東京エレクトロン様
第三者による高品質なセキュリティ評価で、持続的・高精度なクラウドサービスの利用審査体制を構築
会社名:東京エレクトロン株式会社
ご所属部門: 情報セキュリティ部
ご担当者様:佐々木様(右)・鈴木様(左)
導入の背景
- 第三者によるクラウドサービス審査の品質維持・向上、海外サービスも含む評価対応
- クラウドサービス利用における利用審査(セキュリティ評価)業務の効率化、審査時間の短縮
課題
- 精度の高い情報収集が困難なケースが存在
- 最新ガイドラインへの継続的な適応
- クラウドサービスの利用数拡大に伴う、審査部門の負荷増大
導入の効果
- 第三者評価によるセキュリティチェック対応の標準化
- 最新ガイドラインも網羅した質の高い評価情報取得による、審査品質の維持と工数削減
- 利用部門の工数削減
東京エレクトロンについて
東京エレクトロンは、世界18の国と地域、83拠点にて事業を展開する、半導体製造装置業界のリーディングカンパニーです。2021年に「全社員がデジタル技術を“てこ”にして付加価値向上や効率化などの企業価値創造活動を持続的に推進するグローバルカンパニー」というTEL DX Visionを策定し、DXを推進しています。2023年には、経済産業省が定めるDX認定制度に基づく「DX認定事業者」にも認定され、データやデジタル技術の活用を強化するなか、クラウドサービスの利用も加速しています。
まず、お二人の役割とご経歴について教えてください
佐々木様:
私たちは、東京エレクトロングループ全体の情報セキュリティを統括する情報セキュリティ部に所属しています。私はグループ全体のセキュリティ管理施策を構築・推進しており、業務の一部としてクラウドサービスの利用審査を担当しています。
私自身は当初アプリケーションエンジニアとしてIT業界に従事し、前職では航空系システムの開発運用等を担っておりました。5〜6年前からセキュリティ領域に携わりはじめ、現在に至ります。
私たちは、東京エレクトロングループ全体の情報セキュリティを統括する情報セキュリティ部に所属しています。私はグループ全体のセキュリティ管理施策を構築・推進しており、業務の一部としてクラウドサービスの利用審査を担当しています。
私自身は当初アプリケーションエンジニアとしてIT業界に従事し、前職では航空系システムの開発運用等を担っておりました。5〜6年前からセキュリティ領域に携わりはじめ、現在に至ります。
鈴木様:
私も同じく情報セキュリティ部に所属しており、US拠点のセキュリティ全般を駐在というかたちで担当しています。具体的には、日本で実施しているセキュリティ施策をUS拠点に落とし込む支援を行っており、クラウドサービスの利用においても、日本で定めているルールを、言語や文化の異なるUSに落とし込む対応を行っています。
私は、セキュリティ業界でキャリアをスタートして10年以上になります。アンチウイルス製品のサポートからはじまり、セキュリティコンサルタントを経て、当社に入社しました。
私も同じく情報セキュリティ部に所属しており、US拠点のセキュリティ全般を駐在というかたちで担当しています。具体的には、日本で実施しているセキュリティ施策をUS拠点に落とし込む支援を行っており、クラウドサービスの利用においても、日本で定めているルールを、言語や文化の異なるUSに落とし込む対応を行っています。
私は、セキュリティ業界でキャリアをスタートして10年以上になります。アンチウイルス製品のサポートからはじまり、セキュリティコンサルタントを経て、当社に入社しました。
デジタル化を進めれば進めるほど、安全性確保の負担が積み重なるジレンマ
貴社のDXやデジタル化への取り組み、それに伴うサイバーセキュリティ対策のお考えについてお聞かせください
佐々木様:
昨今、半導体製造装置業界全体で、DX推進の動きは顕著です。そのなかで当社は、デジタル技術をてこにした付加価値向上や効率化を推進しており、事業活動において様々な部分で資本効率を向上させようとしています。こうしたデジタル化を進めるうえで、情報セキュリティの確立は必須であり、”DX”と”情報セキュリティ”の両立は重要であると考えています。
また、AIの活用やDX推進が世界中で加速し半導体ニーズも高まっており、サプライチェーン全体のセキュリティを守っていくうえでも、自社のセキュリティ向上は必要不可欠なものであると捉えています。
鈴木様:
社会全体でサプライチェーン・マネジメント強化の動きも加速していますので、サプライヤーが求める基準に準拠した対応が必要になってきていると言えますね。
