株式会社ADKホールディングス様導入事例

CSIRTからISMSまで。企業の
成長を支える包括的セキュリティ

業種情報／通信／メディア
企業規模1,001名以上～5,000名以下
導入サービス
CSIRT業務内製化ISMS事務局運用支援

様々な業界の課題解決をPDFにまとめました

いくつかの導入事例をまとめたファイルをご用意しております。
今じっくり確認する時間が取れない方や後で確認したい方は是非ご利用ください。

Summary

サイバー攻撃の高度化やデータ保護の重要性が高まる中、企業のセキュリティ体制は経営基盤として不可欠なものとなっています。本記事では、ある企業と専門セキュリティベンダーとの間で構築された関係性が、どのように単なる業務委託から戦略的パートナーシップへと発展し、企業の成長を支える包括的なセキュリティ体制を実現したのかをご紹介します。

はじまりは法改正への対応。
信頼関係から生まれたパートナーシップ

SHIFTの支援が始まったきっかけについて教えていただけますか？

株式会社ADＫホールディングス情報セキュリティ局局長鈴木潤様（以下、鈴木様）

きっかけは令和二年の個人情報保護法改正です。各社が対応に迫られる中、当社も同様にコンサルを入れて社内ルールを改正法に合わせていく必要がありました。その際に、SHIFTさんのセキュリティ部門に最初に入っていただきました。

そのプロジェクトが無事に終わった後、今度はCSIRT業務の内製化を推進した方が良いという話になりましたが、すべてを内製でやるのは難しい状況でした。そこで、個人情報保護法改正でご支援いただいたSHIFTさんから、グループの専門会社でCSIRT業務の内製化もできますというお話をいただき、お願いしたのがきっかけです。

SHIFT 森

当時は構想から全部やるということでしたね。改正個人情報保護法の話と、サードパーティークッキー対応の話がありました。

鈴木様

当時はコンサルティング会社とSHIFTさんの二社共同体制でした。法律系はコンサルティング会社が、現場の実装面はSHIFTさんが担当するという役割分担でした。

CSIRT業務の内製化を検討される際、他社との比較検討はされましたか？

鈴木様

正直、あまりしていないと思います。セキュリティ人材が高騰しつつある中で値頃感があったので、あえて他社と比較してピッチをする必要もなかったと記憶しています。

SHIFT 森

それに加えて、顧客情報をもっと活用するという計画があり、その先には実装もしなければいけないという話があったので、法改正対応からシステム実装まで一貫してご提案できるという点も評価いただいたのだと思います。

CSIRTからISMSまで。企業の成長フェーズに
寄り添う包括的支援
アラート対応から内部不正対策まで踏み込む
能動的な運用

現在、SHIFTでご支援させていただいている内容について教えてください。

株式会社ADＫホールディングス情報セキュリティ局セキュリティマネジメントグループ末佳祐様（以下、末様）

主には、発生したアラートの確認・分析とユーザーへのヒアリング、脆弱性調査などです。そのなかで必要に応じて我々情報セキュリティ局メンバーへエスカレーションしていただき、協力して対応しています。

それ以外では、サイバーハイジーン、つまりデバイスの健全化にも取り組んでいただいています。デバイスのセキュリティ状態を常に最新にして、脅威に対処できるようにする活動です。

セキュリティツールのコンソールを見て、最新のパッチや更新が適用されていないユーザーに対し、能動的にヒアリングしてもらっています。その際に使用する手順書の整備もお願いし、それに基づいた改善対応もしてもらっています。

上記のような現在に対する対応だけでなく、将来に向けて現状の課題や世間のトレンドに合わせて次に何をすべきか、についての提案も積極的に実施いただき、それに対してディスカッションも行っています。
その提案や外部の事例等もあり、内部不正対策の強化には継続的に力を入れて施策を実施してもらっています。

内部不正対策とは具体的にどのようなことをされているのですか？

末様

例えば、外部のフリーメールアドレス宛の添付ファイルを検知し、中身が業務資料と思われる場合は、SHIFTさんのメンバーから能動的に当社社員へヒアリングし、必要性を確認していただくなどして、情報の持出しに関しては厳に確認を行っています。

