グループ全体のガバナンス強化の一歩へ。
事業拡大を後押しする安全なセキュリティ体制の実現
※上記画像はオフィス写真となります
| 社名 | 中外製薬株式会社 |
| 業種 | 医療・医薬品 製造・メーカー |
| 従業員数 | 1千〜5千人 |
|
課題
|
|
活用中のサービス・機能
導入の背景
- DX推進に伴い、クラウドサービスの利用要求が急増していた
- 安全なクラウドサービスの運用を実現すべく、管理体制の構築が急務だった
課題
- 従来のチェックリストは必要最低限の項目で、網羅性に欠けていた
- クラウドサービスの利用増に伴い、セキュリティ担当者の負荷が増えていた
- 基準を満たさないクラウドサービスに対して、導入部門が納得できる否決理由を伝えられなかった
導入の効果
- セキュリティフレームワークに準拠した項目で、網羅性の高い運用を実現
導入部門、セキュリティ担当双方の工数が削減され、生産性が向上した - 基準を満たさない場合でも、導入に向けた建設的な議論が可能になった
CASB製品とAssuredの併用運用で、万全なクラウドサービスの管理体制を構築
まずは、おふたりの所属部署がどういった役割を担う部門であるのか、教えてください。
筒井様:
私たちが所属するデジタルトランスフォーメーションユニットは、中外製薬グループにおけるDXを推進する組織です。その中でサイバーセキュリティグループは、全社のサイバーセキュリティを統括する役割を担っています。
セキュリティに関する戦略やガバナンスの策定はもちろん、研究所や工場、グループ各社のセキュリティ推進や、さらにはセキュリティ関連のコンプライアンス検討や対応など、業務は多岐にわたります。
デジタルトランスフォーメーションユニット デジタルソリューション部
サイバーセキュリティG グループマネジャー 筒井英樹 様
現在、Assuredをどのようにご活用いただいていますか?
徳丸様:
DX推進においてクラウドサービスの利用は不可欠ですが、同時にその安全性を管理する必要があります。そこで当社では、クラウドサービスを導入する際、まず導入部門から利用申請を上げてもらい、自社が定めるセキュリティ基準を満たしているかを判断するプロセスでAssuredを活用しています。
具体的な運用としては、まずCASB製品で一次調査を行い、CASB製品では評価が難しいサービスに対してAssuredを利用するという流れです。特にCASB製品で評価データが少ない国内のクラウドサービスや、リリース直後で情報が限られるサービスについては、Assuredを活用して評価を行っています。
また、自社が定めるセキュリティ基準を満たしていないサービスであっても、どのような対策を講じれば導入できるかを検討する目的で、Assuredに詳細なセキュリティリスク調査を依頼することもあります。
単に否決するのではなく、サービス導入に向けた建設的な議論が行えるようになった
前回のインタビューにて、セキュリティチェック項目の網羅性の担保がAssured導入背景のひとつとして挙げられていましたが、実際にAssuredをご活用いただき、そうした課題感は解消されていますか?
※前回のインタビュー記事はこちら
徳丸様:
はい、解消されました。以前のセキュリティチェック項目は必要最低限の内容だったため、網羅性の観点で課題があり、本当に適切なセキュリティチェックができているのかという不安が常にありました。
しかし、Assuredは国際的なセキュリティフレームワークに準拠したチェックリストで評価を行うため、評価漏れなどの不安が解消され、明確なセキュリティ基準に基づいたクラウドサービスの管理体制の実現に繋がっていると感じます。
また、Assuredの利点は網羅性だけではなく、分析の深さにあります。CASB製品は一般的に公開されている情報に基づいて評価しますが、Assuredはさらに踏み込んだ調査を実施し、どのようなセキュリティリスクが潜んでいるかを示すレポートが充実しているため、非常に重宝しています。
さらに、レポートは継続的に更新されるため、サービスごとにスコアの変化を追い、最新のセキュリティ対策状況を定期的に把握し続けられる点にも価値を感じています。
デジタルトランスフォーメーションユニット デジタルソリューション部
サイバーセキュリティG 徳丸力蔵 様
その他、Assured導入のメリットとして感じられていることは何かございますか?
