じげんグループ 情報セキュリティアップデートの最前線
じげんは2022年10月、全社的なセキュリティ対応のアップデートを目的とした「情報セキュリティ委員会」・「セキュリティマネジメントユニット」を新設した。
ガイドライン策定などのルール対策はもとより、委員会による全社的な課題把握や方針策定、また各種相談対応など、体制面でのアップデートにも取り組んでいる。
今回は新組織ふたつのなりたちと、情報セキュリティとじげんがどう向き合っていくのか、(写真左より)森山(経営戦略部 法務マネージャー 兼務)、ユニットヘッドである武谷(内部監査室 室長 兼務)、永井(開発ユニットヘッド 兼務)、鷹野(情報システム室 室長 兼務)の4人に話を聞いた。
新組織・セキュリティマネジメントユニットが取り組むミッションとは
今回は、じげんの情報セキュリティ対応の中心となっている4人の責任者の皆さまに集まっていただきました。まずはセキュリティに関するこれまでの取り組みと現在の概要を教えてください。
武谷:じげんでは、プライバシーマーク認証に基づく情報管理体制は整備していましたが、個人情報管理のフレームでの安全管理措置は、サイバーセキュリティ等の外部脅威へのコントロールとして必ずしも十分であったとは言えません。
また、この管理体制とは別に、事業ラインの役員やプロダクトの技術責任者や私などが参加している「セキュリティ対策プロジェクト」がありました。
セキュリティ統制チェックといったアセスメントやグループ研修、脆弱性診断等を行い、セキュリティリスクを低減する取り組みをしていましたが、システムセキュリティ領域も扱っていたものの、組織特性上は明確な権限があるわけでなくグループ含め任意性ある形で進めていました。
そのやり方は良い点もありましたが、推進力には難があったことから、改めて課題を踏まえ、持続的・継続的・横断的に情報セキュリティを推進していくため、ルール・体制の両面でアップデートに取り組んでいるところです。
ルールと体制のアップデートとは具体的にどのようなことですか。
武谷:ルール面では、「情報セキュリティ対策ガイドライン」を策定し、従来の諸規定を整理・統合するとともに、Pマーク関連規程では不足していたシステムセキュリティ対策や具体的な業務オペレーションに関する遵守事項を明記しました。
体制では代表取締役を長とする「情報セキュリティ委員会」を設置し、全社的な課題把握や方針策定を行う体制を構築しました。また委員会事務局も設置し、ガイドラインの実効的な推進や各種相談対応を実施します。
これに加えて、プロダクトのシステムセキュリティを実効的に推進するため「セキュリティマネジメントユニット」が事業本部直下の横断組織として設置されました。
同ユニットは私が責任者となり、ここに集まっている永井(開発ユニット長 兼務)・鷹野(情報システム室長 兼務)もメンバーとなっています。
我々3人とここにいる森山がコアメンバーとなり、「情報セキュリティ委員会」の事務局として、委員会運営やレポーティングを担当しています。
それぞれの専門性を持った、セキュリティリーダー陣が集結
皆さんは様々な職種から情報セキュリティ委員会事務局メンバーとして参画されているんですね。それぞれの役割とかあるんですか。
武谷:各メンバーは、普段自分たちの所属ラインで職責に伴う情報セキュリティ上の役割を果たしています。
例えば法務であれば、個人情報管理に関する台帳やリスク分析の取り纏め等です。
また、事務局としては自分が事務局長である以外は細かに役割を分けていませんし、まだ立ち上がったばかりですが、今後委員会に上程する基本方針案や横断的な施策を検討する予定なので、各自の専門性を活かしてこれに取り組むことになります。
では、みなさんご自分の役割について簡単に説明頂けますか。
森山:私は経営戦略部という部門の法務マネージャーをしています。
法務は、従来からPマーク対応をしており、本事務局でも個人情報管理・プライバシー対応の観点から、参画をしています。
鷹野:私は情報システム室長として、いわゆる社内情報システム・OA環境等を統括しています。
マルウェア対策や各システムのバックアップ、クラウドセキュリティゲートウェイの管理等含めたコーポレートITの観点での情報セキュリティ対応をしています。
永井:最後は私ですかね。じげんが運営するサービスのプロダクト基盤の責任者というところなので、主にネットワーク、インフラストラクチャーを中心としたような基盤でのセキュリティ対応を担っている感じです。
別々の仕事を抱えながらも、同じ方向を向いてしっかりと歩んでいけるチーム
それぞれの担当領域から力を合わせている、という感じなんですね。
森山:そうですね。ここ2年くらいはかなり整備が進み今回のルール・体制整備がひとつの節目になった印象です。
