近年、サイバー攻撃や情報漏洩リスクが高度化・複雑化する中、グリーグループでは「情報セキュリティ委員会」が中心となり、グループ横断的なリスク管理体制を構築しています。 専門性の高い技術課題や個別事案に対し、現場のスピード感を損なうことなく最適解を導き出すことが、本委員会のミッションです。
今回は、情報セキュリティ委員会の事務局の主要メンバーである4名にインタビュー。どのように実効性のあるセキュリティ対策を実施しているのか。生成AIなどの新技術への対応や、現場の意識改革といった具体的な活動を通じて、私たちが目指す「守りのカタチ」を語ってもらいました。
大本:グリーホールディングス株式会社 / ビジネス・テクノロジー本部 / セキュリティ部 部長
2013年グリー株式会社(現:グリーホールディングス株式会社)入社。インフラ部門にてデータセンター/オンプレミス環境の最適化やクラウド移行プロジェクトに従事。2021年よりセキュリティ部を兼務し、商用環境のセキュリティ基盤整備を担当。2024年よりセキュリティ部長として、全社セキュリティの統括を担う。
山村:グリーホールディングス株式会社 / ビジネス・テクノロジー本部 / セキュリティ部 / セキュリティエンジニアリンググループ シニアマネージャー
2022年グリー株式会社(現:グリーホールディングス株式会社)入社、セキュリティエンジニアリンググループのシニアマネージャーとして脆弱性診断チーム、セキュリティ推進チームのマネジメントを担当。
山邉:グリーホールディングス株式会社 / ビジネス・テクノロジー本部 / セキュリティ部 / セキュリティエンジニアリンググループ / セキュリティ推進チーム マネージャー
2011年グリー株式会社(現:グリーホールディングス株式会社)入社。ユーザー監視を主とするパトロールチームへ所属。2016年にセキュリティ部へ異動。2022年からセキュリティ推進チームのマネージャーを務め、現在は社内セキュリティの推進や対策、従業員教育などを担当。
奥野:グリーホールディングス株式会社 / ビジネス・テクノロジー本部 / セキュリティ部 / セキュリティインフラグループ / セキュリティ企画チーム マネージャー
2012年にグリー株式会社(現:グリーホールディングス株式会社)へ入社。2016年よりセキュリティ部に所属。現在はセキュリティ企画チームのマネージャーとして、セキュリティルールの策定、相談対応、アセスメント業務などに従事。
事業責任者を巻き込み、意思決定を加速
ーーはじめに、大本さんにお聞きします。情報セキュリティ委員会はどのような体制で運営されているのでしょうか。
大本:情報セキュリティ委員会は、取締役会で決定された経営基本方針に基づき、情報セキュリティ管理体制の整備・推進に関する重要事項について、代表取締役社長の諮問を受けて審議・答申を行う会議体として位置づけられています。情報セキュリティ領域における専門的な判断を通じて、代表取締役社長の意思決定を補佐する役割を担っています。
また、委員会メンバーとして各事業の責任者が参加するとともに情報システム部・法務部門・個人情報管理チームなど関係部門の責任者、さらに内部監査部門も陪席する体制をとっています。セキュリティ部だけで完結したり、ルールを一方的に共有するのではなく、事前に論点や判断案を整理したうえで、関係部門が同じテーブルにつき、最終的な意思決定を行う会議体として位置づけています。インシデント対応状況や再発防止策、統制の運用状況については、監査の観点からも確認を行っています。
こうした体制により、インシデントや新たなリスクについて、「後からまとめて報告する」のではなく、状況を早い段階で共有し、必要な判断をスピード感を持って行えるようになっています。情報セキュリティはルールを守ること自体が目的ではなく、事業を継続し、安心して成長させていくための基盤です。事業責任者が判断の場に加わることで、机上の理論ではなく現場を踏まえた実効性のある意思決定が可能となっています。
ーーグループ全体のリスク管理において、情報セキュリティ委員会はどのような役割を担っているのでしょうか。
大本:リスクマネジメント委員会がグループ全体のリスク方針を担う一方で、情報セキュリティ委員会は、情報セキュリティ領域における個別の事案や技術的な論点について判断する場として位置づけています。クラウド利用の拡大や生成AIの活用など、事業と直結したセキュリティ判断が求められる場面が増える中、情報セキュリティ委員会では、事業や技術の動きに応じて適切なタイミングで議論・付議を行っています。具体的には、情報システム部やセキュリティ部で事前に技術的な論点や選択肢を整理し、関係部門ともすり合わせたうえで、「どの判断を取るか」を明確にした状態で委員会に諮る運用にしています。それぞれの役割の明確化により、グループ全体としてのガバナンス体制はより実効性の高いものとなっています。
インシデント対応への意識を、組織の「自分事」へ変える
ーー事業責任者が委員会に加わっている体制では、インシデント対応はどのように進められていますか?