別の観点では、当社自体が、赤坂の本社の他、日本国内に複数のグループ会社があり、さらにUS拠点もあるなかで、それぞれ独立した組織・システムとして動いていたものを統一化していく動きがありました。セキュリティに関してはグループで共通化された標準に基づき、安全性を確保しながらDX推進を支援することが主なミッションとなっています。
昨今、半導体製造装置業界全体で、DX推進の動きは顕著です。そのなかで当社は、デジタル技術をてこにした付加価値向上や効率化を推進しており、事業活動において様々な部分で資本効率を向上させようとしています。こうしたデジタル化を進めるうえで、情報セキュリティの確立は必須であり、”DX”と”情報セキュリティ”の両立は重要であると考えています。
また、AIの活用やDX推進が世界中で加速し半導体ニーズも高まっており、サプライチェーン全体のセキュリティを守っていくうえでも、自社のセキュリティ向上は必要不可欠なものであると捉えています。
鈴木様:
社会全体でサプライチェーン・マネジメント強化の動きも加速していますので、サプライヤーが求める基準に準拠した対応が必要になってきていると言えますね。
別の観点では、当社自体が、赤坂の本社の他、日本国内に複数のグループ会社があり、さらにUS拠点もあるなかで、それぞれ独立した組織・システムとして動いていたものを統一化していく動きがありました。セキュリティに関してはグループで共通化された標準に基づき、安全性を確保しながらDX推進を支援することが主なミッションとなっています。
クラウドサービスの利用状況と、セキュリティ評価の実態についてお聞かせください
佐々木様:
デジタル化は部門問わず進められており、その手段のひとつとなるクラウドサービスの利用数も著しく増加しています。もはやクラウドサービスはビジネス上必要不可欠なものとなっており、危ないから使ってはだめ、とは言っていられない時代です。クラウドサービスの利用により他社とのつながりが加速度的に増え続けるなかで、各サービスのリスクを特定し、安全な利用を推進することがより一層求められています。特に最近はニーズの高まりを感じており、年間かなりの数のクラウドサービスを利用審査している状況です。
デジタル化は部門問わず進められており、その手段のひとつとなるクラウドサービスの利用数も著しく増加しています。もはやクラウドサービスはビジネス上必要不可欠なものとなっており、危ないから使ってはだめ、とは言っていられない時代です。クラウドサービスの利用により他社とのつながりが加速度的に増え続けるなかで、各サービスのリスクを特定し、安全な利用を推進することがより一層求められています。特に最近はニーズの高まりを感じており、年間かなりの数のクラウドサービスを利用審査している状況です。
クラウドサービスの利用審査においては、どのような課題をお持ちでしたか
鈴木様:
クラウドサービスの利用においては審査許可制を採用しており、利用部門からIT部門に申請し、確認が完了したクラウドサービスのセキュリティチェックを私たち情報セキュリティ部(以下、審査部門)が担当しています。IT担当者による、投資観点での判断の後、その結果を受け、私たち審査部門で具体的な使用方法、サービス詳細などを丁寧に確認することで審査品質を確保しています。その後、さらにIT部門の上層部に承認がまわっていくため、全部で6〜7ステップのフローが存在しており、すべての承認が完了するまでには、2週間以上かかるケースがほとんどで、場合によっては月単位で時間がかかることもあります。
佐々木様:
プロセスの長さだけでなく、専門性が必要な領域のため審査自体にも時間を要します。審査件数が増え続ける一方で、審査部門の人員は限られているため、担当者一人当たりの負荷が日に日に上がっている状況でした。
また、各ガイドラインの改定への対応にも頭を悩ませていました。特にここ数年、クラウドサービスが社会のスタンダードになるなかで、ガイドラインの改定が発生しています。それらにリアルタイムに対応していくことは非常に負担になっていました。
鈴木様:
セキュリティチェックシートに関しては、利用部門側でクラウドサービス事業者様とやり取りし、回収をしてもらっています。そのため、私たち審査部門だけでなく、利用部門もチェックシートの記入や定期的な棚卸しに時間を要しており、デジタル化を進める度に負担が積み重なっていくというジレンマがありました。
佐々木様:
