【カギは仕組み化】社員が主体的に取り組み続けるセキュリティ対策! | 橋上 知仁 | VINXニューリテール・コラム | 株式会社ヴィンクス| 流通小売業向けシステム

日本語 English

VINXニューリテール・コラム - 橋上 知仁

VINXニューリテール・コラム

トップ > VINXニューリテール・コラム > 【カギは仕組み化】社員が主体的に取り組み続けるセキュリティ対策!

【カギは仕組み化】社員が主体的に取り組み続けるセキュリティ対策!

【カギは仕組み化】社員が主体的に取り組み続けるセキュリティ対策!

はじめに

企業・個人へのサイバー攻撃や詐欺が増えるなど、昨今はセキュリティ上の脅威がますます高まってきています。こうした社会環境のなかで、お客様が持つ個人情報や情報資産を守り続けるために、ヴィンクスではセキュリティ強化委員会を設置し、様々な対策を実施しています。
今回のコラムでは、その取り組みについてご紹介させていただきます。

 

ヴィンクスのセキュリティ体制

セキュリティリスクへの対策がIT企業に強く求められるなかで、ヴィンクスではセキュリティ強化委員会を設置しています。2000年に発足して以降、委員会としての体制やその取組みを継続的に発展させてきました。

 

セキュリティ強化委員会の位置付け

セキュリティ強化委員会は社長直属の組織であり、委員長は社長が任命します。各部門から部長以上が委員として参加しており、事務局は情報システム部が担っています。2023年度の委員会は、技術本部長が委員長、情報システム部長が副委員長を務め、17名の委員で構成されています。

 

セキュリティ強化委員会の取り組み

委員会は毎月定例会を開催しており、年間活動計画をもとに順次その施策を進めています。
基本的な活動の例としては、以下のようなものが挙げられます。

公的認証の取得・更新
個人情報保護マネジメントシステム(PMS)や情報セキュリティマネジメントシステム(ISMS)の取得・更新に向けた取り組み

社内規定の整備
個人情報保護法などの関連法規の改正や公的認証制度で求められる要件に合わせた社内規定の変更やその周知

社員教育
定期的にセキュリティ対策について学べるよう、eラーニングのコンテンツを用意。
全従業員に受講してもらった上で理解度チェックテストを実施し、全員がセキュリティ対策について一定水準以上の知識を得られる制度を整えています。

ルールの設定・啓蒙
情報漏洩などのリスクがある業務に関しては、委員会がセキュリティ対策ルールを設定。
ルールを守って業務を進めるように全従業員に向けて啓蒙を行っています。

【セキュリティ対策ルールを設けている業務の例】
・個人情報やお客様情報を取り扱う業務
・ネットワークの新設、改廃
・クラウドなどの開発環境の構築
・社外のアップロードサイトなどの利用
・セキュリティルームの新設・改廃
※機密情報を外部に漏洩させないために、セキュリティ対策を施したオフィス内の区画のこと。

 

セキュリティルームのイメージ図

お客様の情報資産を守るためにヴィンクス内には多数のセキュリティルームが設けられており、各ルームはヴィンクスのオフィスのネットワークとは物理的に分離されています。指紋認証や静脈認証による入室管理を行っており、権限が与えられていなければ経営陣であっても入室できません。

また、セキュリティ強化委員会では、「セキュリティパトロール」や「インシデント情報の管理・共有」にも力を入れています。それらの取り組みについて、詳しく解説していきます。

 

セキュリティパトロールでルール遵守を徹底
セキュリティパトロールのイメージ

この図はヴィンクスのセキュリティパトロールの概要を表しています。
委員会で定めた年間計画に基づいて、毎月担当者がセキュリティパトロールを行っており、社内規定や公的認証制度のガイドラインに沿って業務に取り組めているかを部門ごとにチェックしています。

さらに委員会では、各部門からのパトロール結果報告を確認し、検出された問題の原因を分析しています。分析結果は部門の垣根を越えて互いに共有し、再発防止に取り組んでいます。
こうしてPDCAサイクルを継続的に回し改善することで、セキュリティ対策の質(管理精度)を高めています。

 

全部門のインシデントを管理し、全社員に公開&啓蒙

システム運用や情報管理において脅威となるインシデント(できごと)が発生した際には、各部門の委員を通じて委員会に報告されます。
また、インシデントに対して行った対応や立案した再発防止策なども含め、すべてのインシデント情報を経営層および全社員に公開・共有しています。

インシデント報告経路

社員に対しての情報共有は、社内向けのポータルサイトで行っています。
公開されたインシデント情報はセキュリティ対策のために各部門で活用されており、ミーティング時に読み上げて情報を周知している部署もあります。

このような知見の共有により、同様のインシデントを発生させないための対策だけでなく、インシデントが発生してしまった際の対処法についてのノウハウの蓄積も進めることができています。

 

おわりに

委員会の発足から20年以上が経過し、さまざまな取り組みを推進してきた結果、インシデント自体の発生数が減少しているだけでなく、内容や傾向が掴めるようになってきています。これは、社員全員のセキュリティインシデントに対する意識や知見の高まりによるものだと捉えています。
今後もセキュリティ強化委員会が中心となり、お客様の情報資産を守るための対策や社内啓蒙を進めてまいります。

ここまでお読みいただき、誠にありがとうございました。

 

\その他のヴィンクスの取り組みもご紹介/

第三者視点で支援!開発品質を高めるヴィンクスの仕組みとは?

関連コラム「第三者視点で支援!開発品質を高めるヴィンクスの仕組みとは?」を読む


複雑化するシステム運用に対応!ヴィンクスが進める標準化・自動化とは?

関連コラム「複雑化するシステム運用に対応!ヴィンクスが進める標準化・自動化とは?」を読む

 

この記事へのお問合せ

橋上 知仁 Tomohito Hashigami

技術本部
情報システム部
部長

詳しくはこちら

登壇者一覧

このコラムを書いている人

もっと見る

タグ一覧