山村:情報セキュリティ委員会では、重大度の高いインシデントが発生した場合、事業責任者自身が状況や背景を説明し、対応方針や進捗について共有し、事業の視点も含めながら、対応の妥当性や再発防止策について議論し、合意形成を行っています。事業責任者が委員会に参加することで、会社全体でどのようなインシデントが発生しているか、ビジネスに対するインパクトがどのくらいあるか、そして対応が適切かつタイムリーに実施されているかを把握できるようになりました。結果として適切な再発防止策を議論し、実施の意思決定ができていると感じています。
山邉:インシデント対応の状況については、KPIなどを用いて数値化し、継続的に可視化しています。情報セキュリティ委員会を通じてそれらの数値や傾向を定期的に共有することで、個別事案だけでなく、グループ全体としての課題や変化にも目を向けやすくなっています。また、事業責任者を含むメンバー構成となっていることで、インシデント対応や再発防止に対する考え方を、部門を超えて共有できる点も大きな特徴です。委員会での対話を重ねることで、各組織が自らの業務に置き換えて考えやすくなり、結果として必要な改善を継続していける環境が整っていると感じています。
生成AIの「利活用」を支えるスピード感あるルール作り
ーー「守り」だけでなく、生成AIなどの新しい技術への対応も議論されているそうですね。
奥野: はい。生成AIは技術的な進化が非常に速く、関連するサービスも次々と登場しています。加えて、業務での使い方も多様化しており、効率化やアイデア創出といった効果を期待する声が、現場から以前にも増して上がってきています。その一方で、情報の取り扱いや責任の所在など、注意すべき点も多いため、「このケースはどう考えるべきか」「どこまで利用してよいのか」といった相談が増えている状況です。当社グループでは、生成AI利用に関する情報セキュリティガイドラインを定めていますが、基本的な考え方は、リスクを十分に把握したうえで、業務上の必要性が高い場合には、安全性に配慮しながら活用を進めることです。
今年は特に、より安全かつスピーディな活用を後押しすることを目的に、
・判断や承認の責任の所在
・利用を許可する基準
・利用開始後のモニタリング方法
といった点をより明確化し、委員会で合意したうえで運用を始めました。事業責任者も参加しているからこそ、利便性と安全性のバランスについて、実務に即した議論をその場で行える点が、この体制の強みだと感じています。
最後に:守りの主役は「一人ひとりの行動」
ーー今後の展望を教えてください。
大本: 今後も体制やルール、システムの整備は継続して強化していきますが、最終的に会社を守るのは「一人ひとりの行動」だと考えています。最近の攻撃は非常に巧妙で、メールやカレンダーの通知など、日常業務の延長線上で仕掛けてきます。そのため、「不審なメールは開かない」といった一般論だけでは十分ではなく、少しでも違和感を持った時に立ち止まれるか、そして早めに相談できるかが重要になります。今後は、標的型攻撃メール訓練の結果なども踏まえながら、入社年次や職種に応じた、より分かりやすい啓発にも取り組んでいきます。仕組みの整備と、一人ひとりの意識。この両方を大切にしながら、安心して挑戦できる環境づくりを続けていきたいと考えています。
