%{FACEBOOKSCRIPT}%

サイバーセキュリティお役立ち情報

お役立ち資料
サイバーセキュリティブログ
用語集
  1. HOME
  2. サイバーセキュリティお役立ち情報
  3. 記事一覧
  4. 【採用事例】投資対効果の可視化・共通認識向上 KHネオケム株式会社さま(リスクアセスメント)

【採用事例】投資対効果の可視化・共通認識向上 KHネオケム株式会社さま(リスクアセスメント)

サイバーセキュリティブログ 記事一覧 セキュリティ対策 導入事例
セキュリティ対策 OT 導入事例 採用事例 セキュリティ診断 リスクアセスメント コンサルティング
  • LINEで送る
  • このエントリーをはてなブックマークに追加
【採用事例】投資対効果の可視化・共通認識向上 KHネオケム株式会社さま(リスクアセスメント)

今回は、当社のサイバーリスクアセスメントを採用いただいたKHネオケム株式会社 取締役 常務執行役員の磯貝 幸宏氏とIT統括部長の半田 敬人氏に取材をしました。

取材中、お二人が繰り返し発していたのが「コミュニケーション」という言葉です。日頃からお互いの考えや見えている景色が共有されており、更にはアセスメントの報告書を上手く活用することで、社内に共通認識が生まれていることを感じ取ることができました。また、既存のセキュリティ対策の拡充のためにアセスメントを最大限に活用されているという印象も非常に強く受けました。

外的要素と内的要素、双方における変化の波が押し寄せている製造業、しかも危険な化学物質を取り扱う業界における安全性の追求と証明には、第三者からの公正な評価や助言が必要という判断のもと、2021年度にサイバーリスクアセスメントを実施、その後、改善状況に対する継続的な評価とアドバイスを提供するためのアドバイザリー契約を経て、2023年度には工場などの産業制御システムの評価を行うICS/OTセキュリティアセスメントもご発注いただいています。

組織におけるコミュニケーションの重要性やセキュリティ対策の最適化への取り組みの参考に、是非、ご一読ください。ここでは、お二人からうかがったリスクアセスメントに至った背景やその活用方法などの一部を抜粋してご紹介します。

<<<今後の展開や効果の詳細など完全版はこちら>>>
左から IT統括部長 半田 敬人氏、取締役 常務執行役員(情報セキュリティ管掌)磯貝 幸宏氏

KHネオケム株式会社さまの採用事例
今後の展開や効果など完全版はPDFで
サイバーリスク
アセスメントサービスはこちら
目次

KHネオケム株式会社のご紹介

身近にあるものの多くに使われ、私たちのくらしに欠かせない化学製品を製造するKHネオケムの歴史は1966年、その前身である協和油化の設立までさかのぼります。

2011年に協和発酵キリングループから独立し、2012年には社名をKHネオケムに変更。現在は三重県四日市市と千葉県市原市の二か所に工場を持ち、新川崎にはラボを構え、"「化学の力」で、よりよい明日を実現する”を企業理念として掲げ、化学素材メーカーとして「基礎化学品」「機能性材料」「電子材料」の3つの事業領域をコアとした、地球環境や暮らしに欠かせないさまざまな特色ある高品質な化学製品を提供しています。

アセスメントの3つのPOINT

①報告書はコミュニケーションツール
組織として、どこを強化すべきなのか、何が優先事項なのかの議論を深め、より良い計画を立てる過程で活用。また、成果が目に見えにくいセキュリティにおいて、改善プロセスの結果を可視化することで、対話が生まれ、正当な評価に繋がっている。

②優先順位を決め、正しい判断を下すためのツール
セキュリティに限らず、組織として取り組むべき課題に対し、限られたリソースをどう活用していくべきかという経営課題に対し、第三者目線の評価であるリスクアセスメントを活用。

③部門横断的な議論に必要な情報を可視化
もう一つの経営課題である部門横断的な議論をスムーズに行い、理解を深めてもらうために、可視化された報告書からの情報を活用。

利用背景・課題

ここ10年ほどで製造業(化学メーカー)を取り巻く環境の変化は?

磯貝氏:大きく分けて、社外環境要因と内部環境要因の二種類があると思っています。

社外環境では、過去には化学業界自体がリスクマネジメントの強化に十分に手が回らなかった時期がありましたが、現在では情報セキュリティに関するリスク管理の重要性が認識され、リスク回避のための対策の重要性も認識され始めているという点が挙げられます。我々のようにニッチな製品をニッチな市場に提供しますと謳っていますと、当然BCPの一環として、お客さまからは「何かあった時には御社以外、どこから購入できるのか」と聞かれることがあります。リスク管理の一環として、サイバー攻撃への備えやリスク回避のための対策の重要性も認識され始めている情報セキュリティ対策が必須になります。

内部環境では、ESG(環境・社会・ガバナンス)に対する取り組みの強化があります。協和発酵グループ時代、ITや知的財産などのコーポレート系の業務は業務委託でしたが、2016年の上場後には、コーポレート系の機能が必要だし、強化すべき、という変化がありました。あと、社内で理解を得るための追い風になっている社外要因の一つに高圧ガス保安法があります。この法令の新認定制度において、サイバーセキュリティが認定要件に加わることになっており、対応を迫られています。高圧ガス保安法の認定事業所として「サイバー攻撃にも対応できるようにしてください、今後、認定要件に入ります」というのが追い風になり、日頃から強化を進めているわけです。

利用経緯

アセスメントを実施しようと思ったきっかけは?

