【特集】グリー初!情報セキュリティ報告書を発行しました

このたびグリーでは、グリーグループの情報セキュリティ方針やマネジメント体制、活動内容をまとめた「情報セキュリティ報告書2020」を発行しました。今回は、作成を担当したセキュリティ部のメンバーに、グリーグループの情報セキュリティへの取り組みや今後の展望を伺いました。


奥村

奥村:グリー株式会社 開発本部 セキュリティ部 部長

2012年グリーに入社。セキュリティ専任メンバー第1号として、情報セキュリティ関連の業務に従事。


奥野

奥野:グリー株式会社 開発本部 セキュリティ部 セキュリティ推進チーム

2012年グリーに入社。社内ルールの策定・改定やアセスメント、社員の相談対応や教育など、情報セキュリティに関する幅広い業務を担当。

継続は力なり。セキュリティ活動に終わりはない

ーーグリーグループの情報セキュリティ方針や取り組み内容についてお聞かせください。


奥村

奥村:グリーグループでは、「情報セキュリティ活動」という言葉を意識的に使っています。セキュリティとは「これをやれば100%安全」というものではなく、活動に終わりはありません。事業の進捗や社会情勢の変化に合わせて、やり方を柔軟に変えていくことも必要です。ある一点から見れば完璧でも、他の点から見たら穴があるかもしれない。だからこそ対策をして終わりではなく、それが有効かを厳しくチェックし、改善点が見つかったらすぐに対応する、こういったサイクルを素早く回すことが大切です。「現状で十分だろうか」と常に自問自答しながら、私たちセキュリティ部が中心となって全社での活動を深化させています。


奥野

奥野:会社の中では日々さまざまな変化が起こっていて、従来のルールではカバーしきれないことも出てきます。たとえば新規事業の立ち上げに伴い、「この業務をすすめる場合、セキュリティ面でのリスクはありますか?」と社員から相談を受けることも。その都度何がリスクなのかを把握し、どのレベルまで対応しなければならないのかを一つひとつ判断してリスク回避につなげています。また、各グループ会社にセキュリティ担当者を設け、ミーティングで日頃の悩みや疑問を聞きアドバイスを実施しています。社員一人ひとりの意識を高めるとともに、気になったことや分からないことをそのままにせず、気軽に相談できる雰囲気づくりも大切だと考えています。


奥村

奥村:会社の歴史をさかのぼると、創業当初は情報セキュリティの専任部門を置かず、部門ごとに個別の取り組みを行っていました。しかし急激に売り上げが伸びていくなかで、ユーザー数に比例してゲーム上の不正やインシデントの数は増える一方。そこで「できる人ができる範囲でやる」という従来のスタンスを改め、2012年より全社での情報セキュリティ体制の構築がスタートしました。私は同年に情報セキュリティ専任担当者として入社し、脆弱性診断や教育などに取り組んできました。2016年には各部門に分かれていたセキュリティ関連の機能が、開発本部傘下のセキュリティ部に集約されワンストップの体制が整いました。

社員一人ひとりが意識を高め、全社でのレベル向上を目指す

ーー今回、情報セキュリティ報告書を作成することになった経緯を教えてください。


奥村

奥村:2016年末、SNS「GREE」およびスマホ向けゲームアプリを管理しているシステムにおいて不正アクセス事故が発生しました。結果としてお客さまの個人情報の漏えいには至りませんでしたが、この事態を重く受け止め、今日まで再発防止に取り組んできました。その活動内容をお客さまに知っていただくとともに、社員一人ひとりが今一度気を引き締め直す機会にしたいと考え、情報セキュリティ報告書を作成し広く公開できればと考えました。

ーー事故の再発防止に向けては、どのようなことに取り組んできたのでしょうか。


奥野

奥野:グループ全体の情報セキュリティマネジメント体制やルール整備のほか、社員向けの集合研修やeラーニングを通じた教育などに力を入れてきました。また、標的型攻撃メール訓練を繰り返すことで、信頼性の低いメールの添付ファイルを実行したり記載URLをクリックしたりすることの危険性について社員一人ひとりに身をもって学んでいただき、インシデントの通報率向上や早期対応につなげています。




奥村

奥村:新しいセキュリティソフトも導入しました。一般的にウイルス対策ソフトはリストに載っている不正なプログラムを探知して食い止めるという仕組みがありますが、ガードをすり抜けて侵入してしまうものもあります。当社が導入したソフトには、不正なプログラムが入ってしまった後に怪しい動きを見つける機能があります。セキュリティ=「守る」という側面に目が行きがちですが、事後に迅速に対処する「ダメージコントロール」という考え方も非常に重要だと考えています。

親しみやすく、グリーらしい報告書を

ーー情報セキュリティ報告書の作成にあたり、こだわった点や工夫した点を教えてください。


奥野

奥野:技術的情報セキュリティ対策のページで、「脆弱性診断」の特集を組みました。グリーグループでは専門チームを設置してゲームやアプリのリリース前後に脆弱性診断を行っています。以前は外部業者に委託していたのですが、現在では100%内製化しており、これは大きな強みだと考えています。


奥村

奥村:専任部隊を持つというのは会社として体力がないとできないことなので、業界的に見ても先進的な取り組みだと思います。


奥野

奥野:「わかりやすさ」と「親しみやすさ」もこだわった点ですね。さまざまな企業の報告書をチェックしたのですが、メインの読者として取引先となる企業を意識していることもあり、専門的でかっちりした印象のものが多いんです。でも私たちが一番に読んでいただきたいのは一般のお客さまで、この報告書を読んでいただくことで私たちのサービスを安心してご利用いただきたいという思いがあります。そのためデザインやレイアウトを工夫し、説明図や写真を多く盛り込みました。

ーー最後に、今後の展望をお聞かせください


奥野

奥野:日々セキュリティを取り巻く状況は変わっていますので、そうした変化を活動に反映させていきたいです。情報セキュリティ報告書に関しても、よりグリーらしさを取り入れたり読み手を飽きさせない工夫をしたりして、来年以降も継続して発行できればと考えています。


奥村

奥村:業界的に見ても、当社の取り組みは一歩先を行っているという自負があります。報告書を通じて当社グループの活動を積極的に発信することで、スタートアップ企業などにノウハウを還元していけたらいいですね。今年もしっかりと活動し、来年また良い報告ができればと思います。



本件に関するお問い合わせ先