開発」でのお客様への提案力も向上しました。社員の多くがエンジニア なので日々研鑽を積み、知識をアップデートしています。

 技術に詳しいのは当たり前という状況のなか社内でどうやって自分の強みを見つけていくか、いわばキャラ立ちさせていくかが重要です。セキュリティ委員会へ参加することで「セキュリティ分野に明るい人」という社内でのプレゼンス向上にもつながるため、高いモチベーションでセキュリティ対策に取り組めていますね。

今後の展望Secure SketCHと"小口化"を組み合わせ、セキュリティの環境変化に対応

 セキュリティを取り巻く周りの環境は常に変わり続けているため、現状に固執せず常に対策を更新していくことは必須です。その前提において、Secure SketCHの設問も定期的に更新されていくので、継続的なセキュリティ対策を行っていくうえでとても理にかなっていると思います。また、すでに対応済みの設問であっても定期的に見直し、新たな課題を自ら発見していくことで、さらなるセキュリティ強化につなげていきたいですね。

 セキュリティ対策においては壮大な目標を掲げることよりも、日々の積み重ねの継続こそが重要です。当社が大事にしている「小口化」という考え方があります。例えば認定資格の更新や、お客様からの要望があったタイミングなど、外部要因によって数年に一度集中的にセキュリティ対策にリソースを投入するのではなく、自発的に毎週セキュリティ対策の議論を交わし、タスクを細分化したうえでひとつひとつ確実に対応していく。その結果として自然と高水準のセキュリティに達している状態が理想かつ健全だと思っています。このような「小口化」とSecure SketCHはとても相性がいいのです。

 Pマークは知名度も高く、取得企業であることで社外へわかりやすくアピールできます。ただ、Pマーク取得はあくまで成果のひとつであり、Secure SketCHにより得られた成果は社内の意識や組織の変化などより広範に渡ります。今後はこれまで行ってきたセキュリティ対策の詳細を具体的に発信していくことで、社外からのさらなる評価や業績向上にも結びつくと考えています。

 株式会社ソニックガーデン 倉貫社長のメッセージ

Secure SketCHの導入は、弊社の事業が順調に成長していく上で欠かすことのできない要素でした。導入以前は、セキュリティに関して自分たちなりに真摯に取り組んでいたものの、安心できる指標や改善していくための指針がなく不安はありました。

導入にはNRIセキュア様のサポートがあったことで、私たちの特徴である開発のスピード感や、自由な気風を損なうことなく、確実に安心できる体制を作ることができて感謝しています。

経営と現場が一体となって取り組むことのできる委員会の体制を作れたことも大きな成果です。

Secure SketCH導入以前と以後では、弊社のセキュリティに関する取り組みは大きく変わりました。今は経営者として、非常に安心できる状態になっています。

引き続き、よろしくお願いします。

株式会社ソニックガーデン_013

代表取締役 社長
倉貫 義人

導入いただいた製品資料はこちら

新規CTA

お問い合わせ

会社概要

株式会社ソニックガーデン

お客さまのビジネスの成長をソフトウェアで支える「納品のない受託開発」を提供する株式会社ソニックガーデン。新規事業の成長や社内業務の効率化を要件定義不要の月額定額制システム開発で実現します。

※本文中の組織名、職名、概要図は2022年2月時点のものです。

サービス・製品の詳細についてはこちら

資料ダウンロード
お問い合わせ