日本生活協同組合連合会様
セキュリティ評価対応工数を半分以下に削減。客観性、継続性をもった対応により安心・安全なクラウドサービス利用を促進

会社名:日本生活協同組合連合会

ご所属部門: 事業企画・デジタル推進本部 システム企画部

ご担当者様:本池 正人 様

導入の背景
  • クラウドサービス利用におけるセキュリティ評価精度の向上
  • 限られた人員のなかでの対応工数削減と、継続性の維持
課題
  • コロナ禍以降クラウドサービス利用が急増。セキュリティ評価対応工数が逼迫
    • 1サービスあたり2日かけて対応
  • 自社独自のセキュリティチェックシートによる評価の客観性に懸念
  • 属人化により安定的な評価の継続性に不安
導入の効果
  • セキュリティ評価にかかる時間を半分以下に削減
    • 1サービスあたり2〜3時間に短縮
  • 第三者による客観的な評価で、判断に自信が持てるように
    • 利用部門への説明も明快に
日本生活協同組合連合会について
日本生活協同組合連合会(日本生協連)は、1951年3月に設立された各地の生協や生協連合会が加入する全国連合会です。加入生協は306、組合員は3054万人にのぼります。
2030年に向けたビジョンに「生涯にわたる心ゆたかなくらし」を掲げるなかで、情報通信技術(ICT)による事業・活動でのデジタル変革(DX)を推進しています。2021年2月には「DX-CO・OPプロジェクト」を本格始動させ、生協のDXを目指しています。

まずはじめに、本池様のご経歴、現在のお役割についてお聞かせください。

私は主にセキュリティの企画を担っており、課題の特定から、製品選定、規程・ガイドライン等の企画、予算確保など幅広く携わっています。
セキュリティにおける実務は子会社のコープ情報システム、企画は私が所属する本部という役割分担となっていますが、実際には私自身も実務を担っている状況です。
今年度から情報システム子会社のコープ情報システム(株)にセキュリティ推進室という新たな組織が新設され、より強固なセキュリティ体制が出来つつあります。

私の経歴としては、新卒で大手SIerにSEとして入社し、10数年勤務した後、外資メーカーを経て、2009年にコープ情報システムに入社、現在は日本生協連に出向しているかたちで、今年で入社15年目になります。
SE時代は、旅行会社、官公庁、金融機関等のインフラ周りの設計を担っており、ERPの導入コンサルなども担っていました。
コープ情報システム入社後は、社内業務の標準化、PMO、サポートデスクマネージャー等を務め、2010年代半ばには日本生協連の通販事業の基幹システムを分割する大型PJのPMを担うなど、幅広く携わってきました。その後、全社としてセキュリティ強化に動き出す2017年からセキュリティ担当となりました。例えば、Office 365の導入プロジェクトにセキュリティ面で携わるなかで全体管理者を担うようになり、日々アップデートのあるクラウドサービスにおける仕組みづくりや、情報漏えいを防ぐためのセキュリティ課題と向き合ってきました。

3054万人の組合員の個人情報を守るため、セキュリティは経営における重要事項

2017年頃からセキュリティ強化の動きがあったとのことですが、どのようなきっかけがあったのでしょうか?

当会の中核を担う通販事業は、エンドユーザーの方々の大切な個人情報を多く預かっており、これらの情報の漏えいは絶対に避けなくてはならない重要なリスクです。
また、社会全体の傾向としても、個人情報保護法の改正により規制が強化されるなかで、それらの対応が求められるようになった背景もあります。

また組織としても、各事業の本部長が情報セキュリティ責任者となり、配下の部長は情報管理者を担う体制としました。それぞれの役割を担う者はトレーニングを受けており、組織的な実行力を高めています。

直近では、委託先を含めたサプライチェーン全体のセキュリティ対策状況をしっかり点検していく必要性についても、経営層の意識が変わり、体制を強化しています。セキュリティ推進室という専門組織を立ち上げたのも、実行力をより引き上げていくという経営としての意思表示といえます。

経営の強い意志としてセキュリティ強化をされる貴会のなかで、クラウドサービスにおけるセキュリティ対策はどのような位置付けとなっているのでしょうか?

個人情報を取り扱うクラウドサービスも多く利用しており、万が一情報漏えいが発生した場合の損害は非常に大きいため、プライオリティは高いです。

世の中では毎日のように情報漏えい事故が起きており、様々な会社と情報交換しているなかでも、ヒヤリハット事例をよく耳にします。そのため危機意識は常に持っており、私たちから経営に呼びかけ、意識を変えてもらう取り組みもしてきました。

利用が急拡大するクラウドサービスのセキュリティ評価対応。工数負荷、客観性、継続性に課題を抱える

クラウドサービスのセキュリティ評価は具体的にどのような体制で取り組まれていたのでしょうか?

クラウドサービスの利用自体がコロナ禍も後押しして急増した2020年から、まずは利用規定のβ版というかたちで利用申請をもらうようになりました。その後正式には2022年から運用を開始していますが、クラウドサービスの利用数は2020年〜2022年で3倍以上に拡大し、対応に追われています。

具体的には、総務省のガイドラインを参考にしながら独自のセキュリティチェックシートを作成し、私ともう1名の2名でセキュリティ評価を実施していく体制をつくりました。

新たな規定を浸透させていくにあたっては、規定内容を説明する学習資料を作成し、特に本部長、部長陣が務める情報セキュリティ責任者、管理者には自組織のメンバーへの学習会を依頼するなど、働きかけていきました。

そのなかでどのような課題がありましたか?

