グリーでは2022年1月に「グリー情報セキュリティ報告書2022」を発行しました。この報告書は、グリーが実施しているセキュリティへの取り組みをまとめ、年に1度作成・発行しているものです。今回はセキュリティ部部長の大久保さんに、2021年のグリーグループにおけるセキュリティ活動について聞きました。

ーー2021年、特に重点的に取り組んだ施策はありますか？

※ネットワークに接続されている端末など

■認証に関するルールの強化(「グリー情報セキュリティ報告書2022」13-14ページ)
システムの設定や管理権限を持つアカウントは「特権アカウント」と呼ばれ、特に厳重な運用が求められます。2021年はこの特権アカウントの運用状況について再確認し、運用ルールの徹底をおこないました。アカウントの不適切な扱いによるリスクを従業員に改めて周知し、社内システムに適用するパスワード要件も強化しています。

■エンドポイント対策(「グリー情報セキュリティ報告書2022」24ページ)
メーカーのサポートが終了した製品は、その製品に脆弱性が発覚しても更新プログラムの配布などが行われず、非常に危険です。多くの従業員が利用していた「Adobe Flash Player」もサポートが修了した製品のひとつですが、セキュリティ部では、業務への影響を調査し、製品のアンインストール作業および修正パッチの適応をスムーズに完了させることができました。

ーー社員に向けての啓発は工夫していますか？

■標的型攻撃メール訓練(「グリー情報セキュリティ報告書2022」21ページ)
サイバー攻撃のひとつである「標的型攻撃メール」を模した訓練用メールを、従業員に無作為に送付、対処方法を経験することで、受信時の適切な対処を身につけることが目的です。セキュリティソフトの更新依頼、営業、身代金請求（ランサムウェア）といった近年のサイバー攻撃の特徴、手口を踏まえ、より実際の攻撃に近いものになるよう工夫しています。
訓練の実施後は添付されたファイルの開封件数と通報件数を集計・分析し、改善すべき点を社内訓練用の教材に組み込むことで、従業員の意識を高めています。

■インシデント対応訓練(「グリー情報セキュリティ報告書2022」22ページ)
セキュリティ部を中心としたサイバー攻撃の対応担当者を対象に、模擬訓練を実施しています。対応経験者の知見や過去の事例について共有し、改善方法を議論することで、多様な状況に迅速に対応できる体制を構築しています。

ーーこれまで「継続的に取り組んできたこと」で強化したことはありますか？

■脆弱性情報の収集(「グリー情報セキュリティ報告書2022」28ページ)
システムやアプリケーションの脆弱性の検出、有識者および社内構築の情報集約機能を活用し、脆弱性情報やセキュリティニュースなどの情報を収集しています。
情報収集後、緊急度の高い脆弱性情報に関しては、コミュニケーションツールを利用して社内に展開し、対処を徹底しています。

■ガイドラインに基づく情報セキュリティ対策確認と改善(「グリー情報セキュリティ報告書2022」18-19ページ)
2020年より、情報セキュリティの対策状況を確認するプラットフォームサービスを活用し、ISMS、NIST CSF、CIS Controls (※)などで定められた最適な情報セキュリティ対策の指標に基づいて、実施状況を評価しています。
社内状況の調査及び改善を進めた結果、2021年11月時点でのスコアは1000点満点中785点となり、2020年11月時点の754点より上昇、他社平均（約2,000社）の591点を上回ることもできました。
また、今回はリスク算出基準も改定しました。リスクの大きさは「発生可能性」×「影響度」で算出されますが、「発生可能性」と「影響度」それぞれを緻密に設定することで、各課題のリスクをより的確に把握することができるようになりました。
当取り組みは今後も継続し、将来を見据えたセキュリティ戦略につなげていきたいと考えています。

※ISMS：Information Security Management Systemの略であり、情報セキュリティの管理方法に関する国際規格
※NIST CSF：National Institute of Standards and Technologyが定めるCyber Security Frameworkであり、情報セキュリティに対する最適な対策及び対策状況を数値化するための評価基準
※CIS：Center for Internet Securityが定める、情報セキュリティ対策の技術面に焦点を当てたフレームワーク

ーー継続していくこともとても重要ということですね。2022年の活動について一言お願いします。