ネオス株式会社は、テクノロジーとコンテンツの融合で「新たな価値」を創出する企業理念を掲げ、DX時代の「唯一無二のソリューション&サービスプロバイダー」を目指している企業である。社名の由来である「新しくあり続ける」を念頭に、時代の流れを読み、トレンドを取り込みながら進化し続ける方針を打ち出している。
クラウド利用の拡大、リモートワークの定着、委託先の増加。事業環境が変わるほど、情報セキュリティは“従来の延長”では追い付かない。「経営陣の主導」と「お客様目線」を軸に、先進的な挑戦を続けるためにセキュリティを“足場”として整えてきた同社が、次の成長を見据えたときに選んだのが、BBSecの「情報セキュリティクイックオンラインアセスメント」※1(以下「クイックオンラインアセス」)、「ゼロトラストプレリミナリーサーベイ」(以下、「プレリミナリサーベイ」)「情報セキュリティ・アドバイザリ」(以下、「アドバイザリ」)だった。同社がこれらのサービスどう組み合わせ、短期間で全体像と優先順位を可視化し、実行へつなげたのか、情報システムおよびセキュリティを担当する事業支援部の栗原氏に、取り組みの背景や成果、今後の展望を伺った。
【お話をお伺いした方】
・ネオス株式会社 事業支援部チーフエキスパート
栗原 祐介 氏
※1 2022年当時提供のサービス。2026年現在は、NIST CSF改訂を反映してベース基準を更新し、アセスメント結果の可視化からその後の対策進捗管理までを「リスク管理ポータル」上で一元管理いただける「簡易コンサル付き情報セキュリティセルフアセスメント」として提供しています。
ネオス株式会社(以下ネオス)がセキュリティ対策を進める原点には、「お客様目線」がある。サプライチェーンマネジメントの強化が要求される現在、取引先・顧客からセキュリティ体制や対策状況を問われることが当たり前になりつつある。公共案件の入札でも、第三者認証の取得が条件となるケースが増えた。
そうした中、同社はBtoB案件を扱う部署で2022年にISMSを取得し、運用を開始した(翌2023年には認証範囲を全部門に拡大)。入札条件として認証取得が必須という事情もあったが、当時、栗原氏は「認証取得は“到達点”ではなく、運用を通じて改善を回し続けるためのスタートラインでもある」と考えたという。
クラウドサービスの利用拡大、働き方の変化に伴い、リスクの所在も変わる。「クラウドサービスの利用拡大や、リモートワークの定着といった変化もあり、各種ルールやガイドラインの策定やソリューション導入を進めてきましたが、俯瞰的かつ客観的に評価する機会が必要ではないか、――俯瞰して抜け漏れや重複がないかを一度見直し、改めて『ここに注力しよう』と議論する必要があるのではないかと感じていました。ISMS認証取得はそれらを確認するためのチャンスであると考えたのです」と栗原氏は語った。
ISMS取得に先立ち、同社は既に2020年7月時点でBBSecのアドバイザリを活用し、これまで独自に作成していた規程・ガイドラインについて、第三者の視点を加えた整備を進めていた。インシデント対応や端末利用・ログ管理などに関するガイドラインやマニュアルなどを見直し、リモートワークを見据えたルールや運用、ソリューション導入も推し進めた。
栗原氏は当時を「いろいろとコンサルテーションをいただきながら社内ルールを整理していった」と振り返る。現場運用を前提に“使えるルール”へ落とし込み、関係部門へ横展開することが重要だった。
取り組みを重ねるほど、次に問われるのは「全体像」と「優先順位」だ。個別施策が点として積み上がっても、組織としてどこが弱点で、何から手を付けるべきかが見えなければ、投資判断も説明責任も難しくなる。さらに、キーワードとして「ゼロトラスト※2」が社会に広がる中で、自社に当てはめる場合の優先順位や適用範囲を見極める必要もあった。