筒井様:
セキュリティリスクを具体的に可視化できる点もAssured導入のメリットのひとつです。やはり、セキュリティ基準に満たしていないサービスがあった場合に、そのサービスは導入できないと伝えることは簡単ですが、それでは導入部門には納得してもらえません。
しかし、Assuredの充実したレポートがあれば、具体的にどのセキュリティ対策が不足しているか、また対策を講じない場合にどのようなリスクが生じるかを具体的に伝えられるため、導入可否の結果に納得感を持てるわけです。
また、ケースによっては自社のセキュリティ基準を満たしていないけれども、どうしてもこのサービスを利用したいということもあります。そうした場合に、レポートを基に具体的にどうすれば導入ができるかを検討できるなど、単に否決するだけで終わらない、建設的な議論ができるようになったこともAssured導入のメリットだと感じています。
徳丸様:
否決の理由を伝える際に、そのサービスのスコアが平均値を大きく下回っていることや、顕在化しうるリスクを具体的に説明すると、導入部門の担当者も「さすがにこれはセキュリティリスクが懸念されるから導入はやめたほうが良さそうだ」と理解してもらえます。導入可否の根拠をしっかりと可視化できるようになったことは非常に大きな変化だと思います。
申請から導入までのリードタイムも改善。過剰投資を避けられる料金体系も魅力
Assuredの継続利用を見直しされるタイミングもあったかと思いますが、改めてAssuredを継続利用するという意思決定をされた理由を教えてください。
徳丸様:
Assuredに代わるサービスがないというのが、大きな理由です。SaaSの評価実績が豊富なCASB製品の活用も社内で議論しましたが、CASB製品による評価は一般的に公開されている情報でありAssuredと比較して評価が浅くて網羅性に欠ける点や、スコアの推移を追いづらい点などの課題がありました。
また、Assuredと同等の費用感で、同じような機能を提供しているサービスが他になく、現在の運用に満足しているため、他サービスに乗り換えする必要がないと判断したことも継続利用の理由の1つです。
さらに、Assuredは利用した分だけコストが発生する料金プランのため、過剰投資を避けられる点も魅力だと思っています。利用頻度が予測しにくい中で、年額一括払いのような固定費を支払うことはリスクですが、Assuredの料金体系は無駄なコストが発生しにくく、長く使い続けやすいポイントだと感じています。
最後にAssuredの感想、そして貴社でのクラウドサービスのリスク評価全般における今後の展望をお聞かせください。
徳丸様:
Assured導入以前は、自社チェックリストで審査しており、チェックリストを回答する導入部門も、それを確認して判断する我々にも多大な工数がかかっていました。Assuredによって、それらの工数を大幅に削減できたことは非常に大きな成果です。
また、Assuredには調査済みのクラウドサービスが増えてきているため、導入申請から評価、そして実際の導入までのリードタイムは確実に短縮され、当社のDX推進に貢献していると感じています。
筒井様:
現在のサイバーセキュリティグループの業務を以前の体制のまま行おうとすれば、確実に人員を増やす必要があったでしょう。Assuredがあるからこそ、私たちのパフォーマンスを最大限発揮できる環境が構築できています。
今後は、社内のデジタルリスクを一元管理していく構想を描いており、その仕組みの一部としてAssuredを活用していきたいと考えています。そして、問い合わせから確認、案件化までのプロセスをさらに迅速化するためにも、いかに人的リソースをかけず、自動化を実現するかが今後の挑戦です。
RELATED ARTICLE
関連記事
Assuredクラウド評価に少しでもご興味がございましたら
お気軽にお問い合わせください
Assuredクラウド評価に少しでも
ご興味がございましたら
お気軽にお問い合わせください
見積もりが欲しい
直接サービス説明を受けたい
デモ画面が見たい
見積もりが欲しい
直接サービス
説明を受けたい
Assuredクラウド評価が3分でわかる
サービス資料
Assuredクラウド評価が
3分でわかる
サービス資料
© Assured, Inc.
© Assured, Inc.