私が入社した2019年頃は、セキュリティで何かあっても誰に相談したらいいのか?といった体制でしたが、武谷の推進もあり、ナレッジの蓄積や相談先の明確化がだいぶ形づくられてきたように思います。
武谷:直近の整備もありますが、前提としては、情報システム室の鷹野が様々な基盤をイニシャルに作ったことや、永井が進めたGCP移行が非常に大きいと思っています。
鷹野:私は2018年に入社していますが、当時はまだ社内の情報システム部門自体がありませんでした。
そこでOA環境や社内システムインフラ・サーバの構築等を行っていました。それがバージョン1.0だとして、そのあとにコロナ禍でリモートワークが始まり、マルウェア対策・VPN・シングルサインオン(SSO)等のセキュリティソリューションの導入が急ピッチに進みましたね。
永井:GCP移行についてですが、移行前は国内ベンダーのサーバを使っていました。
環境分離・権限分離などが十分ではなかったですね。
GCPに移行してまず良かったところは、アクセス権限グループを職種ごと・担当ごとに細かく設定し、need to knowの原則に立ち返ることができたことですね。
加えて、いわゆるIAPといわれるアイデンティティー認識型プロキシー経由でのログインによって、管理画面へのアクセス制御や多要素認証との連携なども容易になりました。
アクセス自体もブラウザベースにできるので、利便性も高くなりました。
GCPへの移行はサービス自体の高度化・安定化という面でも大きかったですが、セキュリティ的にもかなりメリットがあったと思います。
これまでの歩みがよく分かりました。ところで、皆さんが現在感じている情報セキュリティ面の課題にはどんなものがありますか。
武谷:じげん本体でいえば、今回策定されたガイドラインの管理要件が浸透・定着したり、クリティカルなギャップが計画的にアップデートされることが大切かなと思っています。
10月に全社説明会も開催しましたがまだ説明不足の点があると認識しています。
また、今回ガイドラインではAWS・GCP等のクラウド環境上の考慮事項も記載していますが、これら要件も更に具体化したり、必要なベストプラクティスが採用できるようクラウドサービスベンダー側のホワイトペーパーとの紐づけしたり、内容の充実も重要です。
鷹野:テクニカルな規定のチューニングもそうですが、じげんはM&Aが多く、ご一緒させて頂くグループ会社によってはシステム管理体制が途上のケースも見られるので、前提となる管理体制をいかに構築して、ベースラインを底上げするかも大元としては考えるべきかな、と。
少し砕いて言うと、大きな枠組みとして「こういうのをやっていきましょう」というポリシーのようなものが明確になり、それを提案したうえでサポートするというような、そんな形ができれば1番いいのかなと思います。
武谷:そうですね。
例えば、セキュリティポリシーが異なるネットワークを接続することがNGなように、統一的なポリシーを軸としてグループ全体でのベースラインを今まで以上に明確にしていくことは大事かもしれません。
そのなかで現業ある皆さんに、我々のような2線組織が、要件踏まえた守り方につきサポートさせて頂くというイメージを持っています。
話しは変わりますが、皆さん凄く仲がよさそうですね。
武谷:そうですね。一概に言えませんが大規模な組織だとセキュリティ部門とプロダクト部門、法務部門等の連携が上手くとれないシーンも見聞きしたことがありますが、我々はそういうのが少ないかな、という気はします。
永井:まじめな話をすると、ちちょっと少数精鋭的な面もあるからだと思いますよ。
ほぼ集約しちゃっているから、話しも早いし、という。後はちゃんと同じ方向を向いているのも勿論あると思います。
武谷:忙しくて喧嘩している暇はない、というのもあるかもしれませんね。
一同:笑
「守る」の一辺倒では終わらせず、「活かす」ことでバリューを出す
その他に取り組みたい課題はありますか。
森山:少し違う観点かもしれませんが、お預かりした情報を適切に保護することもそうですが、適切かつ効果的に利活用していくかも重要な課題かなと考えています。直近だと2022年4月に改正個人情報保護法が施行されています。漏洩時の報告・罰則の強化や情報の自己決定権の拡充などプライバシー配慮や事業者側の責務が追加される一方で、従来の匿名加工情報だけでなく仮名加工情報が新設される等データ利活用に向けた内容も追加されています。
当社はマーケティングに強みを持つ会社なので、過度に萎縮せず法令を遵守したうえで、情報の利用範囲や方法を磨き込むことも大切ではないでしょうか。
武谷:おっしゃるとおりですね。セキュリティという意味ではどうしても漏れる・消える・止まるを防ぐことが主眼になりますが、活用の課題を考えることも重要ですね。