栗原氏は着手前の課題を「まずは全体像の把握を優先した」と述懐する。同社が抱えた悩みは、『何かができていない』というより、『できている領域と伸ばすべき領域を同じ地図の上に置けていない』点にあった。全体を俯瞰できなければ、改善の道筋は描けない。
もう一つのボトルネックは、評価の客観性である。社内で自己点検を行っても、評価の前提や観点が部門・担当者によって揺れやすく、対外的な説明材料としては弱くなる。「自社の社員が自社を評価しても、説得力に欠ける。第三者の視点で客観的に見てもらう機会が必要でした」と栗原氏は語った。
同社のセキュリティ関連業務を担う部門は5〜6名規模。限られた体制で幅広い領域をカバーする中、“できているつもり”や“見落とし”を減らし、経営・現場双方が納得できる判断材料を整えることが重要になっていた。
※2 信頼できるアクセス要求というものは存在しないという前提で、すべてのアクセス要求をチェックすべきという考え方
短期間で現状を見える化しつつ、段階的に論点を深掘りして実行計画へ落とし込む方法として栗原氏がセキュリティ基盤を強化する際に選んだのは、BBSecの3つのサービスの組み合わせだった。具体的には、BBSecの三つの支援メニューを連動させた。短期間で全体像を押さえる「クイックオンラインアセス」、原因と優先度まで落とし込む「ゼロトラストプレリミナリーサーベイ」、意思決定と実行を支える「情報セキュリティ・アドバイザリ」の3サービスだ。
短期間で全体の“健康診断”を行い、成熟度や重点リスク、すぐに着手できる改善候補を整理する。
論点を深掘りし、原因・影響範囲・優先度を整理する。部門間の認識差や運用の実態を含め、対策の焦点を定める。
優先順位を踏まえて、ロードマップや体制案、意思決定材料として資料化し、実行と合意形成につなげる。
三段階は“段取り”であると同時に、関係者の納得度を高めるための“翻訳工程”でもあった。“守りを固める”ことが目的ではなく、“挑戦を続けるための足場”としてセキュリティを位置づけた点が特徴的だ。先進的な取り組みを広げるほど、扱うデータや関係者は増え、説明責任も重くなる。だからこそ、仕組みとしてのセキュリティ基盤を磨き上げる必要があった。
まず、クイックオンラインアセスで現状を俯瞰し、議論の出発点をそろえる。次にプレリミナリサーベイで重点領域を絞り込み、最後にアドバイザリで経営判断に必要な資料化と実行計画の合意を支える。栗原氏が語った「感覚的・属人的だった優先順位が、客観的な評価に基づくものになった」という変化は、この工程によって“社内で説明できる形”が整ったことを意味する。
クイックオンラインアセスで得られた価値として、栗原氏がまず挙げたのは「可視化」である。その中でも特に評価したのがレーダーチャートでの整理だ。成熟度や対策状況を“図”として示すことで、情報セキュリティが専門外の関係者とも共通言語を持ちやすくなる。議論の起点が「感覚」ではなく「同じ図表」になるため、部門間で前提をそろえられる。※3
また、第三者評価のアウトプットは、社内だけでなく社外への説明にも寄与する。取引先が増え、求められる説明が多様化するほど、根拠の示し方が重要になる。栗原氏は「外部評価としての結果だからこそ、社内外に訴求できる」と強調する。
※掲載の図は現在提供中のリスク管理ポータル上で確認できるサンプル。リスク管理ポータルについては記事最後尾をご参照ください。
次に実施したプレリミナリーサーベイで、課題を“深さ”の面で掘り下げ、優先順位まで整理した。「課題の優先度まで整理できた点は有意義でした」と栗原氏は振り返る。
同社が意識したのは、境界防御だけでは不十分になりつつあるという現実だ。「ファイアウォールによる境界防御はできていても、内部に侵入された際の拡散防止という観点で、ネットワークレベルのアクセス強化が重要だと認識しました」と栗原氏は語った
