株式会社GRCS様
導入サービス
Internal Risk Intelligence
(内部脅威検知)
株式会社GRCS
業界:GRC・セキュリティ
規模:東証グロース市場上場
担当部署:取締役・管理部長
担当者:田中 郁恵様
規模:東証グロース市場上場
担当部署:取締役・管理部長
担当者:田中 郁恵様
導入時の検討背景
当社自体がリスクマネジメントやセキュリティを担っている会社ですから、当然、社内における情報セキュリティ管理についても、他社に比べて高い水準が求められます。そのためInternal Risk Intelligence(以下、IRI)を活用する前から、国内外で新しい製品が出るたびに導入し、どれが自分たちの活動にマッチするのかを検討するなど、数多くのセキュリティ製品を試してきました。とはいえ、実際に導入してログを取るものの、課題の分析・解決という点では有効に活用できていなかったのが実情。外部脅威に対する備えに比べると、内部の脅威にはやや弱みがありました。
PCの操作履歴やログを取るといったことは当然行っていましたが、全従業員の操作ログを常時監視するような対策まではできていませんでした。実際に行っていたのは、抜き打ちテスト等ですが、全社員に対して網羅的に対策することができていたかと言われると難しい部分がありました。
ただ、対策不足を感じる一方で、社員同士が監視し合うような対策に抵抗があったことも事実です。当社のように百数十名規模の会社だと、社内は見知った顔ばかり。ログを分析する側の精神的な負担は決して小さくありません。それを踏まえると、社員が社員を監視するようなストレスを誰かが感じなくて済むという点も、外部と合わせて内部脅威対策を行うメリットだと感じています。
そうした中で、新規上場の話が持ち上がったため、IPOの準備を含めて、内部からの脅威に対しても、より高いレベルで対応していこうと考えたのが、IRIを導入することになった背景です。以前からエルテス社には、内部脅威対策システムのリーディング企業という認識があったので、ご相談させていただきました。
PCの操作履歴やログを取るといったことは当然行っていましたが、全従業員の操作ログを常時監視するような対策まではできていませんでした。実際に行っていたのは、抜き打ちテスト等ですが、全社員に対して網羅的に対策することができていたかと言われると難しい部分がありました。
ただ、対策不足を感じる一方で、社員同士が監視し合うような対策に抵抗があったことも事実です。当社のように百数十名規模の会社だと、社内は見知った顔ばかり。ログを分析する側の精神的な負担は決して小さくありません。それを踏まえると、社員が社員を監視するようなストレスを誰かが感じなくて済むという点も、外部と合わせて内部脅威対策を行うメリットだと感じています。
そうした中で、新規上場の話が持ち上がったため、IPOの準備を含めて、内部からの脅威に対しても、より高いレベルで対応していこうと考えたのが、IRIを導入することになった背景です。以前からエルテス社には、内部脅威対策システムのリーディング企業という認識があったので、ご相談させていただきました。
導入後の効果
これまで社内で行ってきたログの取得や分析などの業務が、目に見えて楽になりました。当社が今後発展していく上では、社員の振る舞いをきちんと「見える化」しておくことが重要だと思っていたので、社内のリソースだけでは難しかったログの常時分析が可能になったのは、とても大きなことだと感じています。
IRIの活用法については、情報セキュリティ面での活用がメインになっています。たとえば、社員の誰かがPCに届出のないUSBをつなぐような場面があれば、内部脅威かどうかを判断する前に、その社員に「どのような状況だったのか」をヒアリングするといった具合です。ほとんどの場合、うっかりミスやルールの周知不足だったりするのですが、IRIでアラートが出るたびにヒアリングや注意を行うことを繰り返せば、おのずと社内のセキュリティ意識は上がっていくはずです。
特に、IT企業やセキュリティ企業では、「ログは当然取られているだろうけれど、その分析までは手が回っていないのではないか」と、セキュリティを甘く見ている社員も少なくないと耳にしたことがあります。
「きちんと見ていますよ」「きちんと分析していますよ」と理解してもらう意味でも、IRIは非常に有効に機能していると思います。また、USBや外部クラウドの使い方など、期間ごとに注視するポイントを決めてIRIによる監視を強化するなど、セキュリティポリシーを徹底するための“定期検査”のような活用も行っています。
