急速に事業を拡大するセガサミーグループにとって、セキュリティ対策は常に大きな課題だ。対策を求める経営層に対し、現場からの提案は「CSIRT構築」だった。たった3名からスタートしたその専門部隊は、今やグループの最適解として、グループ全体が統一したセキュリティ意識をもち、対策を実現するための地道な努力を続けている。
【お話をお伺いした方】
(写真左から)
ITソリューション本部
グローバルセキュリティ推進室
・室長 芹澤 也人 氏
・スペシャリスト 江原 隆嗣 氏
もともとセキュリティ意識が高かったセガには、IT系組織の代表者が参加する「情報セキュリティ技術委員会」が組織され、インシデントの対応マニュアル作成などの実績を積み上げてきた。
ただ、被害の有無を問わずインシデントが発生した場合、それを改善するためには予算が必要となる。しかし、大規模な企業グループでは、どの規模で対策を行うか、またどの部門の予算をその対策に充当させるかを決めることは、そうたやすいことではない。そして、これらを議論している間に企業リスクは更に高まってしまう。グローバルセキュリティ推進室室長 兼 情報セキュリティ委員会実行委員長の芹澤氏は、当時のはがゆさをこのように語った。
このような状況を打破するために、芹澤氏は、独立した予算をもつ情報セキュリティ対策の専門部隊の必要性を経営層に進言し、2015年1月、専任3名体制の部隊が誕生した。 そして自らリーダーシップをとり、「情報セキュリティ技術委員会」をITに直接関連のない部署も参加する「情報セキュリティ委員会」に昇格させ、約50名が参加する規模へと拡大させた。
初期メンバー3名は情報システムや開発チームに所属してはいたものの、CSIRTを独自で構築するために必要なノウハウそしてリソース不足にも不安を感じていた。そこで、セキュリティベンダー複数社に声をかけ、彼らの協力のもと、推進スピードのアップをめざした。
「お声がけした複数社の中で、BBSecは、既にCSIRT構築支援のサービスを提供しており信頼できると考えました。また当初、どのくらいの支援を必要とするか判断のつかない状況下において、チケット制という無駄な費用が発生しないコンサルティング形式を提案してくれたことにも好感をもちました。」と当時の判断基準を芹澤氏は語る。さらに「以前、当社が緊急で脆弱性診断を行わなければならない時に、全社体制で支援してくれた柔軟な対応力も、CSIRTを構築していく上で必要だと思いました。」と続けた。
【CSIRTの歩み】
「情報セキュリティの専門部隊設立は社内のセキュリティ対応力強化に大きな効果をあげています。」とグローバルセキュリティ推進室スペシャリストの江原氏は語る。インシデント発生時の情報共有の迅速さはもちろんのこと、何か不安なことがあった時に事前に相談してくれる文化ができあがり予防につながっているという。実際に、CSIRT構築後は大きなインシデントは起こっていないという。
重ねて、江原氏は、全社の共通したセキュリティ基準、セキュリティへの意識を継続していくためには、地道な教育や啓蒙活動が重要だと語る。
具体例としては、社員の意識向上のために年1回実施されているeラーニングによるセキュリティ教育が挙げられる。 全社への啓蒙活動が功を奏し、2018年度は約5,900名の参加を得たという。
また、グループ共通のセキュリティポリシーを、毎年アップデートし続けているというのも地道な努力といえよう。
そして、芹澤氏・江原氏共に、組織全体のセキュリティ対策強化のために最も重要と語るのが、事業拠点に直接訪問し、Face to Faceで、説明して理解を得ることだと力説する。
セガサミーグループには、ゲーム会社からアニメ制作、パチンコやパチスロ事業、ホテルやゴルフ場経営まで、多種多様の企業が存在する。オンラインゲームを開発する部門ならば当たり前のように通じる言葉が、ホテルやゴルフ場を運営する会社の人間には全く通じないといった事象は、容易に想像がつく。この事業における文化の違いを、何度も訪問し、少しずつ理解を深めてもらうことで、全社のセキュリティレベルを均一化していくことは、組織全体のレベル向上に欠かせないという。
「昨年は北海道から宮崎まで出向き、セキュリティ対策の説明やディスカッションを20回以上行いました。欧米やアジアにも必要に応じて説明に行っています。訪問して顔をみながら話すことで、メールや電話ではおそらく相談されなかったことや気づかなかったことが見え、課題の早期解決やリスク最小化につながっています。」と江原氏はいう。
芹澤氏は、CSIRTはこうすればいいという定型的な正解のない組織だという。またどこまで社内でやるべきで、どこから外部に協力を得るかも、その会社次第だという。この区分ができないからこそ、外部のセキュリティベンダーの協力は欠かせないし、ベンダーとの二人三脚がベストプラクティスであると語る。
「社内の情報セキュリティ対策を推進する上で、CSIRTがやるべき事項は山のようにあります。まずは、アクションアイテムをリストアップし、企業のおかれている状況をみて、その中から優先すべきことをセレクトしていかなければなりません。この作業は社内の判断だけでは難しく、外部のセキュリティ専門家の意見がなければ前にすすめません。」芹澤氏は自らの経験をもとに、今後CSIRTを強化しようとする企業に対し、このようにアドバイスを送る。
現在、セガサミーグループのCSIRTは、「S2SIRT(えすえすさーと)」の名称で、業界でも知名度を高めつつある。しかし、芹澤氏は「私たちは、セガサミーグループにおけるサイバー空間の隠密部隊です。グループの中をくまなく忍者のように動き回り、大きな事故が発生する前に気づき、予防することが役割です。」という。芹澤氏や江原氏が、セキュリティという分野で、企業を影からささえようとする思いが伝わってくる。
今後も、日本の大規模組織におけるCSIRT構築を考える上で、セガサミーグループのCSIRTの成長から目が離せない。
<会社情報>
| 会社名: | セガサミーホールディングス株式会社 |
| URL: | https://www.segasammy.co.jp/ |
セガサミーグループは、サミーを中心とした「遊技機事業」、セガグループのデジタルゲーム事業を中核にアミューズメント機器開発や施設運営、そして映像制作やトイなどを展開する「エンタテインメントコンテンツ事業」、ホテルの開発・運営等を手掛ける「リゾート事業」など、幅広い領域で事業を展開しています。私たちは新たな「遊び」の提供を目指す総合エンタテインメント企業として、グループシナジーを創出し、セガサミーならではのクオリティの高いエンタテインメントを提供しています。 日本国内だけでなく、欧米、アジアを拠点に、世界中のエンタテインメント領域において、セガサミーグループのプレゼンスを確立し、世界ナンバー1のエンタテインメント企業を目指していきます。 |
|
※ 記載の情報は2019年5月現在のものです。
※ 文中の社名、製品名は各社の商標または登録商標です。