侵入を“絶対に防ぐ”という前提が揺らぐ中では、侵入後の被害を最小化する設計が問われる。誰が、どの端末から、どの資産へアクセスできるのか。ネットワークや権限の設計を見直し、横方向への拡散を抑える考え方が、ゼロトラストの中核にある。サーベイは、そのギャップを具体的な論点として浮かび上がらせ、改善の順序を決める手がかりになった。
同社は指摘を受け、ネットワーク構成の見直しやソリューション選定に取り掛かった。また、侵入後の被害拡大を抑える施策として、EDR導入の決定や、管理者権限(特権)の管理強化を優先した。「EDRは導入を決めました。特権管理も強化し、特権を使われにくくする対策をしました」と栗原氏は語った。
可視化と深掘りで整理した論点を、実行へつなげるために欠かせないのがアドバイザリである。ここで重要になるのは、施策の“正しさ”だけでなく、意思決定のための“納得感”である。
「感覚的・属人的だった優先順位が、客観的な評価に基づくものになった」と栗原氏は言う。同社にとって、優先順位の整理は単なる並べ替えではなく、関係部門が同じ前提で判断できる状態を作ることを意味した。
たとえば、ヒートマップなどの整理手法を使えば、どこにリスクが集中しているかを直感的に共有しやすい。そして、年度ごとに重点領域を決める際も、「なぜ今これをやるのか」を説明しやすくなる。栗原氏は「年度ごとに、手薄と思われる点や強化すべき点を整理していく」と述べた。
三段階アセスメントを通じて、侵入後の拡散防止に関する議論も具体化し、EDR等現実的に取り得る手段の検討・実装を進めている。一方で未解決の論点も残るが、「課題がどこにあり、何が障壁かが整理されている状態は次の一手の前提になる」と栗原氏は語った。
セキュリティ投資は関係部門の合意形成が難しいが、ネオスでは経営陣が率先して取り組みの方向性を示してきた。目的が共有されることで、情報システムやセキュリティ部門だけの活動にとどまらず、現場の運用まで落とし込みやすくなり、対策の定着を後押しした。
同社が重視するのは、取引先から求められる要件への対応だけではない。サービス利用者の安心を含む信頼を守るため、リスクの大きい領域から優先的に手当てし、説明可能な形で継続改善する。
新しい技術やテーマを積極的に取り込む企業文化の一方で、預かるデータの責任は重い。挑戦の幅が広いほど、足元の確かさが問われるため、外部の知見も取り入れつつ脅威変化へ継続的にキャッチアップしていく方針だ。
BBSecの支援は「説明が腹落ちする」点に加え、「担当が変わっても一定品質が担保される」安心感が決め手になったという。第三者評価の結果は、監査・取引先調査への説明責任を支えるだけでなく、強みは根拠をもって示し、弱みは改善計画として提示することで合意形成の土台にもなる。環境変化に合わせて優先順位を見直し、次の点検へつなげていく。
経営主導の推進体制と「お客様目線」を軸に、三段階アセスメントで全体像の可視化から優先順位付け、意思決定に向けた整理までを短期間で進めたことが、同社の次の一手を明確にした。BBSecは評価から助言、運用を見据えた改善計画まで一貫して伴走し、組織の説明責任と実行力を支える。
今回の事例でご紹介したサービスは、2026年現在、情報セキュリティ管理総合支援ツール「リスク管理ポータル」上で一元的に管理されています。
<会社情報>
| 会社名: | ネオス株式会社 |
| URL: | https://www.neoscorp.jp/ |
| 2020年9月に事業開始し、テクノロジーとコンテンツの融合で「新たな価値」を創出する理念を掲げる。AI領域、クラウド領域、教育DX、流通DX、医療・介護DXなど多分野をカバーし、ゲームやキッズ向けデジタルコンテンツも展開。変化に対し「挑戦」し続ける姿勢が強み。 | |
※ 記載の情報は2026年3月現在のものです。