IRIの活用法については、情報セキュリティ面での活用がメインになっています。たとえば、社員の誰かがPCに届出のないUSBをつなぐような場面があれば、内部脅威かどうかを判断する前に、その社員に「どのような状況だったのか」をヒアリングするといった具合です。ほとんどの場合、うっかりミスやルールの周知不足だったりするのですが、IRIでアラートが出るたびにヒアリングや注意を行うことを繰り返せば、おのずと社内のセキュリティ意識は上がっていくはずです。
特に、IT企業やセキュリティ企業では、「ログは当然取られているだろうけれど、その分析までは手が回っていないのではないか」と、セキュリティを甘く見ている社員も少なくないと耳にしたことがあります。
「きちんと見ていますよ」「きちんと分析していますよ」と理解してもらう意味でも、IRIは非常に有効に機能していると思います。また、USBや外部クラウドの使い方など、期間ごとに注視するポイントを決めてIRIによる監視を強化するなど、セキュリティポリシーを徹底するための“定期検査”のような活用も行っています。
サービスが役に立った場面
IPOの際には、証券会社から必ず「社内の情報セキュリティ対策をどのように行っていますか」という質問を受けます。つまり、社員の個人情報や会社の機密情報などの漏洩を防止するための具体的な仕組みを提示する必要があるのです。そして、その際は「外部脅威に対してどのように備えているか」「社員をどう教育しているか」といった、通り一遍の説明では十分とは言えません。
当社の場合、そうした説明に加えて、「IRIを導入して社員のリスクに繋がりうる振る舞いを検知し、分析・対策を行っています」と、より説得力のある回答ができたため、情報セキュリティの部分では追加の質問が一切ありませんでした。それを考えれば、IRIはIPO準備においても非常に役に立ったといえるのではないでしょうか。
また、当社は情報セキュリティマネジメントの国際規格である「ISMS認証」を受けていますが、ISMSの運用にもIRIが大いに活用できています。維持審査や更新審査のあるISMSでは、会社が策定したルールを全ての社員がどのように守っているかをチェックする必要がありますが、IRIのレポートを使えばそうした作業がとても容易になります。普段の内部脅威対策はもちろん、IPO準備やISMS認証で苦労されている企業の方にも、IRIはおすすめのサービスだと思います。
当社の場合、そうした説明に加えて、「IRIを導入して社員のリスクに繋がりうる振る舞いを検知し、分析・対策を行っています」と、より説得力のある回答ができたため、情報セキュリティの部分では追加の質問が一切ありませんでした。それを考えれば、IRIはIPO準備においても非常に役に立ったといえるのではないでしょうか。
また、当社は情報セキュリティマネジメントの国際規格である「ISMS認証」を受けていますが、ISMSの運用にもIRIが大いに活用できています。維持審査や更新審査のあるISMSでは、会社が策定したルールを全ての社員がどのように守っているかをチェックする必要がありますが、IRIのレポートを使えばそうした作業がとても容易になります。普段の内部脅威対策はもちろん、IPO準備やISMS認証で苦労されている企業の方にも、IRIはおすすめのサービスだと思います。
導入時の苦労やハードル
ログとして取得する情報について、事前に社員に説明するなど、個人情報の扱いについての社内的なルール変更が必要でした。ただ、そうした点については、エルテス社から「社員への同意の求め方」に関する細かなマニュアルや関連する判例についてのリーガルコメント、導入の際に想定されるハードルやその対応についての資料などをいただけたので、法務や社内のメンバーにも簡潔に説明することができました。おかげで、導入時に何か苦労したという認識はないですね。
業務に役立つ資料を探す
サービス資料請求/相談する
サービスを詳しく知りたい
その他の導入事例
CONTACT
上場しているからこその透明性の高いサービスを提供
1,000社以上への提供実績
お電話でのお問い合わせはこちら
(平日10:00~18:00)
ご不明な点はお気軽に
お問い合わせください
お問い合わせください
デジタルリスクに関するお役立ち資料を
ご用意しています
ご用意しています
