グローバル化、サイバー攻撃の増加、新型コロナウィルスの拡大——。さまざまな社会情勢の変化によって、企業を取り巻く外部環境が多様化するなか、企業活動の根本に関わるGRC(G:ガバナンス、R:リスク、C:コンプライアンス)とセキュリティの課題をテクノロジーの力で解決しようとする会社がある。株式会社GRCSだ。同社は、2021年に新規上場を果たしているが、その準備を進めるにあたって、内部脅威対策の手段として選んだのは、エルテスの「IRI(Internal Risk Intelligence)」だった。今回は、IRIの分析マネージャーである満山大輔とともに、GRCS社の取締役・管理部長の田中郁恵氏を訪問。IRI導入の背景や導入後の効果などを聞いた。
セキュリティに関わる企業だからこそ求められる、より高水準なリスク管理
――はじめに、GRCS社の業務について簡単にご紹介ください。
田中 組織の目標を適切に策定し、達成させるための仕組みであるガバナンス、その目標達成を阻害する要因を把握・管理するためのリスクマネジメント、そして企業として遵守すべき法律や社内規定、モラル、社会規範を守るための仕組みであるコンプライアンス。当社では、そうしたGRCの領域に、外部脅威から自社の情報などの資産を守るセキュリティの領域を加え、企業にさまざまなコンサルティングや製品を提供しています。
具体的には、ガバナンス、リスク、コンプライアンス、セキュリティそれぞれの専門人材とテクノロジーを組み合わせて、企業課題の分析・解決・維持までをワンストップで支援させていただいており、主なクライアントとしては、遵守すべきルールや規制などが多い金融関連や通信関連の企業、グローバル企業などが挙げられます。社名にも使っているGRCという言葉は、欧米では企業経営のスタンダートとして認知されていますが、日本ではまだそれほど知られていません。ですから、この領域のリーデングカンパニーとして、日本企業の皆様にGRCという考え方を訴求していくことも、当社の役割だと考えています。
▶GRCS社の詳しい事業紹介はこちら
――数々の大企業のリスク対策を担っている御社が、エルテスの内部脅威検知サービス「IRI」(※1)を導入されたことには、どのような背景があったのでしょう?
田中 当社自体がリスクマネジメントやセキュリティを担っている会社ですから、当然、社内における情報セキュリティ管理についても、他社に比べて高い水準が求められます。そのためIRIを活用する前から、国内外で新しい製品が出るたびに導入し、どれが自分たちの活動にマッチするのかを検討するなど、数多くのセキュリティ製品を試してきました。とはいえ、実際に導入してログを取るものの、課題の分析・解決という点では有効に活用できていなかったのが実情。外部脅威に対する備えに比べると、内部の脅威にはやや弱みがありました。
そうした中で、新規上場の話が持ち上がったため、IPOの準備を含めて、内部からの脅威に対しても、より高いレベルで対応していこうと考えたのが、IRIを導入することになった背景です。以前からエルテスには、内部脅威対策システムのリーディング企業という認識があったので、ご相談させていただきました。
――相談があった当時、エルテス側からはGRCS社の内部脅威対策について、どのように見えていましたか?
満山 内部脅威対策に真摯に取り組む企業には2つの種類があると感じています。1つは、セキュリティ企業や金融業界のようにコンプライアンスの欠如がサービスの信頼性の低下に繋がるリスクがある企業。もう1つは、製造業のように技術情報がコアコンピタンスである企業です。
ですから、お話をいただいた時には、「GRCS社がセキュリティ対策を提供し、自社のリスク対策にも真摯に向き合われているからこそ、内部脅威対策への危機感が強い」と感じました。もちろん、ログの取得など最低限の対策は行っておられましたが、「まだ十分ではない」と感じたのが正直なところです。
田中 その通りだと思います。PCの操作履歴やログを取るといったことは当然行っていましたが、全従業員の操作ログを常時監視するような対策まではできていませんでした。実際に行っていたのは、抜き打ちテスト等ですが、全社員に対して網羅的に対策することができていたかと言われると難しい部分がありました。
ただ、対策不足を感じる一方で、社員同士が監視し合うような対策に抵抗があったことも事実です。当社のように百数十名規模の会社だと、社内は見知った顔ばかり。ログを分析する側の精神的な負担は決して小さくありません。それを踏まえると、社員が社員を監視するようなストレスを誰かが感じなくて済むという点も、外部と合わせて内部脅威対策を行うメリットだと感じています。
社員の振る舞いの「見える化」が、セキュリティ意識の向上を促す
――実際にIRIを導入されて、業務面などではどのような変化がありましたか? また、IRIを主にどのような面で活用されているかについても教えてください。
田中 これまで社内で行ってきたログの取得や分析などの業務が、目に見えて楽になりました。当社が今後発展していく上では、社員の振る舞いをきちんと「見える化」しておくことが重要だと思っていたので、社内のリソースだけでは難しかったログの常時分析が可能になったのは、とても大きなことだと感じています。
IRIの活用法については、情報セキュリティ面での活用がメインになっています。たとえば、社員の誰かがPCに届出のないUSBをつなぐような場面があれば、内部脅威かどうかを判断する前に、その社員に「どのような状況だったのか」をヒアリングするといった具合です。ほとんどの場合、うっかりミスやルールの周知不足だったりするのですが、IRIでアラートが出るたびにヒアリングや注意を行うことを繰り返せば、おのずと社内のセキュリティ意識は上がっていくはずです。
特に、IT企業やセキュリティ企業では、「ログは当然取られているだろうけれど、その分析までは手が回っていないのではないか」と、セキュリティを甘く見ている社員も少なくないと耳にしたことがあります。
満山 セキュリティ対策の実情を知っているからこその感覚ですね。
田中 「きちんと見ていますよ」「きちんと分析していますよ」と理解してもらう意味でも、IRIは非常に有効に機能していると思います。また、USBや外部クラウドの使い方など、期間ごとに注視するポイントを決めてIRIによる監視を強化するなど、セキュリティポリシーを徹底するための“定期検査”のような活用も行っています。
――担当者から見て、GRCS社におけるIRIの活用法について特徴的な点などはありますか?
