セキュリティ
セキュリティへの考え方
お客様の大切な情報資産をお預かりして業務を遂行している以上、徹底したセキュリティ環境の整備は事業展開における大前提となります。お客様が、安心してSHIFTに業務をご依頼いただけるようSHIFTが整備しつづけてきたセキュリティへの取り組みを以下に紹介させていただいております。なお、SHIFTの考えるセキュリティとは、技術的な措置のみならず、一人ひとりの「意識」レベルにまで落とし込まれた施策のことを指し、人為的なミスによる事故などの発生防止についても徹底的な対策を行っております。
セキュリティ推進体制
代表取締役を責任者とし、社内各部門の代表者で構成する「情報セキュリティ委員会」を設置し、情報セキュリティ向上に向けた諸活動を行っています。
セキュリティに関するヒヤリハット事象が確認された場合は、月次で開催するセキュリティ委員会内でその対応策や対応状況とともに共有され、日々社内のセキュリティに対する意識向上に取り組んでいます。
SHIFTでは、ISMS(ISO/IEC 27001:2022)認証を取得しております。ISMS基準に基づき、人的・物理的・組織的・技術的対策の観点から、SHIFTのセキュリティ維持において必要と判断した事項を、ルール・規程化しています。加えて、基準で要求されている事項以外についても、個別で必要であると判断された事項については適宜対応しております。
セキュリティへの取り組み
SHIFTの業務内容を踏まえた特徴的なルール・規程の例としては、主に、以下事項が挙げられます。
生体認証
SHIFTの各オフィスでは、部外者の立ち入りを禁止するとともに、生体認証による入室規制を取り入れております。入室制限を物理的なセキュリティカードによる認証から、生体認証に変更することで、セキュリティカード紛失等による情報漏洩の可能性を極力低減し、また従業員のセキュリティ意識醸成にも活かしております。
執務室内における私物の持込制限と、可搬メディアの利用制限
SHIFTでは、入室者による情報漏洩の可能性を防ぐため、USB等の可搬メディアは勿論のこと、私用携帯/スマートフォンの執務室への持ち込みを禁止しています。また、従業員が業務に利用するPCはすべて会社貸与物であり、貸与PCによる可搬メディアの利用を禁止するよう制御・管理をしています。業務上必要な場合は、所定の社内稟議を経た上で限定的に利用する運用としております。
誤送信メール防止への取り組み
一般に発生している情報漏えいの多くがメール誤送信等の人為ミスにより起きていることから、社外にメールを送信する際は、誤送信防止のため、宛先や件名、本文内容などを再度確認しなければ送信ができないようなチェックツールを導入しています。 チェックツール導入に加え、契約形態や職務内容により、メールが送信可能な宛先を限定することで、定められた人のみがメールが送信できる環境を構築しています。
セキュリティ教育
SHIFTは、セキュリティ維持のためには、「セキュリティ意識の醸成と継続」が最も重要と考えています。この観点から、雇用形態を問わず全従業員に対して、入社時及び月次でセキュリティ教育(e-learning)を行っています。教育コンテンツについても、逐次見直しを行い、業務環境等の変化を踏まえた改善を行っています。また、セキュリティ教育終了後には理解度テストを行い、全対象者の正答率が100%になるまで徹底的な実施管理をしております。
月次で全従業員に対して実施しているe-learningについても、必ず受講するよう徹底管理しており、2018年の教育開始以来、受講率100%を維持し続けております。
インシデント撲滅月間
SHIFTは、お客様への安心・安全の提供への取り組みとして、従業員の「セキュリティ/コンプライアンス意識の醸成と維持」が重要と考えています。この観点から、半年に1回、「インシデント撲滅月間」を設定し、意識の醸成・強化に取り組んでいます。当該月間内では、セキュリティやコンプライアンス関連のインシデント(ヒヤリハット含む)が発生した場合、当該内容を当事者に通知したうえで社内イントラネット上で公開します。 ヒヤリハットであったとしてもその真因は大事故に繋がる事が多いです。たとえ原因が「うっかり」であったとしても、それが将来にインシデントに繋がり、それにより及ぼされる影響は甚大であるとの考えております。従業員に対して「対岸の火事ではなく、自分にも起こりうる」ものを強く意識してもらうためにも、インシデントを共有し、そこからの学びを従業員に提供しております。我々は、従業員とその家族、お客様、株主など、すべてのステークホルダーを守るために、当該活動は継続的に実施しています。
点検・監査
各部門におけるセキュリティ対策の順守状況について、ISMS認証基準に基づく内部監査等にて、適宜、確認を行っています。
経営者による見直し
SHIFTにおける情報セキュリティ対策の実施状況について、代表取締役社長による定期的な見直しを行っています。情報セキュリティに関わる環境の変化や、内部監査結果等を踏まえた上で、継続的な改善活動を図っております。
ISMSの取得
SHIFTは、これらの取り組みについて、外部の審査機関に評価頂き、2012年10月より、ISMS認証を取得しております。
>>>詳細はこちら
ガバナンス体制
コンプライアンス委員会を中心に、セキュリティリスクを含む様々なリスクについて検討しております。
>>>ガバナンスへの取り組み
セキュリティ課題解決への貢献
日本のIT業界における大きな課題の一つは、サイバーセキュリティです。近年、情報流出、機密情報の取得や金銭の不正取得を目的としたサイバー攻撃は、年々高度化・巧妙化が著しく、また攻撃数も増加傾向にあります。さらに、新型コロナウイルスの影響により働く環境も大きく変化し、多くの企業は Web システムから利便性の高いクラウドへ環境を移行していますが、クラウド利用に伴うセキュリティインシデントもあとを絶たないなど、セキュリティ領域における更なる高度な対策の必要性はますます高まっています。一方で、IT 人材不足が叫ばれる日本の IT 市場の中でも、ホワイトハッカーを含むセキュリティ人材は特に採用・育成による獲得が難しいと言われており、高まる需要に対して供給体制が追い付いていないことが課題の一つとして挙げられます。
SHIFTのグループ会社であるSHIFT SECURITYでは、日本でも有数のホワイトハッカーのスキルを徹底的に標準化し、情報セキュリティの仕組化をすることで、獲得が難しいと言われているセキュリティ人材の採用・育成が可能となりました。これにより、IT 業界が抱える最大の課題である「人材不足」を根本から解消しながら、セキュリティ人材体制の構築を実現。「高品質」「低価格」な診断・監視サービスを可能にし、毎年大幅な成長を実現することにも成功しています。
>>>詳しくはこちら