国内外の情報セキュリティガイドラインに基づきセキュリティ活動全体を俯瞰 客観的な評価を継続的に実施し、自社の立ち位置と課題を明らかに

グリー株式会社

開発本部 セキュリティ部 セキュリティ推進チーム 奥野 緑 氏

セキュリティ対策の向上につなげるとともに、「グリー情報セキュリティ報告書」にも活用

グリーグループのセキュリティへの向き合い方

 ソーシャルネットワーキングサービスから生まれたゲーム事業や広告・メディア、ライブエンターテイメント事業などを幅広く展開する当社にとって、顧客情報の保護は何よりも重要な命題です。そこで「セキュリティ部」を設けて全社的に対策を推進するとともに、部署、役職、雇用形態を問わず全従業員がセキュリティに対する意識を高く持ち、ポリシーやルールに沿って日々の業務に取り組んでいます。

 こうした活動を2020年から公表しているのが「情報セキュリティ報告書」です。当社のセキュリティ活動を顧客やパートナーにお伝えすることを目的としています。最近でこそサステナビリティレポートを公表する企業は増えてきましたが、セキュリティ体制や方針・ルールなどに特化して詳細に公表する企業はまだ少ないのではないでしょうか。

 本報告書では、主要な情報セキュリティガイドラインで求められる対策に基づき当社における対策実施状況を採点したものを、客観的な評価として掲載しています。2020年11月時点でのスコアは1000点満点中754点で、他社平均(約1,600社)の557点を上回っています。また、NRIセキュアテクノロジーズの「Secure SketCH(PREMIUMプラン)」を活用することで、当社と同業種(情報処理業界に所属する企業)の平均値639点をベンチマークとして参考にしています。

gree-case-001

図. 「情報セキュリティ報告書2021」の中で、Secure SketCHでの対策状況を報告
参照:https://corp.gree.net/jp/ja/csr/management/information-security.html

gree-case-002

Secure SketCH導入前に抱えていた課題

 セキュリティ部では以前からさまざまな技術的対策を実施するとともに、情報セキュリティに関するルールを定めてきました。さらに、定めたルールに関しては、定期的にアセスメントを実施し、各組織での遵守状況も確認しています。

 ただどうしても、その都度、リスクが高いと判断した、特定のテーマや組織に焦点をあて、対策状況をチェックし改善をすすめるという、部分的な対応にとどまっていました。そのため、セキュリティ活動全体を俯瞰的に見た上で、どこまでできているか、以前と比べてどのくらい改善し、課題がどれだけ残っているかを把握するという点では十分ではありませんでした。また、課題を洗い出す際に何を基準にすべきかという点にも悩んでいました。

 そこでまず、自力でセキュリティ対策状況を俯瞰する仕組みを作成することを考え、2019年10月ごろから主要な情報セキュリティガイドラインを読み解きはじめましたが、行き詰まってしまいました。試しに米国国立標準研究所(NIST)が策定したCSFを元にチェック項目を作り始めましたが、参照する項目の選択や解釈の適切性について不安がありました。また、今後ガイドラインがアップデートされる度にタイムリーにキャッチアップし、自作のチェック項目を更新することは難しいと感じました。

Secure SketCH導入後の効果

 ガイドラインに基づいて適切かつ効率的に確認できるようなサービスがないかとWebで検索して見つけたのが、Secure SketCHでした。Secure SketCHは、セキュリティ専門家の知見を踏まえて、ISO27001やCSF、CISといった複数の主要な情報セキュリティガイドラインの要求事項をほどよく質問項目にまとめており、理解しやすいです。今後も情報セキュリティ報告書等で外部に評価結果を公表していくことを考えると、やはり信頼できる評価項目を利用することが大切です。ですので、 自力で作成する場合に発生しかねない、解釈や翻訳の間違いの懸念がないことも安心材料となりました。

 Secure SketCH導入の際には、Secure SketCHを活用すれば、自力でセキュリティ対策の実施状況をガイドラインに基づいて評価するよりも、作業工数を削減できるだけでなく、現状見えていないリスクにも気付くことができるメリットを説明し、経営層の理解を得て導入に至りました。

ガイドラインチェック-001図. Secure SketCH の対応ガイドライン(サンプル)

 

NRIセキュア様には質問や要望に手厚く対応いただいたおかげで、サービス内容を十分に理解しスムーズに導入することができました。また、Secure SketCHには資料の掲載も充実しているのが気に入っています。たとえば、チェック結果に対するリスク分析のすすめ方について悩んでいましたが、NRIセキュアのブログでの解説が参考になりました。

 現在当社では、Secure SketCHを利用した、定期的なセキュリティ対策チェックを業務に組み込んでいます。検出された課題は「課題表」にまとめ、リスク評価を行った上で、優先順位の高いものから順にプロジェクト化して改善に取り組んでいます。また、既に対策を実施しているものの、ガイドラインの定めるベストプラクティスと比較すると改善の余地がある項目を洗い出すことができ、より効果的な対策へシフトすることをセキュリティ部内で議論するきっかけにもなっています。

最近の取り組みとしては、評価スコアをレポートにまとめ、セキュリティ部が所属する開発のミーティングや経営層も参加する情報セキュリティ委員会で報告を始めました。

 

レポート出力-001

図. Secure SketCH のレポート出力機能(サンプル)

今後の展望

 一番怖いのは、リスクを把握できずに放置していることです。Secure SketCHを導入することで、ガイドラインの定めるベストプラクティスに基づきリスクへの対策状況を把握し、優先順位をつけて対応できるようになったことが大きな成果だと考えています。

 情報セキュリティを取り巻く環境は目まぐるしく変化しています。セキュリティ部としても変化に対応しつつ、お客さまへ安心安全にサービスを提供する支えとなるように、今後もセキュリティ対策を強化して参ります。

その一環として、当社のセキュリティ対策の座標や進むべき方向を認識し、社内やステークホルダーにも共有させていただくツールとして、Secure SketCHを活用していきたいと考えております。

 

CTA_Secure_SketCH_premium-plan-explanation-material

logo_rgb_v1.1

グリー株式会社

グリー株式会社は、ゲーム事業、ライブエンターテイメント事業、メディア事業、広告事業、を展開しており、「インターネットを通じて、世界をより良くする。」をミッションとした総合インターネット企業です。