グリーグループでは、2024年1月に「情報セキュリティ報告書 2024」を発行しました。本報告書は、2020年から年に一度作成し、グリーグループの情報セキュリティ方針やマネジメント体制、活動内容を掲載しています。今回はセキュリティ部のメンバーに、2023年の活動を振り返り、注力した取り組みについて聞きました。
神谷:セキュリティインフラグループ / セキュリティ企画チーム
セキュリティルールの策定、相談対応、遵守を徹底するための啓発などを行い、ポリシー面でのセキュリティガバナンスを担っている
>
覚張:セキュリティエンジニアリンググループ / セキュリティ診断チーム シニアエンジニア
脆弱性診断の実施や相談対応によりサービスの安全性強化を行い、技術面でのセキュリティガバナンスを担っている
荒木:リードプロジェクトマネージャー(インフラストラクチャ部 / デパートメントストラテジーグループ / BPOチームと兼任)
インフラストラクチャ部での業務を活かし、セキュリティ相談での技術検証やセキュリティ部の業務自動化の推進を担っている
グリーグループ従業員による生成AIサービスの活用と安全な利用(「情報セキュリティ報告書 2024」P17~18に記載)
ーー生成AIサービス利用について、情報セキュリティ対策を講じる背景を教えてください。
神谷:生成AIサービスは業務の効率化やアイデアの創出などに役立つ反面、利用方法や設定を誤ると、入力したデータが学習され他者への回答に利用されるなど、情報漏えいのリスクが指摘されています。グリーグループでは、こうしたリスクを最小限に抑えた上で、生成AIサービスを積極的に活用していくことが重要だと考え、従業員が生成AIサービスを安全に利用するための指針として、ガイドラインを策定しました。
ーーガイドラインではどのようなことを定めていますか。
まず、生成AIサービスの利用が初めての従業員にも理解しやすいように、生成AIの定義、サービス例、利用することで発生しうるリスクを説明しています。それから、安全性の高い生成AIサービスの選択基準、業務で利用する際のルールと手続きを定めています。
ーー策定する上で工夫されたこと、また困難があればどのように解決したかを教えてください。
生成AIサービスの利用に関しては、情報セキュリティだけでなく、個人情報保護や著作権・特許の観点でもリスクが存在しますので、それらのリスクを管轄する法務・知財部門や情報システム部門と連携し、生成AIサービス全体のリスクを捉えるようにしました。その上で、生成AIサービスの業務への活用と安全性のバランスについて、インターネットサービス業界の情報セキュリティ担当者の方々とも意見交換を行い、ガイドラインの策定に至りました。
ーーガイドラインの開示後、反響はいかがでしたか。また、今後の見通しをどのように考えていますか。
従業員よりガイドラインの策定を歓迎する声が多くあがりました。生成AIは技術の変化が著しい分野ですので、常に最新の動向を把握し、迅速にガイドラインへ反映したり、従業員教育のコンテンツにも盛り込むことで、従業員の生成AIに関する理解とスキル向上を推進します。
クラウド診断の実施(「情報セキュリティ報告書 2024」P30に記載)
ーー実施した背景を教えてください。
覚張:これまでも情報セキュリティ対策の有効性を検証するために、さまざまな施策を講じてきました。例えば、攻撃者視点でシステムの脆弱性を探し出し、疑似攻撃を実施、適切な対応ができるかを評価し改善する手法として、レッドチーム演習※やOSINT※を活用した検証を実施しました。今回、社内で利用するシステムの多くをクラウドサービスに移行した現状を踏まえ、クラウドサービスが適切に設定され、攻撃を受けるリスクが存在しないかを確認する必要性が高まったことで、クラウド診断を導入するに至りました。
※レッドチーム演習…攻撃者視点を取り入れて実施する情報セキュリティの専門家によるテスト手法。レッドチーム(攻撃側)とブルーチーム(防御側)に分かれて実施する
※OSINT (Open Source Intelligence)…一般に公開され利用可能な情報をもとに、機密情報などを収集、解析する手段・手法
ーークラウド診断とはどのような施策でしょうか。
クラウド診断は、組織内のクラウドサービスプラットフォーム上に構築されたアプリケーションをスキャンすることで不正アクセスや情報漏えいなどに関する脆弱性やリスクを特定し、深刻度や影響範囲を評価し、対策を提案する施策です。対策には、セキュリティポリシーの改善、システムのパッチ適用、セキュリティ設定の強化などが含まれます。
ーーどのような成果がありましたか。
クラウド上に潜む脆弱性やリスクを特定し適切な対策を施すことで、悪意ある攻撃や不正アクセスからの防御が強化されました。また、インフラに関して、クラウド設定を含むセキュリティ施策が高い精度で行われていることが再確認できたことも大きな成果です。
ーークラウド診断をどのように活用したいですか。
安全な設定の共通化など、クラウド診断で得た知見を社内で利用するクラウド全体に展開するほか、セキュリティ部でクラウド診断のノウハウを習得するなどし、社内で利用するクラウドのセキュリティレベルを向上する体制を構築していきたいと考えています。
パートナー企業と連携した情報セキュリティ対策(「情報セキュリティ報告書 2024」P14-16掲載)
ーーパートナー企業と連携した情報セキュリティ対策を講じる背景を教えてください。
荒木:パートナー企業がグリーグループの重要な情報を取り扱うこともあるため、情報セキュリティの観点でもパートナー企業と信頼関係を築き、情報を保護することが必要です。これまでも、パートナー企業に遵守いただきたい事項として「グリーグループ情報セキュリティガイドライン」を定めるなど対策を講じていましたが、今回、新たに二つの対策を導入しました。
ーー新たに導入したのはどのような対策でしょうか。
まず、業務委託契約書にパートナー企業による安全管理措置の実施義務の記載を追加しました。安全管理措置には、秘密情報を保護する体制およびインシデントに対応する体制の整備、研修の実施、PC等情報機器の盗難の防止対策などが含まれています。また、前述の「グリーグループ情報セキュリティガイドライン」の遵守について、改めてお約束いただくために誓約書の提出を求めることにしました。
ーー導入後はどのような反応があったのでしょうか。
情報セキュリティに関する意識が高いパートナー企業が多く、迅速にご協力いただくことができました。また、グリーグループ従業員にとっても、お取引の際に、パートナー企業に関する情報セキュリティルールを確認する良い機会となりました。
ーー状況にあわせた新しい取り組みも大切ですね。2024年の活動について一言お願いします。
2023年は生成AIサービス本格導入元年ともいえる年で、グリーグループの各部署からさまざまな相談をいただきました。2024年も、新技術や事業環境の状況をキャッチアップし、スピード感とのバランスをとりながら、皆さまが安心・安全にサービスをご利用いただける環境整備に努めてまいります。本報告書では、グリーグループの情報セキュリティに関する最新の取り組みをご紹介しています。ぜひご一読ください。