森山:私見ですが、やってはダメなことは大体みんな分かり分かりつつあるのですが、「やっていいことの範囲が実はもっとある」という部分をまだ伝えきれていないかもしれません。
であれば、そこに我々のバリューがきっとありますよね。
永井:プロダクト回りでいうと、Apple・Googleがサードパーティークッキーに対して規制が掛かっていく現状があるんです。
具体的には、今まで他社からもらっているデータを、広告などを含めてプロダクトに使っていました。
ですが、それはどんどん縮小されていて、将来的になくなっていくだろうと見ています。じげんも、サードパーティークッキーに依存してリターゲティングをしていた部分があります。
これに対して、今後は自社で正確にデータを取る流れになるわけですが、そこでもセキュリティガバナンスやマネジメントを効かせることが、安全な利活用の前提になるわけです。
現代だと、こうしたプロダクトのビジョンや戦略にもセキュリティの要素がかなり関わってくるな、というのが実感ですね。
まずはじげん内、そしてグループへの横展開を目指して
短期長期の課題に対する目標、いつまでにどんなことを実現したいかみたいなのって具体的にあったりするんでしょうか。
武谷:冒頭の話と重なりますが、短期的にはガイドラインの定着をしっかりやりたいですね。
特に、重要な情報を扱うサービス・システムに関しては優先的にですが、まずはじげん内で確実に対応するとともに、グループへの横展開もしていきたいです。
もうひとつ、M&Aが多い会社の特性があるので、デューデリジェンス段階からシステム・セキュリティのリスク・コストを識別し、PMI工程で確実に対応していくようなシフト・レフト型のスキームを確立したいと考えています。
既に何例かはトライアルで行い、一定の手応えは感じています。これを更にフレーム化して会社のレガシーにしていきます。
セキュリティは「待ったなし」でいつインシデントが発生するか分かりません。
10月から組織内CSIRTを立ち上げ、従来からのインシデント管理体制とリンクした対応をできる体制を作りました。
とはいえ、「仏作って魂入れず」とならないよう、情報収集・トリアージ・応急処置・再発防止までの流れをシームレスにできるよう演練していきます。
こうした練度向上や知見獲得の一環として、日本シーサート協議会への加盟検討をすすめており、ワークショップのオフザーバー参加を経て現在正式な加盟手続きに入ろうとしているところです。
ありがとうございます。最後に一言。
武谷:ビジネスとのバランスを踏まえた、情報セキュリティ管理の確立は重要かつ難解なテーマですが、今のメンバーで継続的に努力すれば必ず達成できると信じています。頑張ります!
現在募集中の関連求人はこちら
-
Jobs 【中途】《内部監査室》マネージャー候補
summary-
募集概要
インターネット上場ベンチャーとして、2006年の創業事業・組織組織ともに急成長している当社の内部監査室において、マネージャー候補を募集致します。
-
仕事内容
当ポジションでは、グループ会社も含めた各種内部監査・内部統制評価業務をリードして頂きます。
<具体的な業務内容>
・内部統制(J-SOX) の各整備・運用状況評価
・業務監査・システム監査・情報セキュリティ監査
・インシデント発生時の対応支援・アドバイザリー
・監査役支援、外部監査法人対応※ご経験・スキルにより、以下もお任せしたいと考えております。
・グループ全体のリスクアセスメント
・内部監査・内部統制の年間計画策定
・情報セキュリティ対策プロジェクト、デューデリジェンスの支援
・PMIでの内部統制構築コンサルティング
・リスクマネジメント・内部統制の教育・研修企画<仕事の魅力>
・社長・取締役・監査役等の役員と日常的にコミュニケーションすることができます。
・上場企業の内部監査・内部統制業務の最上流工程からレポーティング・フォローアップまで一元的に関わることができます。
・成長事業へのM&Aを活発にしており、新規子会社のPMIや内部統制構築に関わるチャンスが多数あります。
・アシュアランス系の評価業務だけでなく、ルール策定や業務フロー設計等、コンサルティング系の構築構築支援業務に関わることも可能です。
・コーポレート全体としては会計士や弁護士など専門性の高いメンバーが在籍している一方で、20代30代を中心としたメンバーも多い若い組織で個々の裁量は大きく、企画提案をしやすく組織や業務を動かす経験を積みやすい環境です。
・将来的には内部監査部門の責任者、グループ会社を含むコーポレート部門における責任者や、監査役等のキャリアパスもあります。<組織体制>