加えて、利用部門の社員はITやセキュリティの専門知識を必ずしも持っているとは限りません。こちらの聞きたい意図が事業者側に伝わらずに、差し戻しが発生することもあり、利用部門、審査部門、双方の負担になっていました。年々管理すべき対象が増えていくなか、限られた人員で現行のフローを行っていく限界を感じていました。
クラウドサービスの利用においては審査許可制を採用しており、利用部門からIT部門に申請し、確認が完了したクラウドサービスのセキュリティチェックを私たち情報セキュリティ部(以下、審査部門)が担当しています。IT担当者による、投資観点での判断の後、その結果を受け、私たち審査部門で具体的な使用方法、サービス詳細などを丁寧に確認することで審査品質を確保しています。その後、さらにIT部門の上層部に承認がまわっていくため、全部で6〜7ステップのフローが存在しており、すべての承認が完了するまでには、2週間以上かかるケースがほとんどで、場合によっては月単位で時間がかかることもあります。
佐々木様:
プロセスの長さだけでなく、専門性が必要な領域のため審査自体にも時間を要します。審査件数が増え続ける一方で、審査部門の人員は限られているため、担当者一人当たりの負荷が日に日に上がっている状況でした。
また、各ガイドラインの改定への対応にも頭を悩ませていました。特にここ数年、クラウドサービスが社会のスタンダードになるなかで、ガイドラインの改定が発生しています。それらにリアルタイムに対応していくことは非常に負担になっていました。
鈴木様:
セキュリティチェックシートに関しては、利用部門側でクラウドサービス事業者様とやり取りし、回収をしてもらっています。そのため、私たち審査部門だけでなく、利用部門もチェックシートの記入や定期的な棚卸しに時間を要しており、デジタル化を進める度に負担が積み重なっていくというジレンマがありました。
佐々木様:
加えて、利用部門の社員はITやセキュリティの専門知識を必ずしも持っているとは限りません。こちらの聞きたい意図が事業者側に伝わらずに、差し戻しが発生することもあり、利用部門、審査部門、双方の負担になっていました。年々管理すべき対象が増えていくなか、限られた人員で現行のフローを行っていく限界を感じていました。
Assuredの評価品質の高さと客観性に、活用の可能性
そのようななか、Assuredを知っていただいたきっかけと、導入に至った決め手を教えてください
佐々木様:
他社の社内セキュリティ業務に従事している知人から、クラウドサービスのリスク判定に有用なサービスがあると共有を受けたことがきっかけです。ちょうど鈴木が入社したタイミングとも重なり、2人で話を聞いてみようということになりました。
実際に話を聞いてみると、「これは活用できそうだ」という可能性を感じました。
仮に、私たちの業務を外部に、いわゆるコンサルティングのようなかたちでお願いすると非常にコストがかかります。そんななか、Assuredは、第三者観点でサービスのセキュリティ対策状況を評価し、スコアリングするというのは新しい観点だなと思いました。持続的な体制構築においても有用なサービスなのではないかと感じたのが最初の印象です。
他社の社内セキュリティ業務に従事している知人から、クラウドサービスのリスク判定に有用なサービスがあると共有を受けたことがきっかけです。ちょうど鈴木が入社したタイミングとも重なり、2人で話を聞いてみようということになりました。
実際に話を聞いてみると、「これは活用できそうだ」という可能性を感じました。
仮に、私たちの業務を外部に、いわゆるコンサルティングのようなかたちでお願いすると非常にコストがかかります。そんななか、Assuredは、第三者観点でサービスのセキュリティ対策状況を評価し、スコアリングするというのは新しい観点だなと思いました。持続的な体制構築においても有用なサービスなのではないかと感じたのが最初の印象です。
鈴木様:
私も佐々木と同じような感覚を持ちました。もともと、クラウド審査にかかる時間をどうやったら短く出来るかを検討するなかで、収集した情報を分析し、その分析結果を自分たちで判断するのではなく、自動で判断できる仕組みがあればいいなという考えがありました。一方、フリーテキストで回答されるものを自動分析するのはどうしても難しいと悩んでいたタイミングでもあったため、Assuredの話を聞き、Assuredの評価レポートを収集することで、将来的には、判断の自動化の道も切り開けるのではないかと思いました。