磯貝氏:目的は大きく分けて3つありました。

1.各ツールは既に導入していたが、社内全体の可視化が必要
2.経営側としてはリスクの可視化と、現場としては棚卸し的観点
3.体制づくりや先ほどのポリシーの話にも繋がってきますが、ルールなどの状況把握、第三者の声を聞いて、それを社内教育に反映させたい

社長を含めた経営陣も情報セキュリティの重要性は把握しているものの、何をどのレベルまでというのが不明瞭でした。IT統括部が発足し、専門家が集まったとは言え、他社と比較した時にうちのレベルはどうなのか、優先順位の付け方の是非を含めた経営陣に対しての可視化が必要でした。

アセスメント前に心がけていること

アセスメントされる側として特に注意していることは?

半田氏:特段、準備はしていません。

敢えて言うなら、メンバーに予め伝えているのは「今の仕事を評価して、罰を与えるとか、評価を下げるとかの為に実施するのではない。あくまでも今後、何をどうやるかを適切に決める為の現状把握が目的なので、ネガティブなことも包み隠さず、話してほしい」ということです。私もなるべく同席したいのですが、いない方がざっくばらんに話せるのであれば、私は不参加でヒアリングしてもらっても問題ないという話はしていました。

磯貝氏:半田は結構遠慮して言っていると思います。

突然、工場でFA系のアセスメントやりますと言っても「え?何のために?なぜ今?」となるはずです。

ですので、日頃のコミュニケーションがあってこそだと私は理解しています。いきなり外部の人間が工場に行って「アセスメントさせてください」だと、工場長はOKと言うと思いますが、担当者レベルで適切なアセスメントになるかは疑問です。やはり実施前というのは役員もそうですが、特に工場系であれば工場の生産系の役員も含めて、今の時期、なぜアセスメントを実施しないといけないのか、それによって今後どうしようとしているのかをしっかりと共有して、生産系を束ねている役員からそれぞれの担当部署に対して下ろしてもらうということが必須です。日頃のコミュニケーションが事前準備としては一番重要なことなのかなと感じています。

利用の所感や効果

今回のアセスメントの目的は達成できたか?

磯貝氏:はい。今後どういうお金のかけ方をして求めるレベルまで持っていくかという視点で見た時に、アセスメント実施の目的である3点を踏まえたデータが欲しい、というのが経営サイドの思いでしたので、そこを確実に抑えて今は、必要箇所にお金をかけながら改善を図っている状況です。

頂いている報告書は半田も私も頻繁に経営向けの資料として使っています。

全体観を示すチャートがあり、他社の平均に比べて御社はここが強い、弱い、というのはインパクトがあります。そこの評価を上げる為にこういうことをやったらどうですか、ここは優先度高めですよというのが明確に記載されているので、それをIT統括部なりに咀嚼をしながら、会社としてどういうやり方でいきますか?というコミュニケーションツールとして使えていますので、非常に良いアセスメントであり、報告書だと思っています。

半田氏:評価項目(基軸)が複数有り、それぞれが明確なのも良かったと思います。

ポイントは2つあって、スナップショットとしての現状把握が1つ、もう1つは、半年1年でどう変わったのかという評価。どう変わったかは、アドバイザリー契約の中で半年に一度の総括で確認しています。上の人たちにとってITの担当部署が何をやって、どう変わったかというプロセスの可視化と正当な評価に繋がります。これが明確に見えていないと、担当者が色々一生懸命やっても、何故これにそんなにお金が要るの、となってしまいがちです。特にセキュリティは、効果が目に見えにくいので、投資対効果をわかりやすく見える化するために役立っています。お互いのコミュニケーションとして良くやれているね、これだけやっていいよ、という対話が生まれているので、報告書の意味は大きいと思います。

予算策定にも役立ちますが、それだけではありません。教育とかルールはどうしても口うるさいイメージになりがちです。

USBを使えなくするとか、利便性が下がるネガティブな条件ですが、これをやることで当社のセキュリティ評価が向上していっている、これで世間並、世間以上、というのが分かると皆さんのモチベーションアップにも繋がって、協力しようという空気が生まれます。「Awareness」の後押しとして、お金以外のところのコミュニケーションツールとしても役立っています。


磯貝氏:アセスメント費用は責任ある会社としての投資です。短期的に見れば現状どうなってるんだ?というのが原点です。そこに対し「いくらかかり、これだけのことをしてもらえます」ということをしっかり説明するということができたんだと思っています。大切なのは事後対応です。アセスメントの結果を受けて、これを実施し、こういう状況です、と説明ができて初めて「アセスメントを最大限に活かせた」と言えると考えています。

KHネオケム株式会社さまの採用事例
今後の展開や効果など完全版はPDFで


サイバーリスクアセスメントのご紹介

SOMPO CYBER SECURITYでは、セキュリティ対策の第一歩であるリスクの可視化による現状把握、それに続く効果的な対策計画の立案をサポートするサイバーリスクアセスメント コンサルティングサービスを提供しています。

アセスメントの実施概要と流れ


今回は代表的なリスクアセスメントサービスを事例として紹介していますが、サイバーリスクアセスメント コンサルティングサービスでは、他にもペネトレーションテストなど、各組織のニーズと予算に合わせた組み合わせでご利用いただけるよう、豊富なオプションをご用意しています。

サイバーリスク
アセスメントサービスはこちら

SOMPO CYBER SECURITYでは、コラムやお役立ち資料、セミナー情報などを随時メールマガジンにて配信しています。ご登録がまだの方は下記のボタンより是非ご登録ください。

メルマガ登録はこちら
  • LINEで送る
  • このエントリーをはてなブックマークに追加

新着情報

カテゴリ

すべて表示する

お役立ち情報一覧

タグ

すべて表示する

アーカイブ

アーカイブをすべて表示する

人気お役立ち資料

CONTACT

資料請求・導入に向けたお問い合わせ・ご相談はこちら

FREEサービス紹介やお役立ち資料を
無料でご活用いただけます