トップへ戻る

ユーザー事例 CASE STUDY

企業品質向上の一環としてセキュリティ対策を実施

htnet
htnet

北陸通信ネットワーク株式会社 様

北陸通信ネットワーク株式会社(HTNet)は、石川県金沢市に本社を置く北陸電力グループの通信サービス事業者だ。北陸全域をカバーする光ファイバーネットワークを保有し、稼働率99.9996%を保持する高品質・高信頼の通信サービスと関連する様々なソリューションを展開し、地域の活性化に貢献している。今回は、その中で組織の品質向上を手掛ける品質保証部の上田氏にお話をお伺いした。

htnet

【お話をお伺いした方】
・品質保証部 品質保証G 課長 上田 貴志 氏


地域をインフラでささえる

HTNetの手掛ける事業は、コア事業である通信サービスに加え、インターネット接続やクラウド、データセンターなどのインフラサービス、さらにはサーバー構築やセキュリティ対策支援などのソリューションサービスとITインフラすべてにまたがる。

「大手とは異なり、ユーザーニーズをすぐに技術に伝えられ、お客様に寄り添えるのが最大の特徴です。」と上田氏が語るように、お客様と常に情報交換を行い、課題を把握し、解決策を導き出す同社の姿勢は、利用者から高い評価を得ている。

これらを実現している背景には、高品質なサービス提供はもちろんのこと、部署を超えたスムーズなコミュニケーションを実現している社内環境が大きく影響している。

ユニークな組織、品質保証部

HTNetには、品質保証部という極めてユニークな独立組織がある。一般的に品質保証部というと自社の製品やサービスの品質管理を行うイメージが強いが、HTNetの品質保証部が対象とするのは組織体そのものである。組織全体の品質を向上させるための取り組みをすべて担う部署だ。具体的には、ISMSなどの認証取得と維持管理やセキュリティ対策、更には働き方改革や社員の安全衛生やキャリア形成支援まで、ありとあらゆる分野を一手に引き受ける。

「品質保証部スタートのきっかけはISO取得でした。」と上田氏が語るように、当初から同部門は組織の品質保証を全社横断的に行う部署で、社内の各部門との高いレベルでのコミュニケーションや調整を求められ、それを実現してきた部署である。当然のことながらセキュリティ対策も組織横断的なアクションが必要であり、同部門が当初から担当をしている。

セキュリティ対策を全社で担う

同社は、HT-CSIRTの名称で、2018年3月に日本シーサート協会に加盟している。HT-CSIRTは、多くの企業が採用する組織的に独立したCSIRTではなく、「会社全体がCSIRTの組織である」という概念でつくられている。

HTNetには、一般的な会社と異なり、セキュリティに対する土壌が最初から存在した。なぜなら、同社の提供するサービスそのものが常にセキュリティを求められるためだ。そのため、CSIRTを設立する以前から、CSIRTに求められる個別機能が存在していたという。(上田氏)例えば、インシデント発生時のフォレンジック対応は、コンピュータネットワークの構築・運用・保守業務を行っているオペレーションエンジニアグループがその高い技術力をもって対応するといった具合だ。

HT-CSIRTを実現するにあたり、品質保証部では、すでにある機能を把握して有機的に結合させる為には何が必要か、不足している部分は何か等の分析を行った。その結果、情報の取りまとめや外部ならびに経営層への報告や社員へのアナウンスを行う機能を追加することで、CSIRTを構築できることが明確になり、この情報連携機能を品質保証部で担うこととなった。

CSIRTの各機能に対応する部署については、CSIRTとしての業務を改めて付加することなく、今までの業務を継続することでCSIRTの活動を担えるように考慮した体制となっている。

このように自然なかたちで構築されたHT-CSIRTは「従業員がCSIRTを改めて意識することなく活動できている」(上田氏)という。

社内の情報共有に欠かせないセキュリティ委員会

HT-CSIRTをスムーズに構築できた背景には、全社横断的に組織されている「セキュリティ委員会」の存在の影響が極めて大きい。2006年に発足した同委員会には、現在、各部門のグループ長13名が参加し闊達な意見交換がなされ、部門を超えた組織全体のセキュリティ対策に対する情報透明性が保たれている。さらに現場のリーダーである各グループ長が、委員会での決定事項をすみやかに自部門へと伝達し、実行していく流れもできているという。

セキュリティ委員会の透明性を表すものとして、標的型攻撃メール訓練(以下、メール訓練)のスタートも挙げられる。同訓練は、当初、品質保証部が提案したものではなく、事業戦略部(新規事業の開発を担う組織)からの提案だったという。

この提案が具現化した標的型攻撃メール訓練は、2014年から始められ、2016年からはBBSecのサービスを利用している。「BBSecのサービスはその品質もさることながらコストパフォーマンスに優れていることから、複数社での比較評価を行った時点で、唯一無二の選択肢でした。」と当時の状況を上田氏は語る。

「当初は驚くほど高い開封率でしたが、継続的に実施することにより徐々に下がってきました。とはいえ、開封率は0になるものではないので、途中から、開いてしまった時にどれだけ報告してくれるか?ということに視点を置き換えて啓蒙活動を行ったところ、結果として開封率が下がるという相乗効果を生みました。」と上田氏は語る。

特に中堅社員の開封率減少は顕著で、訓練以外でも、標的型攻撃と思われるメールを受信した際には、未開封であっても報告があがってくるようになったという。「当然ながら、新入社員はまだ意識が低いため、訓練での開封率が高い傾向にあります。しかし、中堅社員の習熟度が高いため、それぞれの現場で、報告をしなければならないという教育ができる体制が整ってきています。」(上田氏)

継続的に標的型攻撃メール訓練を行っているHTNetでは、「社員が標的型攻撃メールを開封してしまうことは、社内外に大きな影響を与えるという「気づき」を得る上で、継続的に行うことが必要不可欠」(上田氏)だという。

自社の経験を利用者へ

また同社では、BBSecから定期的に外部向けサーバーの脆弱性診断を受けている。「会社のWebサイトだけでなく、回線状況をお客様に確認してもらう顧客向けサーバー(カスタマーポータル)、メールサーバー、DNSサーバーなど様々なサーバーの脆弱性を確認しています。」(上田氏)通信事業者としてセキュリティ対策は率先してやるべきと考える同社の考えが伺われる。

これらの経験を活かし、HTNet では、BBSecと共同で、自社のユーザーにもセキュリティ対策を提案している。実際、利用者のセキュリティ対策ニーズは高いという。自社での経験は、形の見えないセキュリティ対策に躊躇する利用者に、高い説得力を与えている。

地域の信頼できるITインフラパートナーとして活躍するHTNet。北陸のセキュリティ対策を支えるリーディングカンパニーとなるべく、今後の活躍に多いに期待したい。

<会社情報>

会社名: 北陸通信ネットワーク株式会社(略称:HTNet)
URL: https://www.htnet.co.jp/
1993年の設立以来、北陸全域をカバーする光ファイバーネットワークを基盤に、万全の運用・保守・監視体制のもと、セキュリティが確保された、高品質で信頼性の高い通信サービスの提供。「安全・安定・安心」なサービスの提供と品質の維持向上に取り組み、また、多様化するお客さまのニーズに、確実に、かつ、柔軟に応えるため、主力商品である「HTNet-Ether」サービス(広域イーサネットサービス)をベースに、「HTNet Cloud」(クラウドコンピューティング)など、ソリューションサービスの提供を推進している。

※ 記載の情報は2019年7月現在のものです。
※ 文中の社名、製品名は各社の商標または登録商標です。