まず1つ目に、クラウドサービス事業者から、セキュリティ上の問題で公開していないと回答を断られるなど十分な情報を得られないことがあり、公開情報だけで判断せざるを得ない場合は評価対応が難航する場合もありました。

2つ目には、独自で作成したチェックシートでの評価となるため、客観的な評価が困難で、判断に自信が持てなかったことも挙げられます。

3つ目には、評価にかける工数・時間が大きな負担となっていました。サービス名、目的、導入により期待できる効果、重要情報の取り扱い有無、利用開始希望日などを記載した申請用紙を利用部門から提出してもらい、その情報をもとに調査をしていくのですが、1サービスあたり最低でも5〜6時間、約1日がかりで対応していました。さらに、我々が作成したチェックシートへの回答内容に評価を入れていく対応まで含めると2日程度かかっており、利用部門からも早くしてほしいと急かされながら、なんとか対応するといった状況でした。

また、2人のみの体制のため、対応が属人化しており、もし私たち2人が異動などでいなくなってしまえば、安定的な評価を継続できなくなってしまうという懸念もありました。


Assuredの専門家による明確な評価コメント、最新のセキュリティ情報が取得可能な仕組みを評価

そんななか、どのような経緯でAssuredのご導入を決定いただけたのでしょうか?

2021年2月頃にFacebookでAssuredについて見かけて問い合わせをし、代表の大森さんとお話ししたのが最初のきっかけです。当時はまだ正式リリース前で、β版の利用を提案してもらいましたが、たまたまセキュリティ評価の必要なサービスがなかったため導入は見送っていました。そうこうして時間が過ぎ、先程もお話したようにクラウドサービスの利用が拡大し、私たちの工数も逼迫してきたところで、再度検討し始めたのが2022年度でした。

最終的にAssuredの導入を決定した理由は、Assuredのセキュリティチェックシートでは項目ごとに設問の意図が記載されていて、回答者にとっても分かりやすいと感じたためです。
また、総合評価として点数化されているとともに、専門家による所感コメントで評価の根拠が明確になっている点を魅力に感じました。
加えて、一度評価して終わりではなく、日々変化するクラウドサービスの最新情報が更新される点も評価できました。

当時Assured同様のサービスはなかったので、比較検討した他サービスはあまりないですが、唯一挙げるとすれば、CASBでクラウドサービスの評価を行うことができましたが、調査項目も少なく、設問内容の粒度も大きいことから簡易的な評価しか出来ないと判断しました。また、点数評価だけのため、具体的にどのようなリスクが存在しているのかも分かりにくく、最終的にはAssuredの利用を決めました。

対応工数を半分以下に削減。利用部門とのコミュニケーションにもAssured評価レポートを活用

Assuredを活用いただくことで、どのような効果が得られましたか?

Assuredの調査結果を元に利用可否の判断をしていくことで、これまでセキュリティ評価にかけてきた工数は半分以下に削減できています。1サービスあたり1〜2日がかりで対応してきたものが、2〜3時間で完了するようになりました

また、第三者による客観的な評価を得られるため、判断に自信が持てるようになりました。
利用申請に対して、利用可と返す際に、利用時の注意点や利用条件を必ず掲示するようにしており、毎回適切な条件を検討するのに苦労してきましたが、Assuredの所感コメントが非常に参考になるため助かっています。Assuredの評価レポートは利用部門にも共有しているのですが、専門知識がなくてもわかりやすく記載されているため、「安心しました」とコメントをもらったこともあります。
一方利用不可とする場合も、Assuredによる第三者評価に基づいた判断であることが示せるからこそ、利用部門に対しても説明がしやすく、納得してもらいやすい面もあると思います。例えば、個人情報を預託するサービスで、海外からのアクセスが可能だったことがあり、その際は利用不可としました。こうした理由も客観的な評価として伝えられる点はありがたいなと感じています。

今後のAssuredへのご期待や、解決していきたい課題等あれば教えてください。

サービス台帳機能については今後活用していきたいと考えています。
背景としては、これまで社内で利用しているクラウドサービスを一元管理できていなかったため、棚卸しを実施したのですが、これが非常に苦労しまして。現状だと、Assuredの入力項目に合わせて反映していくのがハードルになっており、より簡単に活用できるような機能開発に期待しています。
こうした棚卸しも含めて、クラウドサービスの管理の精度を上げ見える化していくと同時に、現在のセキュリティ評価についても私の裁量で行ってしまっている部分がありますので、より標準化された運用体制を構築していきたいと思います。

Assuredをどのような企業におすすめしたいと思われますか?

他社のセキュリティ担当の方と情報交換をする機会もよくあるのですが、やはり皆さん同じような課題を抱えており、クラウドサービスを利用しなければスピーディーに業務を進められないことから、いかに安全性を確保したうえで利用推進していくかを悩まれています。そのためのセキュリティ評価対応や体制構築に課題をもつ方々には皆さんにぜひおすすめしたいですね。

そのようにおっしゃっていただき大変光栄です。今後も貴会の安心安全なクラウド活用を支えていけるよう、サービス向上に努めてまいります。この度はインタビューのお時間をいただき誠にありがとうございました。

関連記事

CONTACT

資料請求・お問い合わせはこちら

商談やサービス利用のご相談はこちら
サービス概要資料はこちら