また、退職者に対して「業務上知り得た情報を外部に持ち出さないように」という警告メールを送る、普段と違う挙動があった場合に検知するなど、未然防止の活動もしてもらっています。

大きくはそのような内容です。その他、現状の課題から「来年はこういうことをやりましょう」といった改善提案も積極的にいただいています。

SHIFT 森

あとはISMS（情報セキュリティマネジメントシステム）の支援もさせていただいていますね。

鈴木様

はい。これは一昨年の後半ぐらいからやっていただいていて、すごく助かっています。ISMSの活動を推進する人を探すのは難しくて、社内の人材をうまくアサインできておらず、ちょうど人材の空白地帯のようなところがありました。そこにSHIFTさんのメンバーががっちりはまってくれていて、当社の担当も非常に助かっていると聞いています。

「がっちりはまる」というのは、どういった点が評価されているのでしょうか？

末様

SHIFTさんのメンバーはコミュニケーションのしやすさもありますし、すごく気が利いて資料のチェックやユーザーさんとやり取りする際の当たりも上手いなと思います。話し方や説明の仕方も上手ですし、ISMS自体への理解も深いというところで、すごく助かっています。

鈴木様

バックグラウンドとして非常に豊富な知識をお持ちで、例えばAWSの資格もたくさん持っていらっしゃいます。そういった知識があった上で、少し先回りして「こうやったらいいんじゃないか」と提案してくださる点は、すごく助かっていると思います。

「一番の魅力は距離の近さ」
技術と密なコミュニケーションが築く信頼

SHIFTのメンバーとの連携について、特に評価されている点はありますか？

末様

もともとMicrosoft製品の知見があり、私たちがMicrosoftソリューションを使っていることもあって、その経験が活きていると感じています。

また、決められた週次の定例会以外でも、ほぼ毎日チャットや必要に応じたWebミーティングでやり取りしています。みなさん本当に距離が近く、そこが一番の魅力です。

他のサービスではここまでやり取りすることはないですが、セキュリティ全般を幅広く支援いただいていることもあり、コミュニケーションの頻度は高くなります。「今空いてますか？」と気軽に声をかけて、すぐに会話して決めることもあります。インシデント発生時も、SHIFTさんの関係者メンバーと私を含めてWeb会議で常に情報共有しながら対応しているので、非常にコミュニケーションが活発でやりやすいです。

リモート中心ではありますが、不定期に対面での会議や懇親の場を設け、各担当とのリレーションシップを強化していただいています。

未来を見据えて。グループ全体の
ガバナンス強化と活動の可視化へ

今後の課題や期待していることはありますか？

末様

現在、ADKホールディングス、ADKマーケティング・ソリューションズ、ADKクリエイティブ・ワン、ADKエモーションズの4社を見てもらっています。最近、ニュースでもランサムウェアやフィッシングといった話は枚挙にいとまがなく、サプライチェーンの問題もあるので、グループ全体のセキュリティを上げることが課題だと思っています。

そのため、グループ会社を横断したセキュリティ向上を含め、今まで以上に範囲を広げてSHIFTさんにセキュリティのご支援をいただけたらなと思っております。

鈴木様

より厳格にグループ会社、孫会社のレベルまで管理していきましょうという話になっています。グループ全体のガバナンスをしっかりさせることが重要です。

私からの要望ですが、情報セキュリティ部門のパフォーマンスをアピールする為に、我々の活動を定量的に見せていく必要があります。SHIFTさんはもともとテストが本流で、かなり理詰めで数字を積み上げていく世界だと思います。セキュリティでも同様に、数字の積み上げで「だから我々とSHIFTさんが必要なんです」と言えるような根拠があると、とても助かります。

SHIFT 森

アンケートでいつもご指摘いただいていますが、ただデータをお出しするだけでなく、そのデータの先に何があるのかを考え、ストーリーを付けてお出しするということを、もう少し徹底していきたいと思います。

鈴木様

我々も目的をちゃんとお伝えしますので、「我々がやりたい目的があり、それに対してこのアクションをやりましょう。そのアクションが行われている裏付けとしてこのデータが必要です」という流れを組み立てるのをお手伝いいただければなと思います。

SHIFT 森

はい、同じデータでも見せ方や区切り方で意味合いが変わってくると思いますので、目的に合わせた最適な形でご提供していきます。