管掌役員は代表取締役 社長執行役員CEO 平尾 丈となり、室長1名の組織となります。
基本的にはリソースを踏まえて調整した年間計画に基づき業務をするため、働きやすい環境です。 -
応募条件
【必須スキル】
・事業会社又は監査法人における内部監査、内部統制、リスク管理に関わる業務経験3年以上
・多部署、経営層との円滑なコミュニケーションが可能な方【歓迎スキル】
・経理・法務等バックオフィス領域における実務経験
・監査関連の専門資格(CIA・CISA・CFE・USCPA・公認会計士・簿記等) -
雇用形態
正社員
-
試用期間
3カ月
※試用期間中の待遇などに変更はありません。 -
勤務地
東京都港区虎ノ門3-4-8
-
勤務時間
フレックスタイム制
・コアタイム:10:00~16:00
・フレキシブルタイム:(始業)7:00~10:00 (終業)16:00~22:00
・1日の標準労働時間:8時間
※所属長の判断により、10:00~19:00等の固定シフトとなる可能性がございます。 -
休日・休暇
完全週休2日制(土日祝)、夏季休暇、年末年始休暇
年次有給休暇(時間単位での取得も可能) -
想定給与
月給:458,334円~750,000円
※固定残業手当(45時間分):119,220円~195,087円を含む。
※45時間を超過した時間外労働の残業手当は追加支給。
※採用時のポジションにより、試用期間終了後、
別途役職手当・管理監督者手当を支給する場合あり。上記はあくまで想定であり、ご経験・スキルを考慮して決定いたします。
(給与改定年4回) -
待遇
【保険】
各種社会保険完備(雇用・労災・健康・厚生年金)【交通費】
全額支給【受動喫煙防止のための取組み】
屋内原則禁煙(喫煙室あり)【福利厚生・社内制度】
・関東ITソフトウェア健康保険組合
・ベネフィットステーション
・社内クラブ活動支援
・リファラル採用決定でインセンティブ支給
・誕生日月にAmazonギフトカード1万円分支給
・社内交流イベント(全社会、シャッフルランチ等)
・N-minutes(1日20分間昼寝ができる)
・資格補助制度
・服装自由
・在宅勤務制度有 等 -
選考フロー
書類選考 → 一次面接 → 適性検査+二次面接 →(最終面接)→ 内定
※面接はオンラインで実施いたします。
※適性検査については一次面接通過のご連絡後、最終面接までにオンラインで受験いただきます。(15分程度)
また、選考の合否は適性検査結果のみで判断されることはありません。
※決裁権限者や特定のポジションでの採用の場合、内定通知前にリファレンスチェックを実施させて頂いております。ご理解頂けますと幸いです。 -
よくあるご質問
こちらをご覧ください→FAQ
-
-
Jobs 【中途】《情報システム室》社内SE(社内情報システム部門)リーダー候補
summary-
ポジション概要
グループ・拠点の拡大に伴い、情報システム室におけるメンバー~リーダーを募集致します。
当ポジションでは、社内ヘルプデスク業務や端末管理・購入、各種システムの運用等の定常業務に加え、地方拠点立ち上げに伴うインフラの構築・ネットワークの整備やM&A時のプロジェクト推進等もお任せ致します。
※ご経験やお持ちのスキルにより実務範囲は以下の中で調整させて頂きます。
※ご志向により、下記に加え情報システム室のチームビルディングサポートや後輩育成等もお任せ致します。<具体的な業務内容>
・各種サーバー構築・運用
・ネットワーク機器の管理・運用、WiFi環境の管理・運用
・セキュリティ設計・ポリシーの策定と浸透推進
・情報管理ルール・マニュアルの策定
・端末管理・キッティング
・各種社内ツールの開発・運用・保守
・上記全般の障害・トラブル対応、社内ヘルプデスク
・地方拠点管理、新規拠点立ち上げに伴うインフラ企画・運用
・M&Aに伴うプロジェクト推進【仕事の魅力】
・サービスを多岐にわたって運営し、M&Aじげんグループがで年々拡大している中、情報システム室は3名という少数精鋭で構成されているため、幅広い業務経験幅、キャリアパスをご用意できます。
・コーポレートインフラのサポートで企業に幅広く貢献できるポジションであり、日々従業員から感謝の言葉をいただくことも多くあります。
・拠点立ち上げやM&A、グループ会社管理等、情シスとして幅広い経験を積むことができます。【関連記事】
じげんのニューノーマルをどう創るか vol.01 | 働き方・働く場所
情報システム室 室長の鷹野のインタビュー記事です
https://overs.zigexn.co.jp/culture/zigexn_speed/3459/ポジションの詳細・エントリーについては下部【この求人に応募する】よりご確認ください。
-
よくあるご質問
こちらをご覧ください→FAQ
-
