クラウドの利便性と安全性を両立させた、セキュアなグループ事業運用体制へのチャレンジ

黒澤様：
私は管理・情報セキュリティチームと、グループ基盤企画チームという2チームを課長職という立場で担当しています。 セキュリティ領域でいうと、小田急電鉄だけでなく小田急グループ全体のセキュリティを見ていかなければならないのですが、昔に比べクラウドサービスの利用が非常に増えてきている一方、グループ会社は人材が豊富に居るわけでも、潤沢な資金があるわけでもありません。ですが、ある一定のレベルを保たなければ小田急電鉄のブランド価値を損なう可能性がありますので、そこをどうやって費用対効果を最大限高めて守っていくのか？がセキュリティ領域における課長職のミッションです。

また我々はデータセンターを自社で所有していますが、今はゼロトラストなどと言われるように、クラウドを中心にネットワークを組んでシステム構成するということが流行りみたいな部分もあるため、その方向にシフトしていく、というのが課題になっています。

上村様：
私は情報セキュリティチームの課長代理として、チームマネジメントの立場を担っています。私のキャリアとしては、もともとITを専門としていたのではなく、鉄道のメンテナンスや安全管理部門に入社以来約１５年従事していました。その後IT部門に異動というキャリアです。鉄道というものは人の命を預かる仕事ですので、現場では、安全・安心が何よりも重んじられます。鉄道事業は長い歴史があり、かつ物理的に人やモノを運ぶためアナログなことも多いレガシーな業界です。一方で、先ほど黒澤が言ったように今の時代においてデジタルを活用することはどの事業分野においても不可欠であり、実際にクラウドサービスに限らずITの利活用 は非常に増えてきています。ITの利便性とセキュリティの両立のため、両方の立場を知る自分が繋ぎ役として実現していけたらと思っています。

宍戸様：
私は現在セキュリティの専任担当として、自社及びグループ会社のセキュリティレベルの向上をミッションに、社員教育などを行っています。その延長線上で、サービス導入時にセキュリティの質問を受けることも多く、回答やアドバイスなども日々の仕事の一部です。
クラウドシフトによる業務生産性の向上、事業進化などが推進されていく中で、どのようにスピードを落とさず、セキュリティの担保を実現するのか、ということが一番の悩みポイントでした。あくまでも導入を阻止したいわけではなく、推進したい気持ちと、リスクを最小限にするための自身の役割との間で葛藤することも多々あります。
とはいえ、実際に相談される数が年々増えていく中で、一人で利用部門からの相談に全て質高く対応することに限界を感じていました。
合わせて、属人的な判断になってしまっている実情に不安を感じることもあります。勉強会などには積極的に参加し知識のアップデートの努力はしつつも、再現性のある体制へのシフトは必至だと思っていました。

ちなみに、そんな勉強会でAssuredの存在を知りました。笑
めちゃくちゃいいじゃん！と思い、すぐに上村に導入相談をしたのを覚えています。

黒澤様：
Assured導入前は、自分たちでExcelを活用したチェックシートを作っていました。利用したい部門にチェックシートの内容をベンダー企業様に確認いただいており、その回答内容を宍戸が確認し、回答内容が不明な場合は、追加でベンダー企業様への確認をお願いする、というようなやり方です。ただ、全社が利用しているクラウドサービスに対して、この方法では工数がかかりすぎる課題がありました。また、利用部門の負担も考えた結果、チェックシートは必要最低限の項目数に抑えることも必要で、本来求めたいレベルまでのチェックができていないことも課題でした。
簡素化したチェックシートであっても、我々と現場、現場とベンダー企業様とのやりとりが往復することでチェック自体に時間がかかります。そこを一気に解決してくれるサービスがAssuredでした。

黒澤様：
前述の通り、Excelでのチェックシートの運用は、非常に負荷がかかり、サービス導入までの時間もかかってしまいます。それに対しAssuredは、評価自体を質高く代行してくれるので、現場からは利用申請だけしてもらえれば完結します。課題解決に直結していたのでAssuredの導入を決めました。
「現場のサービス導入のスピードを落としてしまっている」「主業務以外の事に工数をかけさせてしまっている」という状況が大きく改善したので、今後は、原則クラウド利用時には申請をしてもらうような仕組みにしていき、会社としての安全性の担保とIT利活用による進化をさらに高度なものにできるのではないかと考えています。

また、Assuredは評価結果が点数として数値化されます。そのため誰が見てもわかりやすく、仮に複数プロダクトで導入を悩んでいる利用部門がいた場合に、事前にセキュリティ観点からどのサービスの安全性が高いかなどの導入アドバイスを、共通言語を持っておこなうことができます。客観的であること、セキュリティ知識がなくても評点による直感的なわかりやすさ、そしてその評価の質への信頼があることがAssuredの魅力だと感じています。

Excelは人が頑張る分、お金的なコストがかからないところは良いですね。笑
とはいえ、Assured自体の価値を考えたときに費用がやたらと高いという印象もなかったので、費用対効果の目線からも導入に迷うことはなかったです。

宍戸様：
サービスの評点は一次スクリーニングとして活用しつつも、Assuredの実際の各項目の評価内容を我々が確認しています。その上で、本当に導入しても問題ないのか、自分たちで判断しています。例えば、Assuredの評価レポートではセキュアにサービスを使うために利用者側で設定が必要な項目の有無等に関しても網羅的にまとめられています。仮に、評点が高いサービスだったとしても、利用部門側で対応すべき事項がある場合は、何をどのように対応すべきなのかということを具体的に利用部門へ伝えるようにしています。

