-
印刷用PDF > [PDF] (481KB)
2009年6月掲載
GUNZE グンゼ株式会社様
SUMMARY
-
サービス名称:情報セキュリティ実装・運用評価サービス
-
サービス概要:情報システムにおけるセキュリティ対策の実装および運用状況の妥当性を評価
-
期間:本調査に3日間、報告書作成に約2週間
Interview
グンゼ株式会社
技術開発部
システム企画担当 神山 俊夫氏
「今回サービスを依頼したことにより実際に改善すべきポイントが明確に示され、本来実施すべき情報システム上のセキュリティ対策がとりやすくなりました」
技術開発部
システム企画担当 神山 俊夫氏
「今回サービスを依頼したことにより実際に改善すべきポイントが明確に示され、本来実施すべき情報システム上のセキュリティ対策がとりやすくなりました」
G&Uシステムサービス株式会社
第一事業部 システム運用部 IT利用技術・PGグループ
マネージャー 濱本 哲朗氏
「経営層へのレビューを通じて、自社の情報システムに存在するセキュリティ上のリスクを明確に説明できたことは大きかったと思っています」
第一事業部 システム運用部 IT利用技術・PGグループ
マネージャー 濱本 哲朗氏
「経営層へのレビューを通じて、自社の情報システムに存在するセキュリティ上のリスクを明確に説明できたことは大きかったと思っています」
日本ユニシス株式会社
共通利用技術部 ミドルウェア技術室情報セキュリティG
担当マネージャー 鈴木 武俊
「技術的な問題点の説明だけでなく、運用面での解決方法を具体的に示してもらえたと、お客様には高く評価していただけました」
共通利用技術部 ミドルウェア技術室情報セキュリティG
担当マネージャー 鈴木 武俊
「技術的な問題点の説明だけでなく、運用面での解決方法を具体的に示してもらえたと、お客様には高く評価していただけました」
Page index
設立:明治29年8月10日
資本金:261億円
従業員数:国内単体2,313名、国内外連結8,470名
本社所在地:〒530-0001 大阪市北区梅田1-8-17 大阪第一生命ビル
主な事業内容:インナーウェア、パンティストッキング、ソックス、パジャマ、ベビーウェア、婦人アウター、ミシン糸、プラスチックフィルム、電子部品、エンジニアリングプラスチック、印刷関連省力機、産業機械、不動産賃貸業、商業デベロッパー事業、スポーツジム運営、緑化、メディカル材料など
資本金:261億円
従業員数:国内単体2,313名、国内外連結8,470名
本社所在地:〒530-0001 大阪市北区梅田1-8-17 大阪第一生命ビル
主な事業内容:インナーウェア、パンティストッキング、ソックス、パジャマ、ベビーウェア、婦人アウター、ミシン糸、プラスチックフィルム、電子部品、エンジニアリングプラスチック、印刷関連省力機、産業機械、不動産賃貸業、商業デベロッパー事業、スポーツジム運営、緑化、メディカル材料など
本事例に掲載された情報は、取材時点のものであり、変更されている可能性があります。なお、事例の掲載内容はお客様にご了解いただいておりますが、システムの機密事項に言及するような内容については、当社では、ご質問をお受けできませんのでご了解ください。
-
「ITセキュリティ対策標準」を策定
インナーウェアをはじめとする繊維製品のトップメーカーであるグンゼ様は、今日ではアパレルの分野だけでなく、プラスチック製品や電子部品も手掛けるなど、その業容を広げている。
同社では、こうしたビジネスの拡大に対応し、より効率的な情報システムの開発・運用保守のため、2005年9月にG&Uシステムサービスを設立。社内の技術開発部と協業しつつ、情報システムの積極的な活用に取り組んでいる。
2005年当時、個人情報漏えい事件が社会問題化していた。そこで同社では、抜本的かつ全社的な対策を立案・実施するためにITセキュリティ委員会を設け、セキュリティポリシーやプロシージャ(手順書)を策定することになった。ITセキュリティ委員会では「グンゼ流」の情報セキュリティのポリシーにこだわり、苦労しながらも2006年4月にITセキュリティ対策標準の策定にこぎ着けた。
同社では、こうしたビジネスの拡大に対応し、より効率的な情報システムの開発・運用保守のため、2005年9月にG&Uシステムサービスを設立。社内の技術開発部と協業しつつ、情報システムの積極的な活用に取り組んでいる。
2005年当時、個人情報漏えい事件が社会問題化していた。そこで同社では、抜本的かつ全社的な対策を立案・実施するためにITセキュリティ委員会を設け、セキュリティポリシーやプロシージャ(手順書)を策定することになった。ITセキュリティ委員会では「グンゼ流」の情報セキュリティのポリシーにこだわり、苦労しながらも2006年4月にITセキュリティ対策標準の策定にこぎ着けた。