私も佐々木と同じような感覚を持ちました。もともと、クラウド審査にかかる時間をどうやったら短く出来るかを検討するなかで、収集した情報を分析し、その分析結果を自分たちで判断するのではなく、自動で判断できる仕組みがあればいいなという考えがありました。一方、フリーテキストで回答されるものを自動分析するのはどうしても難しいと悩んでいたタイミングでもあったため、Assuredの話を聞き、Assuredの評価レポートを収集することで、将来的には、判断の自動化の道も切り開けるのではないかと思いました。
まずPoC(概念実証)を実施いただくことになりましたが、その決め手について教えてください
佐々木様:
評価レポートのサンプルを拝見し、この品質であればAssuredの評価結果を頼ってもいいと思えたのが大きな理由でした。具体的には、評価が点数化されているため、社内で回覧する際にも分かりやすい点、そして、評価コメントに記載されている懸念ポイントも分かりやすい点が挙げられます。これらの評価を踏まえて、利用部門に気をつけて利用してもらうことで、安全性を高めていけると考えました。
鈴木様:
US視点では、英語対応が可能で、海外サービスも審査の対象である点は魅力的でした。特に私たちの業界はニッチな産業でもあるので、利用するサービスの提供元が海外の場合も多々あります。そのため、日本語対応のみだと、先程お伝えしたようなデータ分析の観点でも不十分になってしまいます。そうした懸念もクリアになったことが大きかったです。
評価レポートのサンプルを拝見し、この品質であればAssuredの評価結果を頼ってもいいと思えたのが大きな理由でした。具体的には、評価が点数化されているため、社内で回覧する際にも分かりやすい点、そして、評価コメントに記載されている懸念ポイントも分かりやすい点が挙げられます。これらの評価を踏まえて、利用部門に気をつけて利用してもらうことで、安全性を高めていけると考えました。
鈴木様:
US視点では、英語対応が可能で、海外サービスも審査の対象である点は魅力的でした。特に私たちの業界はニッチな産業でもあるので、利用するサービスの提供元が海外の場合も多々あります。そのため、日本語対応のみだと、先程お伝えしたようなデータ分析の観点でも不十分になってしまいます。そうした懸念もクリアになったことが大きかったです。
PoCで約10サービスのセキュリティ評価を検証いただきましたが、確認したかった点、本導入の決め手になったポイントを教えてください
鈴木様:
当社のセキュリティチェックシートはフリーテキストでの回答形式だったので、フリーテキストでしか拾えないポイントがあったらどうしようかという不安がありました。当社がこれまでフリーテキストで確認してきた観点と、Assuredで得られるアウトプットを分析し、どこまでAssuredでカバーできるかを確認したかったというのがあります。
佐々木様:
実際に、Assuredの評価レポートは、当社が確認したい観点を十分に網羅しており、質が高いと感じられた点、そして、先ほど鈴木からもあったように英語対応が可能である点も実際に確認することができました。そのため、Assuredを活用することで、審査にかかる工数もある程度削減できると同時に、品質の高さを維持できることに期待できると判断し、導入(PoCからの全社展開)を決めました。
鈴木様:
あとは、評価の点数が低いクラウドサービスが存在するという事実が、安心材料の1つになりました。利用部門としては、ビジネス上の目的があって利用申請があがってくるなか、セキュリティの理由だけではどうしても却下しづらく、リスクをどこまで許容すべきかの判断が難しい場面が多くありました。それに対して、Assuredは第三者観点で評価をし、スコアリングをしてくれるので、よりフラットに判断ができるようになったのも良かった点です。
当社のセキュリティチェックシートはフリーテキストでの回答形式だったので、フリーテキストでしか拾えないポイントがあったらどうしようかという不安がありました。当社がこれまでフリーテキストで確認してきた観点と、Assuredで得られるアウトプットを分析し、どこまでAssuredでカバーできるかを確認したかったというのがあります。
佐々木様:
実際に、Assuredの評価レポートは、当社が確認したい観点を十分に網羅しており、質が高いと感じられた点、そして、先ほど鈴木からもあったように英語対応が可能である点も実際に確認することができました。そのため、Assuredを活用することで、審査にかかる工数もある程度削減できると同時に、品質の高さを維持できることに期待できると判断し、導入(PoCからの全社展開)を決めました。