黒澤様：
どのサービスを使うにしても委託データそのものの管理はユーザー側の責任になるという考えの元、実際に導入するとなった場合は、Assuredの評価レポート上で見えてくる具体的なリスクに対し、弊社としてどのような対策をとるべきなのか、ルールや運用は自分たちで作る必要があります。AssuredのCSのみなさんが、社内の運用ルールの策定やグループ会社への展開まで一緒に考えてくださるので、とても心強いです。

上村様：
今までExcelシートでの運用をしていた際は、セキュリティ評価状況を各部門で判断し、それぞれの責任下でサービス導入を決めていく運用になっていました。結果として、私たちが把握できていないところで独自にサービスを使ってしまっているというようなことも起きており、もう少し統制を効かせていきたいと考えていました。Assuredを用いることで利用申請スキームもかなり明確化できるなと思っています。今後クラウドの導入は間違いなく増えていくので、サービス導入に対するセキュリティ観点での意思決定基準を客観的に体系化できることはありがたかったです。

その上で、我々セキュリティ担当へサービス導入検討の段階で相談・申告してもらい、その後一連の流れの中にセキュリティチェックが存在する、という運用イメージで、各部門に対してその意図や効果を丁寧に説明する機会を持ちました。そうすることで、知らないうちにサービスが導入されてしまうという状態も段々と減ってきており、副次的な効果としてシャドーITを防げるという効果も出てきています。
グループ会社に対しても、 情報を発信・交換する機会が定期的にあるので、その中でAssured利用の実績を伝えながら、少しずつ波及させていきたいと考えています。

宍戸様：
まずは、文字が多いと。笑 クラウドサービスやインシデントなどの耳馴染みのない横文字の時点で結構拒否反応を覚えてしまう方が多かったですね。
知識レベルに差がある中では、チェックシートに書かれている文章がわかりづらい、何をチェックして、何がどうなっていたら問題ないのかがわからないとなることも多く、その度に「ご質問いただければ、丁寧に説明しますよ。」と言って回るので、結果的に自分の業務がパンクしてくる…。

利用部門としては、わかりやすくしてほしい、何を確認したら良いのか、どういう状態であれば使って良いのか、の線引きをセキュリティチーム側で行ってほしいと要望をもらっていました。つまり、利用部門としてはサービス導入時のセキュリティレベルの基準を明確にしてほしい、ということで、まさにAssuredがその役割を担ってくれると感動しました。

黒澤様：
まさにその通りです。よりセキュアな事業運営に近づく、大きな一歩だと思っています。

宍戸様：
私たちとしては、事業の成長に寄与する形で安全の両立ができる世界を作れるのはとても理想的です。頑張って、まだ申請が定着していない部門や、グループ会社にも広げていきたいと思っています。

上村様：
ハレーションは思ったよりないなと感じています。当初は、これまで各部門の責任の下で自由に導入できていたので、セキュリティ部門を巻き込むことでスピードが遅くなるのではないか？などといった声が上がってくると思っていました。実際はその声以上に、我々IT部門がセキュリティ面において伴走する体制に安心感・納得感を感じてくれている利用部門の方が多いように感じます。これも、宍戸が今まで真摯に利用部門と向き合ってきたこと、勉強会などを丁寧に実施してきたことで、セキュリティの必要性や重要性については理解してくれている土壌があったのだと思います。

宍戸様：
チェックリストを一度でもやったことがある方はAssuredをとにかく大絶賛です。笑
ここからは、今までチェックリストを利用せずにサービス導入を進めてしまっていた人たちにも申請制を浸透させることが重要です。地道に向き合っていきたいと思います。

黒澤様：
全社教育も行っていたり、訓練も行っていたりするので前提セキュリティそのものを否定する人はいないんですよね。とはいえみんな人間なのでやりやすくないとやりたくない、となってしまうのが自然なところかなと思っています。今までのExcel運用よりも格段に工数が削減され、わかりやすくなっているので、グループ会社含め啓蒙していくことがここからのチャレンジです。

黒澤様：
冒頭お伝えした通り、やはりグループ全体をいかに守っていくか、ブランド価値を高めていくかがミッションだと捉えています。セキュリティ目線で言うと、外的環境の変化も激しく最新のリスクに向き合うための労力をかけることは必要コストだと考えています。ただし、グループ会社の中にはセキュリティの専門人材に限りがありますので、その辺りを我々がAssuredのようなツールを使った業務構築などを行い、ベストプラクティスとして各社を巻き込みながらセキュアな事業運営をしていきたいと思っています。セキュリティの重要性をきちんと理解してもらいながら、事業最適に繋げていけるような、うまいバランスをとるというのは常に意識していかないといけないなとは思っています。

上村様：
みなさん、セキュリティが必要なものということは誰もが理解していると思います。でもそれが身近なものというか、安心感を与えるものであってほしいなと思っています。どうしても利用部門からするとセキュリティってブレーキと思われがちです。コストも手間も時間もかかることは、事実です。ただ、そうではなくて、セキュリティがしっかりしているからこそ安心して事業を進めていけるんだ、万が一の事故を防ぐためのガードレールにあたるものだ、と皆が感じてもらえたら、と思います。

宍戸様：
私は一番多く利用部門と関わる身として、セキュリティを面倒に感じるみなさんの気持ちがとてもわかるんです。ただ、会社及びみなさんを守るためにも、適切な知識を身につけ、必要な対応はすべきである、ということを共通の理解にしていきたいと考えています。セキュリティに関する教育なども引き続き積極的に行いながら、会社全体のセキュリティレベルを上げていきたいです。