2023年3月期の決算から有価証券報告書でサステナビリティへの取組の情報開示が義務化されました。開示の義務化に伴い、「サステナビリティ開示プロジェクト」が発足。昨年からは、サステナビリティ分野における情報セキュリティ領域の開示の拡充を目的に、IT統括部が同プロジェクトにアサインされました。Webサービス・ゲーム・D2Cなど、多様なITサービスを展開するIT企業であるエイチームにとって、情報セキュリティはサステナビリティにおける重要なテーマです。今回の記事では、プロジェクトに参画したIT統括部の廣木慎吾さん、杉本啓史さんに、サステナビリティを意識した情報セキュリティの開示のプロセスや考え方などについて話を聞きました。

廣木 慎吾さん エイチームホールディングス IT統括部 IT戦略グループ マネージャー

前職ではSIerに勤務。官公庁や文教市場を中心に、サーバ・ネットワークの構築と保守を経験。2019年2月、エイチームに中途入社。社員が利用するIT基盤を幅広く担当し、現在はIT統括部 IT戦略グループのマネージャーを務めている。（写真：左）

杉本 啓史さん エイチームホールディングス IT統括部 セキュリティ推進グループ

2015年10月、当時のエイチームライフスタイル（現 エイチームウェルネス）に入社。以降、ライフスタイルサポート事業・EC事業を中心にWebアプリケーションの開発やインフラの設計・構築・運用に携わり、2022年9月からセキュリティ担当としてエイチーム管理部次世代セキュリティ推進グループへ異動。IT統括部発足後、セキュリティ推進グループにおいてセキュリティ製品の運用と検証・導入を担当している。（写真：右）

情報セキュリティ分野の開示拡充へ向けて

－IT統括部が、サステナビリティ開示プロジェクトとして「情報セキュリティ」分野への開示に取り組むようになった経緯を教えてください。

廣木：
2023年にエイチームのコーポレート部門を横断したサステナビリティ開示プロジェクトが発足し、昨年からIT統括部もプロジェクトに加わりました。目的は、サステナビリティにおける情報セキュリティ領域の開示の拡充。IT統括部からIT戦略グループのマネージャーである私と、セキュリティエンジニアである杉本さんの2名がプロジェクトに参画しました。

世の中的に複雑かつ巧妙なサイバー攻撃などが問題視されていた状況もあり、企業のセキュリティに対する意識や重要度がますます高まっていました。私たちも会社として、情報セキュリティ分野の情報開示に取り組む必要性を感じていました。

杉本：
当社は上場企業ですので、情報セキュリティ領域の取組について、適切に開示する重要性は以前から感じていました。当社グループの事業の成長を支えるとともに、セキュリティインシデントを回避すべく、最適なセキュリティ対策を講じることが必要です。そのためにも、適切な抑止力として、そしてお客さまや取引先の安心感のためにも、取組と開示はセットで対応していくことが重要だと考えています。

－今回のプロジェクトの概要とプロセスについて教えてください。

廣木：
プロジェクトのスコープとしては2つありました。まずは、2024年10月末までの取組として、決算短信、株主総会招集通知、有価証券報告書などの期末書類において、事業リスクや課題等の項目について、情報セキュリティ分野に関する内容を拡充させること。もう一つは、さらなる開示の拡充として「サステナビリティサイト」に「情報セキュリティ基本方針」というページを新設することです。

有価証券報告書やサステナビリティサイトには、エイチームのゼロトラストセキュリティの考え方について掲載しています。それを開示するにあたり、当社のゼロトラストに対する考え方やセキュリティのスタンスなどを改めて議論していきました。

ちなみに、「情報セキュリティ基本方針」に掲載しているセキュリティインシデントの対応フローについては社内規程に紐づくように整えています。開示するからには、公的な資料であるべきと考えています。開示の根拠となるものとして、社内規程に掲載されているものであることも重要だという考えです。

有価証券報告書（2024年7月期）
サステナビリティサイト「情報セキュリティ基本方針」

杉本：
検討のプロセスとして、はじめに、当社グループが実施している情報セキュリティに関する取組を整理するところからスタートしました。他社の開示などを調査・参考にしながら検討を進め、サステナビリティにおけるIT領域に期待される開示・取組の水準を把握していきました。その中で、当社グループですでに取り組んでいて開示が可能なもの、今後に向けて取組レベルで検討が必要なものなどについても、全体感を把握していきました。

