従業員が自ずとセキュリティ活動を行う体制を目指して
- ヌヴォトン テクノロジージャパン株式会社
- コーポレート戦略室 経営戦略課 奥出様
ヌヴォトン テクノロジージャパン株式会社について
ヌヴォトン テクノロジージャパン株式会社(以下、ヌヴォトン テクノロジージャパン)様は、1952年の松下電子工業株式会社設立から、半導体の設計および製造で60年以上の実績を持つ、グローバル半導体企業です。
設立以降、同社はパナソニックグループの一員として事業を担い、2014年にパナソニック セミコンダクターソリューションズ株式会社を設立、2020年には事業譲渡に伴い台湾にあるNuvoton Technology Corporationの傘下に移り、現在のヌヴォトン テクノロジージャパンへと社名が変わりました。
「『人』に寄り添い、つながる安心・幸せな社会を実現」を経営理念に掲げ、期待を超える付加価値の提供を通じて、社会・産業そして人々の暮らしにおける様々な課題を解決するグローバル・ソリューション企業を目指して、様々な技術や商品、それらを組み合わせたソリューションを提供しています。
- 本社:京都府長岡京市
- 設立:2014年3月
- 従業員数:約1,700名(2023年9月現在)
- Webサイト:https://www.nuvoton.co.jp/
- 沿革:https://nuvoton.co.jp/company/history.html
ヌヴォトン テクノロジージャパンの情報セキュリティマネジメント体制構築について
該社は2020年の事業譲渡により、ヌヴォトン テクノロジージャパンとして新たな情報セキュリティマネジメントシステムを構築する必要があり、ISO27001の認証取得に向けて取り組みを始めました。
同年よりLRMのコンサルティングサービスを契約し、情報セキュリティに関する各種規定の策定や文書化をおこない、2022年1月にISO27001の認証を取得しました。
当時の主担当であった奥出様はその後、コーポレート戦略室 経営戦略課に所属され、現在も情報セキュリティに加え、品質・環境・労働安全衛生など各種ISOマネジメントシステムの運用やリスクマネジメント業務など幅広い業務に携わっておられます。
該社は、2020年に開始した情報セキュリティの体制構築時から「セキュリオ」を利用しています。取り組みを開始するにあたってユーザー管理をはじめとしたインフラ面を整備し、教育をメインとした各種取組にセキュリオを活用しています。
2020年の取り組み開始時よりご担当いただいている奥出様に、現在の利用状況をお伺いしましたので、ご紹介いたします。
eラーニングで従業員教育を中心に幅広く展開
当社でセキュリオを導入した当初の主たる目的はeラーニング機能の利用でした。当社では、関係会社を含めた従業員や派遣社員の皆さんも含めると2,500人近くを対象にマネジメントシステムを適用しており、eラーニングの機能を活用して従業員教育を行っています。
ユーザー登録を一度おこなうと教材の配信を簡単におこなえることから、大きな工数をかけずに教育を実施できるため非常に役立っています。
また、自社のオリジナル教材も簡単に適用できるため、テーマに沿った教材を作成して自社独自のマネジメントシステムに関する教育にも活用しています。
セキュリティアウェアネスで継続的にリテラシーを高める
当社では、eラーニングを活用し、全社員に対して教育を行っていますが、個々の情報セキュリティリテラシーをさらに高めるため、継続的に情報セキュリティに関する情報に触れるよう定期的に設問を送付する機能であるセキュリティアウェアネスを活用しています。
セキュリティアウェアネスのように高い頻度で継続的に情報セキュリティに関するテーマに触れる取り組みは、これまで実施したことがありませんでした。現在は、情報セキュリティ推進委員会のメンバーを対象に実施し、毎週火曜日に3問ずつ配信を行っています。
いずれは全従業員へ展開することを視野に入れて取り組んでいます。
運用後、社内アンケートを用いて情報セキュリティ推進委員会のメンバーに対してセキュリティアウェアネスに関する感想についても聞き取りをおこないましたが、継続的に問題を解くことで、日ごろのセキュリティ意識向上に役に立っているとの反響を得ています。
標的型攻撃メール訓練で不審メールに対する意識付け
他にも重要な取り組みとして、不審なメールに対する意識付けのために、セキュリオを用いた標的型攻撃メールに対する社内訓練を実施しました。
訓練メールの内容は、複合機における『スキャン完了のお知らせ』という システムからの送信メールを模したテンプレートを用いてメールを作成しました。
昨今、巧妙なパターンの攻撃メールが実際に送られてくるため、今回実施した訓練結果を踏まえて定期的な実施で更なる意識付けを行っていく必要があると感じています。
不審なメールの意識付けは年に1回やればいいといったものではないため、短い期間で、かつ様々な訓練パターンでの実施が意識向上のポイントであると感じており、今後実施頻度や訓練パターンを検討しながら取り組む予定です。
社内アンケートで従業員の意識確認や内部監査・審査前の対応状況をチェック
従業員や情報セキュリティ推進委員会メンバーのセキュリティに関する意識や活動に対する受け止め方の確認、内部監査・審査実施前の対応状況チェックなどにセキュリオのアンケート機能を利用しています。
従業員や情報セキュリティ推進委員会メンバーに対するアンケートは、情報セキュリティに関する活動を進めていく中で、意識や活動に対する受け止め方がどう変化しているかを把握するために実施しました。1つのアンケートを配信するのみで全社員の意識調査ができるため効率的に活用できています。
また、内部監査や審査実施前の対応状況確認については、組織責任者や担当者へ審査の日程や事前準備物のチェック項目を発信し、アンケートを通して事前に対応することを促しています。
社内アンケートは汎用性があるため、様々な状況に応じて活用の可能性が拡がります。
セキュリティチェックで自社のリスクを分析
ISMS等の規格に基づいたセキュリティチェックのベースラインとして144項目の質問が用意されています。
これらの質問に、アンケート形式で回答をおこなうことで、結果的に自社のセキュリティ対策の実施状況を把握できるため、自社のリスク分析を実施でき、非常に役に立っています。
セキュリオを通して点と点になっているセキュリティ意識を線で結び面に拡げる
自社の情報資産やお客様などからお預かりした情報資産など日々取り扱う情報を守り、生かしていく必要がある中で、情報セキュリティに対する従業員の意識を高いレベルで定着させることは非常に重要です。
セキュリオを通して、eラーニングやセキュリティアウェアネス、更には標的型攻撃メール訓練などの機能を活用し教育を積み重ねていくことで、各従業員が自ずと自社の情報を守るための行動や活動ができるようにすることを目標として日々取り組んでいます。
点と点だったセキュリティの意識が、セキュリオを利用することでいつの間にか線となって結ばれ、更には面に拡がっていくことが理想と考えています。
今後も各機能のアップデートを行っていただくとともに、セキュリオの活用で各従業員に自然とセキュリティ意識が身に付いていき、かつセキュリティを守る行動へ繋がるような機能の展開を期待しています。
ヌヴォトン テクノロジージャパン株式会社様、お忙しい中ありがとうございました。
今後ともよろしくお願いいたします。
取材日:2023年5月
