「セキュリオ」は、情報セキュリティに非常に効果的で、最小限の労力でのISMS認証取得にも役立つと思います。
- 株式会社アイ・ピー・エル
- 動画配信事業部・上原 誠様
動画配信事業部・佐藤 勇貴様
ISO27001とISO27017を取得しているアイ・ピー・エルは、日常的に情報セキュリティに関する取り組みを行っており、その一環でセキュリティ教育クラウド「セキュリオ」を積極的に活用されています。
今回は、ISMS運用のご担当者であり、「セキュリオ」を運用していらっしゃる佐藤様と、従業者として「セキュリオ」を利用いただいている余語様・呉様に、具体的な「セキュリオ」の運用方法や成果についてお話を伺いました。
株式会社アイ・ピー・エルについて
数多くの高度情報処理技術者を有し、GIS(地理空間情報システム)や組込みシステムの開発などを行っている。
また、ストリーミング配信技術や、音声変換技術、ウォーターマーク技術などをはじめとした豊富な開発ノウハウを活かし、最先端の情報セキュリティと負荷分散技術を組み合わせて自社開発したクラウドサービス「動画配信プラットフォーム クラストリーム」を提供。二要素認証などを用いて、限定した視聴者へ動画を配信するためセキュリティを担保しつつ配信が可能。クラウド配信だけでなく、オンプレミス配信やエンタープライズ他拠点配信システムにも対応しており、大手企業や金融機関、公的機関など幅広い企業で導入されている。
ソフトウェア開発技術やクラストリームをはじめとした自社サービスにより、お客様が実現したい未来に必要なシステムをつくり、より革新的な価値の提供を目指す。
- 本社:神奈川県厚木市
- 設立:1992年2月
- 従業員数:約35名(2022年3月現在)
- Webサイト:https://ipl-soft.co.jp/
ISMS取得に向けて「セキュリオ」を導入
「セキュリオ」を導入されたきっかけを教えてください。
クラストリームをはじめとした弊社サービスは、高度なセキュリティ対策も強みとなっています。
弊社の情報セキュリティに関してお客様からより信頼していただくために、ISMS取得を目指すこととなり、LRM様にコンサルティングを依頼しました。ISMS構築の際に「セキュリオ」を利用し、使い勝手がよかったため、ISMS取得後も継続利用を決定しました。
eラーニングや標的型攻撃メール訓練を中心に、複数機能を活用
現在「セキュリオ」のどの機能をご利用されていますか?
eラーニングや標的型攻撃のほか、社内アンケートやサプライチェーンセキュリティ、法令管理、情報資産管理台帳など、複数の機能を利用しています。
eラーニングは、現在どのような内容や頻度で実施されていますか?
現在は、年1回の頻度で実施しています。
教材を作成する工数を削減したく、ISMS事務局内で検討し、「セキュリオ」にあらかじめ用意されている「情報セキュリティ定期研修」の教材を利用し、実施しました。
実際にeラーニングを受講してみて、「セキュリオ」教材はボリューム感がちょうど良いと感じました。また、操作感についても特に気になる箇所等はなく、スムーズに受講できました。セキュリティを日頃から意識し続けるのはなかなか難しいと感じていましたが、「セキュリオ」によるeラーニング受講は、改めて情報セキュリティについて学ぶいい契機となりました。
受講結果はほとんどが高得点でしたので、ISMS事務局としても安心しました。
「セキュリオ」導入以前に、実施されていたセキュリティ教育はございますか?
「ISトレーニング」を年1回実施していました。こちらは、弊社の取引先からのご要望もあり、集合研修のような形式で、情報セキュリティに関する分厚い資料を従業者全員で丸1日かけて読み合わせ、議論などを行っていました。新入社員に対する情報セキュリティに関するルール等の共有の場にもなっており、新たな気づきが得られる側面もある一方で、テストの実施などはなく、理解度や定着度が見えづらい状況でした。
今後は、ISトレーニングで、ISMS構築の際に新たに作成した社内ルールの読み合わせ・議論をおこなう時間を設けつつ、「セキュリオ」のeラーニングも併用し、さらなる理解度の向上・定着化に繋げていきたいと考えています。
標的型攻撃メール訓練はどのように実施されましたか?