具体的には、他社の事例と比較しながら自社の取組を棚卸して、リスクの観点から重要度を考え、優先順位をつける。特に重要性の高いリスクをピックアップして、文章にまとめ、そして何度もレビューを重ねながら内容をまとめていきました。

－プロジェクトを進めるにあたり、他社から情報を得るようなことはありましたか？

杉本：
今回の検討にあたっては、他社の開示事例を数多く参考にしました。特に、当社が参加している中部地区でのCSIRT（※）の会合は貴重な情報交換の場になりました。会合でセキュリティの情報開示がテーマに挙がった際、参加されていた他社の開示担当者の方々と直接意見交換する機会があり、Webサイトだけでは得られない実務レベルの知見を深めることができました。また、その会には開示に関わっている方も一定数参加していて、その方々から情報を得る機会もありました。
※：CSIRT（Computer Security Incident Response Team）：コンピュータセキュリティの事故やセキュリティインシデントに対応するチーム。当社グループでは「Ateam-CSIRT」を設置し、NCAに加盟しております。

サステナビリティPJに参画して得た気づきや学び

－サステナビリティPJにおいて、情報セキュリティ分野の開示を通じて得た学びや気づきはありますか？

杉本：
世の中からの「見られ方」を考えるようになりました。社内的な取組で言えば、外部からのサイバー攻撃への備えや、セキュリティリスクがどこに残っているのかを考えて手当てしていくのがセキュリティ担当の仕事です。

一方で、セキュリティ対策を実施した結果、「取引先やユーザーなどの社外の皆さんに安心してもらえるか」と考えることは今まで多くはありませんでした。開示の取組に関わって以来、当社グループを取り巻くステークホルダーの皆さまに信用・信頼され、安心感を持ってもらえる情報セキュリティへの取組と開示というのを意識するようになりました。

廣木：
確かに、これまでは社内に対する意識が強かったように思います。セキュリティインシデントの対応フローについても、当初は社内向けのフローでしたが、開示に向けて社外からも見えやすいものに変えました。社内だけではなく社外にも意識を向けられるようになったことは、とても大きな変化だと思います。

また、今回の取組・開示を通じて他社の事例をたくさん見ましたが、そこからも多くの気づきが得られました。「こういったセキュリティ製品を導入しています」「こうやって防御しています」「認証手続きはこのようにやっています」と詳細に開示している会社もありました。安心感を得てもらうにはそのレベルまで開示する必要があるかもしれません。様々な他社事例に触れられたことは、今後に活かしていけると思います。

杉本：
様々な他社の事例を見たことで、自分たちがまだ実施できていないことに気づくこともできました。他社と比較する中で「この水準まで高めていきたい」という話を二人でしました。そうした考えが備わったことも、私たちが開示の取組から得られたものだと思います。

今、セキュリティリスクを国際的なフレームワークに沿って評価していくことに取り組んでいます。組織とツールの両面からの評価でエイチームの強みと弱みを可視化し、対策をしていくというプロセスです。それを行うことで開示できるものが増えますし、より安心感を与えられる説明もできると感じています。実際に、自分たちの強みと思えるものは強みとして明確化され、一方で取り組めていないことが弱みとしてしっかり可視化されます。それに対してギャップはなく、私たちの取組内容の裏付けになるものとして、ちゃんとスコアリングしてくれていると感じています。

エイチームならではの情報セキュリティの考え方

－今回の取組を通して、エイチームの情報セキュリティの特徴や強みは何だと感じますか？ 情報セキュリティのスタンスや考え方について教えてください。

廣木：
社外の人に「エイチームのセキュリティで重視されるところは何ですか」と聞かれることがありますが、「社員を疑わなくても済むようなセキュリティ基準です」と回答しています。何かが起こったときにしっかり情報が追える、必ず社員を守ることができて社員を疑わなくても済むという考え方です。