-
客観的な情報システム上のセキュリティレベルを知りたい
とはいえ、それらを策定しさえすれば情報システム上のセキュリティが強化されるわけではない。各部門にその重要性を周知徹底し、社員全員の意識を高めることが重要である。
ITセキュリティ委員会では、DIO(Division Information Officer)と名付けた責任者を部門ごとに指名し、さらに各DIOが複数の推進リーダーを任命するという全社的な推進体制を整えた。DIOや推進リーダーには、ITセキュリティ委員会が主催する情報システム上のセキュリティ対策の研修会に参加してもらい、そこで身に付けた知識・ノウハウを各部門に持ち帰り、全社的に情報セキュリティ意識を高めていくという戦術をとったのである。同時に、ITセキュリティ対策標準を実際に運用していく中で、現場の実情に合わせた見直しも図るなど、社員が励行しやすい仕組みを構築していった。
ITセキュリティ運用組織図
ITセキュリティ委員会では、DIO(Division Information Officer)と名付けた責任者を部門ごとに指名し、さらに各DIOが複数の推進リーダーを任命するという全社的な推進体制を整えた。DIOや推進リーダーには、ITセキュリティ委員会が主催する情報システム上のセキュリティ対策の研修会に参加してもらい、そこで身に付けた知識・ノウハウを各部門に持ち帰り、全社的に情報セキュリティ意識を高めていくという戦術をとったのである。同時に、ITセキュリティ対策標準を実際に運用していく中で、現場の実情に合わせた見直しも図るなど、社員が励行しやすい仕組みを構築していった。
ITセキュリティ運用組織図
こうした取り組みを通じて社員の情報セキュリティに対する意識は高まっていったが、CIOからは「現状の情報システム上のセキュリティ対策の実装と実運用について、客観的にどのレベルにあるのか知りたい」という意向が示された。また約1年半にわたってITセキュリティ対策標準を運用してきた成果を確認し、足りない部分を補強するために、外部に依頼してベンチマークを実施することとなった。
-
日本ユニシスの提案力に期待
依頼先については、ITセキュリティ委員会で慎重に検討した結果、日本ユニシスを選定した。ITセキュリティ委員会の事務局チーフを務める神山 俊夫氏は「実は、依頼先については若干議論がありました。というのは、日本ユニシスは当社の主要ITベンダーであり、より客観的に評価をしてもらうには、当社にまったく関係のない第三者に依頼すべきではないか、という意見もあったのです」と当時を振り返る。
しかしながら日本ユニシスは、多くのコンサルティング実績があり、マネジメント面および技術面において高度なノウハウを持っていることが決め手となり、依頼先として決定した。日本ユニシスは、その実績およびノウハウを基に評価サービスを提供し、さまざまな情報セキュリティ関連基準に日本ユニシスのノウハウを付加した独自の評価基準で情報システムにおけるセキュリティ対策の実装および運用状況を評価する。さらに、課題の指摘また課題に対する対策方法の提案を実施してくれる。
ITセキュリティ委員会の事務局サブチーフ濱本哲朗氏は「今回の取り組みは、情報システム上のセキュリティ対策の現状をベンチマークしさえすればいいというものではありません。その結果に基づいて対策を立てていく必要もあることから、日本ユニシスの経験と提案力に期待したということです」と語る。
しかしながら日本ユニシスは、多くのコンサルティング実績があり、マネジメント面および技術面において高度なノウハウを持っていることが決め手となり、依頼先として決定した。日本ユニシスは、その実績およびノウハウを基に評価サービスを提供し、さまざまな情報セキュリティ関連基準に日本ユニシスのノウハウを付加した独自の評価基準で情報システムにおけるセキュリティ対策の実装および運用状況を評価する。さらに、課題の指摘また課題に対する対策方法の提案を実施してくれる。
ITセキュリティ委員会の事務局サブチーフ濱本哲朗氏は「今回の取り組みは、情報システム上のセキュリティ対策の現状をベンチマークしさえすればいいというものではありません。その結果に基づいて対策を立てていく必要もあることから、日本ユニシスの経験と提案力に期待したということです」と語る。
-
4つのフェーズを経て、2種類の報告書を提出