満山 GRCS社では、社員が私物のPCを業務利用することを許可されていることもあり、「社員の利便性」と「会社として守るべきセキュリティルール」を両立させるための課題に、覚悟を持って立ち向かっている印象があります。こうした仕事のスタイルは、IRIを導入していただいているお客様のなかでも珍しいケースですが、コロナ禍でリモートワークが進んだこともあり、今後は同様の企業が増えていくでしょう。だからこそ、我々としてもGRCS社へのサービスのご提供は、今後に繋がる大きなチャレンジだと考えています。
IPOやISMSなどの認証取得にも役立つサービス
――IRIを導入するにあたって、ハードルになったことや苦労した点などはありましたか?
田中 ログとして取得する情報について、事前に社員に説明するなど、個人情報の扱いについての社内的なルール変更が必要でした。ただ、そうした点については、エルテスから「社員への同意の求め方」に関する細かなマニュアルや関連する判例についてのリーガルコメント、導入の際に想定されるハードルやその対応についての資料などをいただけたので、法務や社内のメンバーにも簡潔に説明することができました。おかげで、導入時に何か苦労したという認識はないですね。
――先ほどIPOの話も出ましたが、IPOの準備においてIRIが役に立った場面はありますか?
田中 IPOの際には、証券会社から必ず「社内の情報セキュリティ対策をどのように行っていますか」という質問を受けます。つまり、社員の個人情報や会社の機密情報などの漏洩を防止するための具体的な仕組みを提示する必要があるのです。そして、その際は「外部脅威に対してどのように備えているか」「社員をどう教育しているか」といった、通り一遍の説明では十分とは言えません。
当社の場合、そうした説明に加えて、「IRIを導入して社員のリスクに繋がりうる振る舞いを検知し、分析・対策を行っています」と、より説得力のある回答ができたため、情報セキュリティの部分では追加の質問が一切ありませんでした。それを考えれば、IRIはIPO準備においても非常に役に立ったといえるのではないでしょうか。
また、当社は情報セキュリティマネジメントの国際規格である「ISMS認証」を受けていますが、ISMSの運用にもIRIが大いに活用できています。維持審査や更新審査のあるISMSでは、会社が策定したルールを全ての社員がどのように守っているかをチェックする必要がありますが、IRIのレポートを使えばそうした作業がとても容易になります。普段の内部脅威対策はもちろん、IPO準備やISMS認証で苦労されている企業の方にも、IRIはおすすめのサービスだと思います。
――ありがとうございます。では最後に、満山さんから今後のIRIの展望をお聞かせください。
満山 GRCS社をはじめとする企業様での導入事例を受けて、IRIをより進化させていきたいと考えています。具体的には、メールやチャットなどの本文におけるワードの組み合わせや出現頻度から、贈収賄やインサイダー取引といった不正行為や長時間労働、ハラスメント、不当な販売方法といったリスクを検知する「自然言語処理機能」の実装を予定しています。
これまでのログによる振る舞い分析に加え、今後は言葉の分析によって、より精度の高い内部脅威の検知を目指していきますので、ぜひ期待してください。
▶内部脅威対策サービス(Internal Risk Intelligence)の詳細はこちら
※1 さまざまなログデータから「ヒト」の行動を解析し、企業内部での「異常行動」や、 その「動機」「可能性」「兆候」を持つ人物を検知・可視化し、重大なインシデントの発生を未然に防ぐことのできるサービス。
===
プロフィール
田中 郁恵(IKUE TANAKA)
株式会社GRCS 取締役・管理部長 国内独立系コンサルティングファーム入社。その後独立、株式会社アガスタの創業に参画、株式公開を果たす。2014年5月GRCS取締役就任。管理部担当。
満山 大輔(DAISUKE MITSUYAMA)
ソリューション事業本部 リスクインテリジェンス部 分析グループ マネージャー 自動車会社、人材派遣等を生業にするIT企業を経て、2022年にエルテスに入社。内部不正のリスクマネジメント支援を多数の企業に対して行う。