ただ、それを実施するのは簡単ではありません。しっかりログが取れないと、使った人を疑うようなことにもなります。新しいサービスを使いたいという声に対しても「ちゃんと統制が取れるシステムですか？」とうるさくいってしまうこともあります。大変ではありますが、エイチームが重視するセキュリティの考え方として、これからも大切にしていきたいです。

同時に、社員一人ひとりのセキュリティの意識とリテラシーを高めるセキュリティ教育についても力を入れています。社員の皆さんへのセキュリティツールの導入においても、しっかり理解して、納得してから使ってもらいたいからです。高い理解度、納得感があれば社員との連携が取りやすくなり、お互いにためになるケースも増えていきます。

これらの考え方や取組などがベースにあることで、事業活動に関わる社員の皆さんは本来の業務に専念できますし、事業成長に集中できる状況をつくることにもつながっていると考えています。

杉本：
エイチームが導入しているセキュリティ製品は、時に”過検知”が起こることがあります。アラートが検知されると利用者に対してヒアリングをして、操作の手順などを特定していくプロセスが発生しますが、調査の結果、不正ではなく正常な操作・動作だったということもあります。この際に、エイチームの社員は嫌な顔せずに素直に応じてくれます。リスクが高いと判定されるとネットワークから切り離されることもありますが、そうなったときも不満が出ることがありません。ツールに対する理解も深いので、不満どころか「守ってくれてありがとう」というリアクションが返ってくることもあります。エイチームの人の良さ、風土があるからこその強みだと思います。

技術的な強みで言うと、比較的少人数で先進的な仕組みをどんどん導入して、運用していることが挙げられます。スコアリングのツールで評定しても、業界標準よりも高いスコアが出ます。

廣木：
確かに、導入すべきものを早期に導入して、世の中の水準より高いレベルを保っていることは私たちの強みだと言えます。他社のコーポレートエンジニアにエイチームが導入しているツールについて話をするときも参考にされることが多いです。

－エイチームの情報セキュリティに関して、世の中にアピールしたいことはありますか？

杉本：
近年、成長戦略の遂行により、M&Aでエイチームグループにジョインする会社が増えてきました。それぞれの企業の取組を考慮しながら、セキュリティ体制を構築することができています。各社それぞれに異なる文化があります。ジョインする前から元々使っている製品もあります。そのような状況がありながらも、双方をつなげたり、エイチームグループで使っているものに置き換えたりすることを進めることができています。

各社間で柔軟にコミュニケーションをとりながら体制構築を進められていることは、なかなか珍しいのではないかと思います。今後も各社とコミュニケーションを取りながら、お互いにとって最適なものを選択していく形を継続していきます。

廣木：
M&Aの取組を進めるうえで、大きなトラブルが発生することなく遂行できています。引き続き、セキュリティへの取組について「どのような対策を講じているか」「なぜこのツールが必要なのか」を丁寧に伝え、納得感のある環境や体制を整備していきます。様々な要因から総合的に検討し、エイチームグループのセキュリティ水準をより信頼、納得できるレベルにしていきたいと思います。

－最後に、これからさらに取り組みたいこと、ブラッシュアップしていきたいことを教えてください。

杉本：
情報セキュリティはどんどん新しくなっていく分野です。攻撃者の手法が増えるとその対策としてやるべきことも増えますし、それに対応する概念も新しくなっていきます。新しいものにしっかり適応していきたいと思います。

また、エイチームグループにジョインする企業への体制構築を進めてきましたが、より最適化したセキュリティを考えるフェーズに差し掛かっていると言えます。その点もブラッシュアップしていきたいです。

廣木：
今回の取組では他社の開示を参考にしましたが、エイチームとして開示に至っていない内容もあるので、今後取り組んでいきたいと考えています。例えば、体制図をより実効性があるものに更新したり、情報の取扱いの流れをもっと精緻に整えたり、情報の担当分野やデータの流れであったり、様々な項目について開示のレベルを上げていきたいです。

さらには、生成AIに関する開示にも取り組んでいきたいです。社内でガイドラインを定めていますが、開示レベルに至っているとは言えません。今後、生成AIはより重要になっていく領域なので、しっかり取り組んでいきたいです。また、エイチームでは毎年、IT投資計画を作成していますが、その計画をブラッシュアップしていくことも、私たちのミッションだと考えています。