こうしてグンゼ様から評価サービスの依頼を受けた日本ユニシスでは、さっそく事前準備フェーズに入った。まず基本計画書を作成し、対象の情報システムや部門を明確化した上で、セキュリティポリシーなどを読み込んでいった。その結果を基に、ヒアリング計画を立ててキックオフミーティングを開催し、関係者の前で評価の趣旨や目的、調査内容、スケジュールなどについて説明した。
その後の予備調査フェーズを経て、2008年8月には3日間にわたる本調査を実施。情報システム部門、利用部門それぞれに対し情報システム上のセキュリティ対策の実施状況をヒアリングするとともに、サーバルームやオフィスなどの現地視察を行った。調査結果は約2週間かけて、指摘事項やその対策を詳細に記載した詳細報告書(64ページ)と、報告会用に要約した簡易版報告書(30ページ)にまとめられた。9月には報告会が開催され、改善点について具体的な対策を示すことで、情報セキュリティ実装・運用評価サービスのすべてのフェーズが完了した。
「報告会には、情報システム上のセキュリティ対策について、専門家ではない経営層や利用部門からも出席がありましたので、分かりやすい簡易版は好評でした。それをアレンジして、経営トップ向けのA4版1枚の説明資料をつくることもでき、その点でも助かりました」(神山氏)
その後の予備調査フェーズを経て、2008年8月には3日間にわたる本調査を実施。情報システム部門、利用部門それぞれに対し情報システム上のセキュリティ対策の実施状況をヒアリングするとともに、サーバルームやオフィスなどの現地視察を行った。調査結果は約2週間かけて、指摘事項やその対策を詳細に記載した詳細報告書(64ページ)と、報告会用に要約した簡易版報告書(30ページ)にまとめられた。9月には報告会が開催され、改善点について具体的な対策を示すことで、情報セキュリティ実装・運用評価サービスのすべてのフェーズが完了した。
「報告会には、情報システム上のセキュリティ対策について、専門家ではない経営層や利用部門からも出席がありましたので、分かりやすい簡易版は好評でした。それをアレンジして、経営トップ向けのA4版1枚の説明資料をつくることもでき、その点でも助かりました」(神山氏)
-
より包括的な情報セキュリティ対策の実施に向けて
グンゼ様では、こうした課題を解決するために、新たな施策を検討するとともに、今回の取り組みを通じて、情報セキュリティ全般に取り組む機運も全社的に醸成されつつある。
今後は、CSR委員会の下に情報セキュリティ委員会を設置して、ITセキュリティ委員会より広い範囲で、社内の情報セキュリティ全般を統括するといった体制づくりも検討されている。
「今回の評価を受けたことにより、自社のレベルが数値化され、取り組むべき方向性が明確になりました。今後は、情報システムとは別の取り組みが必要な紙文書の扱いを含め、情報セキュリティ全般のレベルアップに取り組んでいきたいと考えています」(神山氏)
今後は、CSR委員会の下に情報セキュリティ委員会を設置して、ITセキュリティ委員会より広い範囲で、社内の情報セキュリティ全般を統括するといった体制づくりも検討されている。
「今回の評価を受けたことにより、自社のレベルが数値化され、取り組むべき方向性が明確になりました。今後は、情報システムとは別の取り組みが必要な紙文書の扱いを含め、情報セキュリティ全般のレベルアップに取り組んでいきたいと考えています」(神山氏)
-
今まで取り組んできた情報システム上のセキュリティ対策の成果と、現時点でのセキュリティレベルを把握するために、日本ユニシスの情報セキュリティ実装・運用評価サービスを実施。
-
情報システム担当者向けの詳細報告書と、経営層向けの簡易版報告書により、それぞれの立場で解決すべき課題を分かりやすく指摘し、具体的な対応方法を提案。
日本ユニシス担当者からの一言
このサービスでは、日本ユニシスの経験豊富なコンサルタントが、一般的な基準を基に企業環境に合わせた評価基準を作成し、その基準に現状を照らし合わせてセキュリティレベルを評価します。評価結果は、経営層にも理解し易くするため、レーダーチャート形式のグラフに置き換え、できる限り可視化された報告書を提出いたします。
グンゼ様では、その報告を受け、自社のセキュリティレベルが可視化され、どの分野の対策が不足しているのかを理解できたことをとても喜んでいただいています。
グンゼ様では、その報告を受け、自社のセキュリティレベルが可視化され、どの分野の対策が不足しているのかを理解できたことをとても喜んでいただいています。
*iSECURE、SECUPOPは、日本ユニシス株式会社の登録商標です。
*その他記載の会社名および商品名は、各社の商標または登録商標です。
