April 23, 2024
私が所属するITソリューション部は、鹿島グループで利用される共通的なIT基盤環境の導入や整備、およびその運用を担っている部署です。
その中でも私はCSIRTのメンバーとして、情報セキュリティ領域を担当しています。情報セキュリティといっても、その内容は様々ですが、各部署で利用を希望するクラウドサービスの利用審査なども担当の一つです。各部署がクラウドサービスで取り扱いたい内容には、自社のみならず顧客情報や個人情報等も含む非常に重要な情報も含まれます。このため、クラウドサービスの内容だけではなく、各部署の利用条件も踏まえて、どうすれば安全に利用できるかなどを判断しています。
その他、情報収集などにも積極的に取り組み、社内への情報発信など行っています。現在のセキュリティリスクから身を守りつつ、将来的にインシデントを発生させないためにできることを日々考え、鹿島グループの情報セキュリティ対策として活かしていくことが仕事上の使命だと思っています。
顧客や社会のニーズに応えるべく、デジタルの力を積極的に使った業務のデジタル化・DX化が積極的に推進されています。
新たな価値を創造するような取り組みがイメージしやすいかと思いますが、それだけではなく、従来の現場での書類仕事も含めた様々な業務効率化であるとか、建設重機の自動化、遠隔制御など積極的に取り組まれています。
鹿島建設のホームページや公式YouTubeで色々なコンテンツが公開されています。社員である私が見てもとても興味深いコンテンツが多いので、ぜひご覧いただきたいです。
当社には、1936年に当時の鹿島守之助社長が鹿島組取締役就任後に発表した「事業成功の秘訣二十ヵ条」というものがあり、これは当社社員であれば誰しも目にしたことがあります。
この中には「”旧来の方法が一番いい”という考えを捨てよ」、「なるべく機械を使うこと」といった教訓が示されていて、古いものに縛られることなく、新しい技術志向を積極的に取り組もうという姿勢が会社の礎としてあります。そのため、企業文化として新しい取り組みにはかなり積極的だと思います。
現在、各部署が積極的にデジタル化・DX推進をしていこうという意識の中で、クラウドサービスの導入相談件数が右肩上がりに増えています。それに伴ってセキュリティチェックの件数も増加しました。
以前は、エクセルで作成したセキュリティチェックシートをサービス提供事業社様に申請部署の担当経由で提供し、回答していただいていました。しかし、チェック項目に対する認識の齟齬から再確認が何度も発生するなど、情報セキュリティ担当者のみならず、申請部署の担当者にとっても大きな負荷になっていました。このため、エクセルで作成したセキュリティチェックシートに限界を感じ、審査業務効率化のためのソリューションを検討していた時に、上司から紹介されたのが、Conorisでした。
そもそもクラウドサービス利用する際のリスクは何か、という観点に立ち戻った時に、そのサービス自体のリスク評価ももちろん重要ですが、昨今のインシデントはサービスを利用しているユーザ側での取り扱いミスに由来する事案も数多くあるものと思います。このため、サービスだけの審査はリスク評価としては不完全であると考えていました。
Conoris検討時に他社のサービスを比較しましたが、利用部署のユーザがサービスを使う際のセキュリティ対策をより正確に確認出来る構成を実現可能なサービスは他にありませんでした。サービスを利用する際の安全性の観点、事業者・利用者含めた情報管理ができるConorisを選定しました。
セキュリティチェックシートをエクセルシートからWebフォームによる回答へと変更したことに留まらず、当初想定していなかったことも含めてメリットを感じています。
特に、柔軟性高く申請フォームをカスタマイズできることから、サービス提供事業社様にも以前よりわかりやすい設問設計が可能になったと考えています。セキュリティチェックシートをエクセルで作成していると、回答内容に対して条件分岐等の制御がかけにくいこともあり、こちらが聞きたかった内容とは違う回答が返ってきてしまうことが度々ありました。
しかしながら、Conorisでは回答の入力内容に応じて、自動で関連する設問を表示させる設定ができるので、意図に合わせた質問の流れを作ることができます。結果として、何往復もメールで再確認が必要となる事案は大幅に減少し、審査業務の工数を削減することができました。
現在、回答を受けたセキュリティチェック内容を次回以降の審査でより効率的に利活用出来るような機能のほか、審査担当者間での連携効率を向上させるような機能の実装をお願いしています。この実装にあわせて、カバー範囲を審査業務全体に拡大していく予定です。
審査業務全体をConoris上で行えるようになると、情報の集約場所としての役割が大きくなってくるので、今まで以上に使いやすくなっていくと考えており、非常に期待しています。