ラックがNRIセキュアと共に、情報セキュリティプランニングサービスをリニューアル

株式会社ラック（以下、ラック）とNRIセキュアテクノロジーズ株式会社（以下、NRIセキュア）は、セキュリティベンダーとして2022年度から様々な取り組みを行ってきました。

協業の一環として2023年6月に、セキュリティリスクを可視化するサービス「情報セキュリティプランニング」を、NRIセキュアが提供するSaaS型サービスプラットフォーム「Secure SketCH」を用いて、大企業から中堅・中小企業まで幅広い組織で採用しやすいサービスにリニューアルしました。

今回、リスクアセスメントの必要性やサービスについて、NRIセキュアの「Secure SketCH」サービス開発・運用に携わる足立氏と、川崎氏にお話を伺いました。

プロフィール

奥野 康城（YASUKI OKUNO）
株式会社ラック
コンサルティングサービス第三部 セキュリティマネジメントグループ グループマネージャー

谷口 諒之介（RYONOSUKE TANIGUCHI）
株式会社ラック
コンサルティングサービス第三部 セキュリティマネジメントグループ グループリーダー

岡本 大輝（HIROKI OKAMOTO）
株式会社ラック
コンサルティングサービス第三部 セキュリティマネジメントグループ

なぜリスクアセスメントが必要なのか

谷口

昨今サイバー攻撃の手法が多様化しており、企業や組織で資産を守るためにセキュリティ対策は必要不可欠だと考えます。その中でもリスクアセスメントの位置づけをどのように捉えていますか？

岡本

セキュリティ対策を始める際に、まずリスクアセスメントを実施することが先決だと考えています。リスクアセスメントを通して、自組織において守るべき資産は何か、資産を脅かすリスクは何かを把握し、"自組織にとって"必要な対策の洗い出しを実施できます。大手、中小組織等企業規模に関係なく、自組織の資産を把握し、リスクに備えるという動きが必要です。

谷口

リスクアセスメントはセキュリティ対策の第一歩ということですね。特に大手企業においては昨今、リモートワークの普及やサイバー攻撃の増加等により、リスクアセスメントやセキュリティ対策を積極的に実施している印象があります。リスクアセスメントは企業規模に関係なく実施すべきだと考えますが、組織の規模によっては、リソース不足等の理由で着手できていない組織もあるかと思います。他に昨今のセキュリティ業界の傾向について感じる点はありますか？

奥野

クラウドサービスの普及、IoTやゼロトラスト等の出現により、評価すべき領域が増えてきている一方で、組織におけるセキュリティ専門担当者不足や評価すべきセキュリティベンダーにおける人材不足が問題になっていると感じます。

他にも、昨今サプライチェーンリスクが注目されている中で、自組織だけではなく、グループ組織や取引先、海外グループ企業等のセキュリティ状況も定期的に把握する必要があります。そのため、今後も益々リスクアセスメントの需要は増えてくると考えています。

谷口

確かにセキュリティ業界では常に人材不足が嘆かれていますね。我々もセキュリティ人材不足の煽りを受け、機会損失等問題が発生していると感じています。NRIセキュアでもリスクアセスメントを実施されていますが、昨今の状況から感じている課題や問題意識等ありますか？

足立

組織の規模によっては、そもそもセキュリティに予算を割り当てにくい現状があると考えます。良いものだと分かっていても、コンサルタントが提供するリスクアセスメントサービスはハードルが高く、手を出しづらいのではないかと感じていました。

また昨今のセキュリティ人材不足を踏まえると、例えば同時期に100組織を一斉に評価することは、お客様にとっての対応負荷が高く、実現は容易ではありません。有効なセキュリティ対策が求められる中で、リスクアセスメントが重要な対策ということは認識していますが、アセスメントの需要に対して供給量が追い付いていないことは常々課題だと感じていました。

