はじめに
この記事は BBSakura Networksアドベントカレンダー2025 の14日目の記事です。 本記事では、社内のOAおよびセキュリティに関する業務を担うITシステム室の情報セキュリティ委員会(以下、ISC)について紹介します。
自己紹介
はじめまして。BBSakura Networks株式会社(以下、BBS)の河本です。
2017年からBBIX株式会社(以下、BBIX)に所属し、BBSには2019年の設立時から兼務しています。
当初はBBIXのInternet Exchangeのシステムの開発・運用が主たる業務でしたが、BBSの成長に伴いセキュリティの重要性が高まり、2022年よりOAセキュリティ関連の業務にも従事しています。
情報セキュリティ委員会の立ち上げ
2022年は、BBSの主軸となるサービスOpen Connectivity eXchangeを提供開始した年です。
これ以降は、サービスに関連するシステムやお客様の情報など重要な資産の増加が容易に想像できていました。
しかし当時は、
- サイバー攻撃や情報漏洩などのセキュリティ事故から守る仕組み
- セキュリティ事故が起きてしまったときに「誰が」「何を」行うかという役割や手順
が十分には準備されておらず、事業を守るための仕組みが整っていませんでした。
そこで親会社BBIXのセキュリティ担当者を中心にBBSにも専門のチーム「情報セキュリティ委員会(ISC)」を立ち上げ現在も活動を続けています。
基礎固め
ISCの業務は多岐に渡りますが、立ち上げ当初から現在にいたるまで事業を守るための基礎固めに注力しています。
セキュリティ体制とリスクマネジメントの構築
- セキュリティ事故発生時の対応手順の策定
- BBSが持つ情報資産の目録の作成
- セキュリティリスクの把握と軽減策の検討・実施
など、セキュリティ体制の基礎固めを行いました。
ITシステムの設定見直しとアカウント管理の徹底
意図しない情報漏洩から社員を守るために、
- SlackなどのITシステムの設定・権限の見直し
- OA端末を管理するためのMDMの導入・管理手順の策定
も行いました。
また、BBSに入社される方が安心して迅速に業務を開始できるように、
- OAシステムのアカウント手配
- PCなどのOA端末の手配
を行う一方、残念ながらBBSを離れる社員のOA端末回収やアカウント停止を徹底する仕組みも整備しました。
システム開発時や外部サービス導入時の審査
BBSはソフトウェアエンジニアも多く新しいシステムの開発と外部クラウドサービスの利用も活発です。
システムリリースやサービス利用開始前にセキュリティ要件の確認やリスクの洗い出しを実施し、適切なセキュリティ水準を維持できるようにしました。
啓発活動
社員全員のセキュリティ意識を高めるための教育を入社時だけでなく定期的に実施し、人による「守り」の強化にも取り組んでいます。
コンプライアンスへの対応
- 個人情報保護法に基づく個人情報保護のための行動指針等のドキュメント整備
- 電気通信事業法に基づく通信の秘密が正しく扱われているかを確認
などもISCの業務です。
また、先日発表したように海外展開が進む中で、今後は現地の法律や規制にも対応することが求められています。
今後
今までは守る仕組み作りに集中してきましたが、今後は社員の生産性向上を加速させるための攻めの仕組み作りにも取り組んでいきたいと考えています。
AI活用に関する指針の整備を進め、社員が迷わずにAIを使えるようにすることに加え、開発とセキュリティを一体として進めるDevSecOps の考え方も強化していきます。その取り組みとして、SAST によるセキュアコーディング支援や、SBOM を活用したライブラリの脆弱性検知、システムの脆弱性をリアルタイムに監視する仕組みなどの導入を進め、社員が安心して業務に専念できる環境づくりを目指します。
さいごに
こうした取り組みを進めていくためには、情報セキュリティ委員会(ISC)の強化も欠かせません。興味を持っていただけた方は、ぜひカジュアル面談からご応募ください。
また、BBSのISCの立ち上げは、BBIXのノウハウがあったからこそ短期間で実現できました。本記事が、ノウハウが少ない中でセキュリティ担当になった方にとって少しでも参考になれば嬉しいですし、今後もセキュリティ組織に関する記事を書いていきたいと思います。
