DIGGLE、セキュリティへの多層的取り組みを公開技術・人・文化で信頼基盤を構築か

DIGGLE株式会社は、社内セキュリティ施策に関するインタビュー内容を公開しました。企業のデジタル化が進む中、技術的な対策に加え、従業員の教育や組織文化の醸成を通じて、顧客の信頼に応えるセキュリティ体制を強化していると伝えています。

技術・人・文化の三位一体

見出し

1 技術・人・文化の三位一体
2 情報システム部門の取り組み：人を中心としたリスク低減
3 プロダクトにおけるセキュリティ：透明性と専門性
4 外部基準への準拠と継続的な改善
5 まとめ
6 ソース元

同社は、セキュリティインシデントのリスクをゼロにすることは不可能であるとの認識のもと、技術的な対策、従業員への教育、そしてオープンな報告を促す組織文化の三位一体でセキュリティを強化しているといいます。情報システム部門とプロダクト開発部門の両面から、具体的な施策が紹介されました。

情報システム部門の取り組み：人を中心としたリスク低減

同社のコーポレートIT・情シス担当でISMS責任者を務める西和範氏は、セキュリティ対策において「人」の教育に注力する理由を語っています。標的型攻撃メールの被害が増加している現状に対し、従来の安否確認訓練を標的型攻撃メール訓練に変更するなど、従業員のリテラシー向上を図っているといいます。

西氏は、DIGGLEが扱うデータの重要性が高く、情報漏洩が顧客に与える影響が大きいという共通認識が社員にあるため、セキュリティ業務への協力的な風土があるとしています。また、情報セキュリティ規定に基づく指示だけでは人は動かないとして、「もしこのデータが漏洩したら、お客さまにどのような影響が出るか」という相手に寄り添った説明を心がけていると述べています。

ISMS（情報セキュリティマネジメントシステム）の運用においては、各グループに担当者を配置し、毎月セキュリティ定例を開催することで、社員一人ひとりがセキュリティ運用レベルを認識する場を設けています。ISMS管理ツールを導入し、各種文書の一元管理を行うことで、現場の協力もスムーズに得られているということです。

今後の展望として、社内業務やプロダクト機能でのAI利用増加に伴い、データガバナンスの強化が必要であると西氏は指摘しています。セキュリティを「守り」ではなく「サービス向上のための攻めの基盤」へと飛躍させることをビジョンとし、ガイドラインの継続的な改定を進めるとしています。

プロダクトにおけるセキュリティ：透明性と専門性

エンジニアリングマネージャーの重松郁哉氏とSRE・セキュリティ担当の寺川美月氏は、プロダクトにおけるセキュリティの基本的な考え方について、リスクを完全にゼロにすることはできないが、「あってはならない」という認識のもと、一つ一つの積み重ねが重要であると強調しています。

同社では、昨年8月の寺川氏の入社以降、システムが外部基準に準拠しているか、ログが正しく取得されているか、データが暗号化されているかなどの再確認を進めています。また、人が脆弱性となるリスクを低減するため、社内意識の醸成を目的とした訓練も重視しています。

重松氏は、セキュリティインシデント発生時に迅速に対応するためには「組織の透明性」が重要であると指摘。失敗をオープンに報告できる文化が、会社全体のセキュリティ姿勢を左右するとし、同社のカルチャーがプラスに働いていると評価しています。

エンタープライズ企業の増加と組織の拡大に伴い、セキュリティ専任担当者を配置。これにより、専門的な視点から詳細なセキュリティチェックが可能となり、各チームからの問い合わせ対応も円滑に進んでいるといいます。属人化を防ぐため、資料化・ドキュメント化も進め、セキュリティ意識の統一を図っています。

プロダクトへのアクセス制御については、顧客環境にアクセスできる社員の権限を厳しく制限し、必要な担当者のみが閲覧できる環境を整備しています。ログ記録に関しては、障害や外部攻撃発生時に適切な対処ができるよう、誰がどのような情報を使用したかを必要に応じて確認できる体制を整えています。エンジニアの操作ログも記録されますが、これは何かあった際に自身を守るためでもあり、心理的負荷は低いと説明しています。

外部基準への準拠と継続的な改善

寺川氏は、外部基準を満たすことが顧客の安心につながるという考えに対し、チェック項目を埋めることがゴールではなく、基準を満たした上で継続的に改善することが重要であると述べています。攻撃手法や脆弱性は常に更新されるため、定期的な見直しが不可欠であるとしています。

同社は現在、IPA「安全なウェブサイトの作り方」や総務省「クラウドサービスの安全・信頼性に係る情報開示指針」、経済産業省「クラウドサービスレベルのチェックリスト」の3つに対応しています。これにより、透明性を確保し、顧客が安全にサービスを利用できる判断軸を提供しているといいます。

重松氏は、今後の展望として、何か問題が起きた時だけでなく、日々誰でもセキュリティチェックができる状態を目指すとしています。寺川氏は、「セキュリティがしっかりしているからDIGGLEなら安心」と顧客に言ってもらえるよう、プロダクトや会社の成長に合わせてセキュリティを進化させ続けたいと抱負を語っています。