当時のISMS事務局メンバーが4人でしたので、それぞれ1通ずつメールを作成し、計4回の標的型攻撃メール訓練を実施しました。最初に、訓練を実施すること自体は従業者にアナウンスしましたが、いつ送信するかなどは公表しませんでした。
また、メール文面は、「セキュリオ」に用意されているフォーマットを活用しつつ、従業者がより引っかかりやすいように、厚木市の災害対策本部からの送付を想定したダミーメールを作成したりと、かなり自社でカスタマイズしてから配信しました。
さらに、リンク型と添付ファイル型も織り交ぜて実施しました。
訓練結果としては、事務局が事前に想定していたよりも開封数はかなり少なかった印象です。
ただ、開封してしまった人も0ではなく、上長に指摘されるまで開封したことをあまり気に留めていなかったというケースもあり、標的型攻撃は他人ごとではなく、日頃からより気を引き締めなければと意識するきっかけになりました。
社内アンケート機能はどのように利用されていますか?
リモートワークにおける私物PCの利用状況や、私用モバイル端末の利用状況など、ISMS運用状況チェックの一環として利用しています。
情報セキュリティ関連の業務は、とりあえず「セキュリオ」を利用してみようという流れもあり、複数の機能を利用しています。
サプライチェーンセキュリティ機能はどのように利用されていますか?
委託先情報の管理や、委託先へセキュリティ対策状況をお伺いするアンケート実施も含めて利用しています。
委託先へ直接、「セキュリオ」の使い勝手をお伺いしたことはありませんが、委託先から「セキュリオ」に関する質問対応は発生していないため、問題なくご利用いただいているかと思います。
委託先へのセキュリティチェックのアンケートは、以前は紙やExcelを利用して実施していましたが、現在は、「セキュリオ」を利用し作成から配信、集計まで行っています。
「セキュリオ」には、テンプレートも多数用意されており、カスタマイズすることも可能になっています。アンケートをイチから作成するのは本当に大変ですので有難いです。
情報資産管理台帳機能・法令管理機能についてはいかがですか?
法令管理はISMS取得以前から行っていましたが、情報資産管理台帳の作成は、ISMS取得時に新たに作成し、現在はそれぞれ「セキュリオ」で管理しています。
情報資産管理台帳については、最初はExcelで作成していましたが、途中で「セキュリオ」での管理に変更しました。Excelで作成した際も、LRMから提供いただいたフォーマットに則り作成しており、記載項目が「セキュリオ」上と一致していたため、CSVインポートを利用し、簡単に載せ替えができました。
今後はドキュメントも「セキュリオ」で一括管理したい
今後のセキュリティ対策の展望などはございますか?
先日もISMS審査を受け、審査報告書にて指摘事項がいくつかありますので、順次対応していきたいと考えています。
また、開発業務に関わるドキュメント等へのアクセス権限の見直し・強化なども実施し、お客様から信頼をさらに強固にしていければと思います。
今後「セキュリオ」に期待されていることはございますか?
現状、大きな不満は感じていません。
将来的にはルールブック機能なども利用し、ドキュメント管理も「セキュリオ」で対応していけたらと考えています。
強いてあげるとすれば、弊社は社内ツールとしてSlackを利用しており、社内でのメールコミュニケーションはあまり無い状況です。
標的型攻撃もあり、メールの利用頻度自体をなるべく下げたいという風潮もあります。
ですので今後は、「セキュリオ」とSlackの連携をより強化していただき、eラーニングの教材配信の通知等も、Slackの個人アカウントにそれぞれお知らせされるようになれば、受講漏れなどをさらに無くせるのではないかと思いました。
最後に、「セキュリオ」の導入を検討されている方へアドバイスなどありましたらお願いいたします。
「セキュリオ」は、情報セキュリティに非常に効果的で、最小限の労力でのISMS認証取得にも役立つと思います。
特に、eラーニングのコンテンツが定期的に更新されるのは、運用担当者の工数削減に繋がり、助かっています。
また、ISMS取得を目指さない企業様であったとしても、セキュリティ対策は日々対応すべき課題であると思います。「セキュリオ」は、ISMSの取得有無に関わらず使いやすいツールだと思います。
株式会社アイ・ピー・エルの皆様、お忙しい中ありがとうございました。
今後ともよろしくお願いいたします。
取材日:2022年3月