鈴木様:
あとは、評価の点数が低いクラウドサービスが存在するという事実が、安心材料の1つになりました。利用部門としては、ビジネス上の目的があって利用申請があがってくるなか、セキュリティの理由だけではどうしても却下しづらく、リスクをどこまで許容すべきかの判断が難しい場面が多くありました。それに対して、Assuredは第三者観点で評価をし、スコアリングをしてくれるので、よりフラットに判断ができるようになったのも良かった点です。
利用部門を含めての効率化に向けた全社展開。プロセス変更による影響は最小限に
Assuredの導入について、PoCから全社に展開する際に気をつけられたことはございますか
佐々木様:
Assuredは、審査のインプットの一つとして利用しているので、外側から見るとあまり変わっていないかもしれないですね。利用申請の窓口がある社内ポータルへの掲載と、審査対応に携わる関係者に、Assured利用によるセキュリティチェックの運用方法が変わることをアナウンスした程度です。
鈴木様:
利用部門に対しては、クラウドサービス事業者様にセキュリティチェックシートを渡す必要がなくなることを伝えたのみです。利用部門への影響を最小限にするため、申請プロセス自体は大きく変更しないという方針で、すべて私たち審査部門内で吸収できるように進めました。
Assuredは、審査のインプットの一つとして利用しているので、外側から見るとあまり変わっていないかもしれないですね。利用申請の窓口がある社内ポータルへの掲載と、審査対応に携わる関係者に、Assured利用によるセキュリティチェックの運用方法が変わることをアナウンスした程度です。
鈴木様:
利用部門に対しては、クラウドサービス事業者様にセキュリティチェックシートを渡す必要がなくなることを伝えたのみです。利用部門への影響を最小限にするため、申請プロセス自体は大きく変更しないという方針で、すべて私たち審査部門内で吸収できるように進めました。
想定外だった効果があれば教えてください
佐々木様:
あるクラウドサービスで、評価結果が半日で返ってきたのには驚きました。先方の事業者様がAssured上で回答マスタを持っていたため、すぐに回答いただけたのだと想像していますが、今後さまざまな会社でAssuredの利用が進んでいくことで、私たちにとってもありがたい場面が増えてくるのではないかと、このケースから感じることができました。
鈴木様:
想定外というより、当初より期待していた点ではありますが、審査時間を短縮していける可能性を感じられた部分です。第三者認証の取得状況もデータとしていただけて、この基準を満たしているものはこのくらいの点数(Assuredの評価スコア)ですよといった評価の基準を共有いただけることが良かった点だと感じています。これらの情報を蓄積していくことで、判断にかける時間を短縮できる可能性があると感じています。
あるクラウドサービスで、評価結果が半日で返ってきたのには驚きました。先方の事業者様がAssured上で回答マスタを持っていたため、すぐに回答いただけたのだと想像していますが、今後さまざまな会社でAssuredの利用が進んでいくことで、私たちにとってもありがたい場面が増えてくるのではないかと、このケースから感じることができました。
鈴木様:
想定外というより、当初より期待していた点ではありますが、審査時間を短縮していける可能性を感じられた部分です。第三者認証の取得状況もデータとしていただけて、この基準を満たしているものはこのくらいの点数(Assuredの評価スコア)ですよといった評価の基準を共有いただけることが良かった点だと感じています。これらの情報を蓄積していくことで、判断にかける時間を短縮できる可能性があると感じています。
Assuredのサポート体制についてはいかがでしょうか
佐々木様:
いつもレスポンスはやく対応していただけますし、Assuredのサービス自体の話だけではなく、全社展開時の検討事案などには、コンサルティングサービスのご提案を頂けるなど、当社の抱えている課題へ相談にも乗っていただいたり、まずは話を聞いて提案*してもらえるのは助かっています。
*Assuredが提供するコンサルティングサービスなどを指しています
鈴木様:
導入初期(PoC期間)にレポートの見方や各機能の利用方法を説明いただくミーティング、また、これからリリースする新機能の情報共有や利用方法をレクチャーしていただけるのはありがたいです。なかなか自分たちだけでは情報を追うのは難しいので、機能を学ぶ良い機会になっています。
いつもレスポンスはやく対応していただけますし、Assuredのサービス自体の話だけではなく、全社展開時の検討事案などには、コンサルティングサービスのご提案を頂けるなど、当社の抱えている課題へ相談にも乗っていただいたり、まずは話を聞いて提案*してもらえるのは助かっています。
*Assuredが提供するコンサルティングサービスなどを指しています
鈴木様:
導入初期(PoC期間)にレポートの見方や各機能の利用方法を説明いただくミーティング、また、これからリリースする新機能の情報共有や利用方法をレクチャーしていただけるのはありがたいです。なかなか自分たちだけでは情報を追うのは難しいので、機能を学ぶ良い機会になっています。
より多くの企業でAssuredの利用が加速することで、データベースへの情報蓄積、スピード向上に期待
今後のAssuredへの期待や実現されたいことをぜひ教えてください
佐々木様:
Assuredは各クラウドサービスのセキュリティ評価情報をデータベースに集約していく仕組みですので、多くの企業が使えば使うほど、Assuredにナレッジが貯まっていき、それらを私たちも活用できます。品質の高さと同時に、スピード感も高まっていくことに期待しています。
鈴木様:
実現したいこととしては、一定数のデータが集まったタイミングで、セキュリティ分析できるようにしておくことです。当社内でどのようなカテゴリのクラウドサービスを良く利用していて、それに対してどのくらいの点数がついていて、その点数に対して私たちがどのような判断をしたか、ということが分析できれば、審査時間の短縮につながると思っています。そのため、御社にお願いする部分もあれど、私たちの方で改善できることもあると思いますので、双方のアプローチで、クラウド審査のプロセスを改善していければと考えています。
Assuredは各クラウドサービスのセキュリティ評価情報をデータベースに集約していく仕組みですので、多くの企業が使えば使うほど、Assuredにナレッジが貯まっていき、それらを私たちも活用できます。品質の高さと同時に、スピード感も高まっていくことに期待しています。
鈴木様:
実現したいこととしては、一定数のデータが集まったタイミングで、セキュリティ分析できるようにしておくことです。当社内でどのようなカテゴリのクラウドサービスを良く利用していて、それに対してどのくらいの点数がついていて、その点数に対して私たちがどのような判断をしたか、ということが分析できれば、審査時間の短縮につながると思っています。そのため、御社にお願いする部分もあれど、私たちの方で改善できることもあると思いますので、双方のアプローチで、クラウド審査のプロセスを改善していければと考えています。
Assuredをどのような会社に勧めたいですか
佐々木様:
やはり私たちのような事業会社におすすめしたいサービスです。会社によってはセキュリティに特化した部署がない場合もありますし、このクラウドサービスを使ってよいかどうか、悩まれている方は多いと思います。そういった会社がAssuredの第三者視点での評価情報を得ることで、判断の一つとして活用されるのがいいのではないかと思います。
鈴木様:
現状、Assuredのようなサービスを提供しているところは他にないと認識しています。きっと、私たちと同じ課題感をもっている企業様にはどこにでもささると思いますし、ぜひおすすめしたいと思いますね。
やはり私たちのような事業会社におすすめしたいサービスです。会社によってはセキュリティに特化した部署がない場合もありますし、このクラウドサービスを使ってよいかどうか、悩まれている方は多いと思います。そういった会社がAssuredの第三者視点での評価情報を得ることで、判断の一つとして活用されるのがいいのではないかと思います。
鈴木様:
現状、Assuredのようなサービスを提供しているところは他にないと認識しています。きっと、私たちと同じ課題感をもっている企業様にはどこにでもささると思いますし、ぜひおすすめしたいと思いますね。
そのようにご期待いただき大変光栄です。引き続き、貴社の安心・安全なクラウド活用をご支援できるようサービス向上に努めてまいります
関連記事
CONTACT
資料請求・お問い合わせはこちら
商談やサービス利用のご相談はこちら
サービス概要資料はこちら