-
タグ
タグ
- セキュリティ
- 人材開発・教育
- システム開発
- アプリ開発
- モバイルアプリ
- DX
- AI
- サイバー攻撃
- サイバー犯罪
- 標的型攻撃
- 脆弱性
- 働き方改革
- 企業市民活動
- 攻撃者グループ
- JSOC
- JSOC INSIGHT
- サイバー救急センター
- サイバー救急センターレポート
- LAC Security Insight
- セキュリティ診断レポート
- サイバー・グリッド・ジャパン
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- ラックセキュリティアカデミー
- すごうで
- ランサムウェア
- ゼロトラスト
- ASM
- EDR
- SASE
- デジタルアイデンティティ
- インシデントレスポンス
- 情シス向け
- 対談
- CIS Controls
- Tech Crawling
- クラウド
- クラウドインテグレーション
- データベース
- アジャイル開発
- DevSecOps
- OWASP
- CTF
- FalconNest
- セキュリティ診断
- IoT
- EC
- サプライチェーンリスク
- スレットインテリジェンス
- テレワーク
- リモートデスクトップ
- アーキテクト
- プラス・セキュリティ人材
- 障がい者採用
- 官民学・業界連携
- カスタマーストーリー
- 白浜シンポジウム
- CODE BLUE
- 情報モラル
- クラブ活動
- 初心者向け
- 趣味
- カルチャー
- 子育て、生活
- 広報・マーケティング
- コーポレート
- ライター紹介
- IR
日本NCRコマース株式会社 プロフェッショナル・サービス本部 データセンター部(以下、データセンター部)は、システムインフラ構築、運用・監視サービスを提供している。データセンター事業を運用する中で、様々なセキュリティ上の課題を感じていた同部は、2020年より株式会社ラック(以下、ラック)の定期セキュリティコンサルティングを実施する中で、2020年および2023年に情報セキュリティプランニングサービスを利用したセキュリティ対策状況の可視化を行った。Web版情報セキュリティプランニングはどのような取り組みだったのか、データセンター部の担当者に話を聞いた。
データセンター部のセキュリティへの取り組み
データセンター部では、情報セキュリティプランニングを通して、部内全体におけるセキュリティ意識の向上、ならびに管理運用対象システムに対する対策の向上に取り組んでいる。下記3点の主要な取り組みを通じて、データセンター部が直面していた課題への対応と改善策について紹介していく。
1. セキュリティリスクの定期的評価
データセンター部では、より安全なセキュリティ環境を維持運用するためには、セキュリティに対するリスク評価を定期的に行うことが不可欠と考えた。そこで、セキュリティリスク評価を内部で定期的に実施することに加え、第三者機関による定量的な評価の実施を検討し、ラックの情報セキュリティプランニングの利用を開始した。
これにより、セキュリティリスクを数値化できるようにし、より詳細なリスク管理と必要に応じたリスク対策が可能となった。また、2023年度においてセキュリティ対策の有効性を確認するために、再度Web版の情報セキュリティプランニングを通してリスク評価を実施し、対策の有効性の再確認をした。
「Web版情報セキュリティプランニングは、担当者に対するヒアリングやデータ収集にかかる時間の大幅削減、前回評価結果との比較の容易さ等の特徴が追加され、リスクをより迅速に特定し対策を検討できます。今後も定期的なリスク評価を継続し、より安全なセキュリティ環境を維持していきたいと考えています。」とデータセンター部の担当者は語る。
2. セキュリティレベルの均一化
昨今、重大なシステム障害につながるセキュリティインシデント事例もあることから、より高いセキュリティレベルを維持するために、各担当者のレベルの均一化を図る必要が高まっている。情報セキュリティプランニングを通してより具体的な課題を抽出できたことで、データセンター部は以下の対策に着手できたという。
■各種文書類の統一
個々に作成していた設計書、ならびにセキュリティポリシーや手順書がテンプレート化された。
■定期セキュリティ情報共有会の開催
定期的にラックからのセキュリティトピックに関する最新情報を共有することで、データセンター部全体のセキュリティに対する意識の強化を図った。これらの対策を通して、セキュリティ対策に対する各担当者における知識レベルや、利用するツールが全体で均一化され、一貫したセキュリティ対応ができるよう取り組んでいる。
3. セキュリティ体制の強化
セキュリティ対策は、絶えず進化する脅威に対応していくため、専門知識を持つ人材の確保が不可欠だ。しかし、昨今のセキュリティ人材不足は多くの企業において課題となっている。データセンター部では、2020年度に情報セキュリティプランニング実施後、ラックの継続支援を受けてこの問題に着手した。
■脆弱性診断の実施
脆弱性診断を定期的に実施し、セキュリティ対策の導入と強化を図る。
■セキュリティコンサルタントによる対策支援
定期セキュリティコンサルティングを通じて、データセンター部内におけるセキュリティ体制・対策を評価し、ラックと共に対策計画・推進を実施。これらの対策により、セキュリティ対応の実装を迅速に行うことが可能となり、セキュリティリスク管理能力が向上した。常に変化するセキュリティ脅威に対応できるようになったため、より安全な運用環境の確保を継続していく。
今後の取り組み
今回、情報セキュリティプランニングを通して、データセンター部におけるセキュリティ状況の可視化を行った。その結果、明確な対策と検討ができたため、必要に応じたセキュリティ対策の実施に繋がった。セキュリティリスク評価後もラックのコンサルタントがアドバイザーとなり、対策・検討および実施支援を継続している。
また、エンドユーザシステムを含めたさらなるセキュリティ強化対策を図るために、ラックの脆弱性診断チームとの間で協業推進を行っている。データセンター部では、エンドユーザシステムを構築する間や、システム構築後の稼働中システムに対するセキュリティ面の安全確認をより確実に実施できるよう、ラックと共に脆弱性診断を行うサービスの立ち上げを検討していく。
お客様プロフィール
日本NCRコマース株式会社様
この記事をシェアする
タグ
- セキュリティ
- 人材開発・教育
- システム開発
- アプリ開発
- モバイルアプリ
- DX
- AI
- サイバー攻撃
- サイバー犯罪
- 標的型攻撃
- 脆弱性
- 働き方改革
- 企業市民活動
- 攻撃者グループ
- JSOC
- もっと見る +
- JSOC INSIGHT
- サイバー救急センター
- サイバー救急センターレポート
- LAC Security Insight
- セキュリティ診断レポート
- サイバー・グリッド・ジャパン
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- ラックセキュリティアカデミー
- すごうで
- ランサムウェア
- ゼロトラスト
- ASM
- EDR
- SASE
- デジタルアイデンティティ
- インシデントレスポンス
- 情シス向け
- 対談
- CIS Controls
- Tech Crawling
- クラウド
- クラウドインテグレーション
- データベース
- アジャイル開発
- DevSecOps
- OWASP
- CTF
- FalconNest
- セキュリティ診断
- IoT
- EC
- サプライチェーンリスク
- スレットインテリジェンス
- テレワーク
- リモートデスクトップ
- アーキテクト
- プラス・セキュリティ人材
- 障がい者採用
- 官民学・業界連携
- カスタマーストーリー
- 白浜シンポジウム
- CODE BLUE
- 情報モラル
- クラブ活動
- 初心者向け
- 趣味
- カルチャー
- 子育て、生活
- 広報・マーケティング
- コーポレート
- ライター紹介
- IR