お客様インタビュー「東洋鋼鈑株式会社様」

情報セキュリティ対策についての方針、また重視されていることを教えてください

東洋鋼鈑では、生産・販売・環境安全などのリスク管理の一環として、情報管理委員会が設置され、運用するためのルールとして、情報管理規程と情報セキュリティ管理規程を制定しています。さらに我々情報システム部門では、従業員が社内ルールを守るため、守ってもらうため、よりわかりやすい表現でとりまとめた情報資産ガイドラインも作成しています。
親会社である東洋製罐グループホールディングス株式会社を含めた東洋製罐グループとして、情報セキュリティレベルを強化する=その時代にあった仕組みにする、という命題があります。その上で、東洋鋼鈑の情報セキュリティレベルを向上させるには、何を、いつ、どういうことをやるべきなのか、などを東洋鋼鈑なりの考えで運用しています。

例えば、従業員に対し、以下のことを実施しています。

従業員教育

パソコン・USBメモリ紛失、メール誤送信の注意を喚起する内容のDVD鑑賞、新入社員研修での集合教育など実施

全社にメールで注意喚起

ニュースでウイルスメールが話題になった際は、全従業員へ注意喚起のメールを送信

メールソフト（グループウェア）にファイル暗号化と誤送信抑止の機能を追加

メールに添付してファイルを送信する際、ファイルを暗号化する機能と誤送信を抑止するため一時保留機能を追加

「セキュリティスターターパック」をどこでお知りになりましたか？

2016年10月20日に宇部情報システム主催で開催された「情報セキュリティー対策セミナー for 山口」で知りました。長年お付き合いさせていただいている宇部情報システムが、初めて山口県内の企業向けに開催されることもあり、興味を持ちました。以前から情報セキュリティ対策は実施していたのですが、本当にできているのか、必要なことが漏れていないか、現状の対策を網羅的にチェックできるものはないか…ちょうど、そんな一歩を踏み出したい時にセミナーの案内をいただき、参加しました。

「セキュリティスターターパック」導入の決め手となったことは何でしょうか？

セミナーへの参加、また「セキュリティスターターパック」の紹介を受け、東洋鋼鈑の情報セキュリティレベルを客観的に診断できると思いました。また、費用もそれほど高くはなかったこと、さらには、短期間で実施でき、対策レベルを網羅的に把握できるということに魅力を感じました。さらに社内のルールが我々情報システム部門の仕事として、どこまで浸透できているかも把握できるのではないかと思いました。

導入に3ヵ月かかったのはなぜでしょうか？

「セキュリティスターターパック」の標準的な作業期間は1ヵ月ということでしたが、東洋鋼鈑では独自要件を盛り込んだため、2017年の1~3月にかけて導入・実施しました。
今回、独自要件としたのは「セキュリティスターターパック」の中の1つ「標的型メール訓練ライト」の内容です。メール送信対象者数を500人から700人、送信回数を1回から5回にそれぞれ変更したため、導入から完了まで3ヵ月かかりました。一度訓練メールを受信した人が忘れた頃に次回訓練を実施したかったので、訓練の実施間隔をある程度空けました。それも時間を要した理由ですが、全体を通してみると「短期間で実施できた」という印象があります。
訓練の手順ですが、まずは我々情報システム部メンバーを対象としたテスト訓練を実施し、結果の分析を行いました。テスト用の作業時間は必要になりましたが、あらかじめ手順を一通り把握できたので、実際の訓練はスムーズに実施することができました。

「セキュリティスターターパック」導入において、準備されたことは何ですか？

標的型メール訓練ライト（ご担当：西牟田氏）

まず、全グループウェアアカウントの中から半分の700人を選びました。次に、利用者の混乱を避ける意図で、5回に分けて標的型メール訓練を実施しました。各回、対象者の選定にはExcel^®の関数を利用し、候補者のメールアドレスを部署、役職関係なくランダムに選びました。また、標準で準備されている数種類のメールテンプレートから、訓練に適していると思われる内容を選んで使用しました。
訓練開始後は、想定通り対象者からの問い合わせがありましたが、その中でも、標的型メール訓練を実施していることを周囲に他言しないように促す工夫が必要でした。

アセスメントライト（ご担当：森松氏）

事前にヒアリングシートの質問に回答し、それをもとにコンサルタントによるヒアリングを受けるというものでした。ヒアリングシートに回答するにあたり、グループ内の関係者で何度か打合せを行いました。常日頃から同じ意識を持っていれば意見は同じなのでしょうけど、微妙なズレも多少あり、それらをまとめるのに少し時間がかかりました。

ネットワーク脆弱性診断ライト（ご担当：松本氏）

事前にいただいたヒアリングシートに従って、対象ネットワークの選定をしました。今回は、脆弱性が発見された場合の影響度を考え、社外取引先に向けて公開しているシステムを診断対象としました。

「セキュリティスターターパック」の導入効果はいかがでしたか？

標的型メール訓練ライト

2017年2、3月に実施した1回目の「標的型メール訓練ライト」の後、2017年8月に1回目訓練対象外だった従業員を対象に2回目の訓練を実施しました。これで全従業員が訓練を受けたことになります。その効果もあってか、2017年10、11月頃、実際に標的型メールの攻撃を受けた際に、多数の従業員から「怪しいメールが届いた、また訓練か？」と問い合わせがありました。不審なメールを受信したら開かずに情報システム部に連絡する、という社内ルールが従業員に浸透しつつある、という点を実感することができました。

アセスメントライト

東洋鋼鈑の情報セキュリティ対策について、強み・弱みを知ることができ、認識合わせもできました。また、規程を作った側と守る側に認識の差があることが分かりました。普段、規程に準じて仕事をしているつもりでも、情報を発信して従業員にちゃんと伝えている、という点が足りていなかったと思いました。当診断で得た結果について、弱みの部分を重点的に対処していけば、情報セキュリティレベルも向上するはずです。

ネットワーク脆弱性診断ライト

業務時間帯での実施でしたが、通常業務に影響を与えることなく完了できました。当診断で大きな問題は検出されませんでしたが、仮に侵入された場合のリスクを想定し、Webアプリケーションに対しての脆弱性診断*も別途実施しました。専門家の定期的な診断を受けることで、想定される脆弱性・影響を事前に把握し、適切な対策を施す重要性を再認識することができました。

2017年12月には、株式会社オージス総研の方を講師に招き、国内各拠点にて「セキュリティ勉強会」を開催しました。管理職をはじめ多くの従業員が参加し、情報セキュリティ対策についての知識を学びました。

* 「Webアプリケーション脆弱性診断」はさくら情報システム株式会社のソリューションです

宇部情報システムへの評価と今後期待することを教えてください

今回は結果的に、本当に良いタイミングで良いサービスを紹介していただいたと捉えています。我々が以前からやりたかった「情報セキュリティ対策レベルを客観的な視点で、定量的に評価する」ことを、実現することができました。「標的型メール訓練」は来年度も実施する予定です。今後の情報セキュリティ教育として、定期的に実施したいと思います。
昨今、ひとたびセキュリティ事故が発生すると、大きな損害になりかねません。それを考えると、費用対効果は十分あると思います。
「セキュリティスターターパック」について、要望を挙げるとすると、「アセスメントライト」について、1つあります。例えば、我々情報システム部門以外にも総務部門や品質管理部門など組織の中には情報が集中しているユーザ部門が存在します。それらの部門に対し、情報セキュリティ意識を向上させるようなものと考えていたのですが、実際は情報システム部門向けの内容でした。今後は、ユーザ部門を対象に情報セキュリティレベルが診断できるものも、ご提案いただければ幸いです。