谷口

ラックだけでなくセキュリティ業界全体で同様の課題があると感じています。一方でNRIセキュアではSecure SketCHというセキュリティ評価プラットフォームがありますが、このリリースによって解決した課題等ありますか？

川崎

NRIセキュアでは、既存のリスクアセスメントサービスに加え、Web上のプラットフォームで評価ができるSecure SketCHをリリースしました。Web上でお客様自身に回答していただき、自動で評価結果・対策を出力することで、人員不足の課題を解決することが可能です。お客様においても、リスクアセスメントサービスの中に、Secure SketCHという選択肢が加わることで、以前より簡易的に評価サービスを利用いただくことができるようになったと感じています。

リニューアルされた情報セキュリティプランニングサービスについて

谷口

既存の情報セキュリティプランニングはコンサルタントが丁寧にヒアリングを実施するため、評価結果を出すまでに時間がかかり、なおかつお客様の現地に赴いてチェックをする場合もあり、物理的な移動等場所の制約もありました。この度のリニューアルで、Webで簡単にチェックができるようになり、幅広いお客様にとって利用しやすくなりました。その結果、お客様も時間にとらわれずチェック可能になったかと思いますが、いかがでしょうか？

岡本

情報セキュリティプランニングサービスをSecure SketCHの環境でリリースしたことにより、時間の課題が解決しました。お客様自身で入力が可能となったことで、ヒアリング等の時間を気にせず空いた時間でチェックいただけるようになりました。さらに、課題の可視化までのフローを半自動化し、素早く結果を提供できるようになりました。これにより、今までより短い期間でお客様は評価結果を確認できるようになりました。

谷口

川崎様からお話があった通り、お客様がアセスメントを実施する際に選択肢が増えたことは非常に良いことだと考えます。NRIセキュアでは、ラックとの協業によるメリットだと感じた点はありますか？

川崎

ラックにSecure SketCHをプラットフォームとして利用いただくことにより、幅広いお客様へアプローチができるようになったと感じています。Secure SketCHの中にラックの評価軸が追加されたことで、選択肢が増えたことは非常に良いことだと感じています。また、ラックからのお客様も増えることにより、プロダクトに対するフィードバックも増加し、Secure SketCHのさらなる品質向上につながることを期待しています。

今後の展望

奥野

情報セキュリティプランニングサービスは、時期を問わず、さらに幅広い層のお客様に求めやすい形で提供できるようリニューアルしました。Web化したことを機に、今後は様々なサービス展開を考えています。昨今、海外グループ企業評価の需要も増えているため、Secure SketCHの環境を用いて英語版も用意しました。グローバル対応の必要性について、NRIセキュアではどのように感じていますか？

足立

確かに、グローバルの需要は非常にあると感じています。Secure SketCHでは、リリース当初から多言語対応しているので、海外に拠点を置く日系企業のセキュリティ評価にも役立っています。ラックに、グローバル拠点のアセスメント対応にSecure SketCHを利用するメリットを感じていただけたことは非常に嬉しく思います。

奥野

また、様々な攻撃やセキュリティトレンドが出る中で、クラウドやゼロトラスト等、新しい領域に対しても評価軸を作成する必要があると考えています。クラウドセキュリティやCSIRT等インシデント対応体制についても、Web環境を利用することで開発に着手できております。

足立

DXの進展とともにセキュリティリスクも多様化しているため、様々な領域に対する評価軸を用意しておくことは非常に重要だと感じています。特にクラウドサービス評価については、昨今クラウドサービス利用者の増加により、様々なお客様に需要があるのではないかと考えています。今後もラックとさらに幅広いお客様へのアプローチを通して、日本のさらなるセキュリティ向上へ貢献できれば嬉しい限りです。

今回の協業を通してWeb版にリニューアルされた「情報セキュリティプランニングサービス」。今後はグローバル対応や、様々なニーズに合わせたフレームワーク作成等を検討しています。引き続きお客様からのご要望等からアップデートを行い、より良いサービスにしていくために取り組んでいきたいと考えています。

プロフィール