ファッション×IT スタートアップFABRIC TOKYOが選んだセキュリティ対策　常にクリーンな環境を実現できる上流側の仕組化と現場の社員教育の重要性

高橋様（以下、高橋）：

当社はファッションとITを掛け合わせたビジネスウェアブランドとして事業を展開しています。主にECサイトを運営していて、お客様の身体サイズに合わせたオーダーメイド商品を提供しています。

私自身はシステム開発チームのリードエンジニアとして、会社のシステム開発が主な業務です。以前は情シスの専任担当者がいたのですが、その方が退職された後は、私が情シス業務も兼務している状況です。システム開発がメインで、セキュリティやネットワーク管理はサブ業務という位置づけになっています。

高橋：

基本的な対策は行っていましたが、より強固なセキュリティ体制を構築したいと考えていました。弊社はMacユーザーが多いので、基本的にはMacの標準セキュリティ機能を使用していました。一部のWindowsユーザーも同様に、デフォルトのセキュリティソフトを使用しているだけの状態でした。

高橋：

ECサイトを運営しているので、お客様の氏名や住所など、商品を届けるために必要なデータを保有しています。特徴的なのは、お客様の身体サイズに関するデータです。お客様の身体サイズデータは、当社のオーダーメイドサービスの中核となる重要な情報であり、厳重な保護が必要であると考えています。極端な話、住所は引っ越せば変えられますが、身体的特徴は簡単に変えられないものです。また、お客様からのヒアリング内容など特徴的な情報も記録しているため、セキュリティレベルを高く保つ必要があると考えています。

高橋：

会社の内部体制強化を進める中で、当社の社長がアクトさんと知り合う機会があり、一度話を聞いてみようということになりました。そこから導入につながっていきました。

高橋：

システム面の強化も大切ですが、個人的には社員一人ひとりのセキュリティ意識を高めることが急務だと考えていました。弊社はアパレル業界出身の社員も多く、ITリテラシーにばらつきがあるため、セキュリティ教育を重視しています。全員がITに詳しいわけではなく、新たに入社する方もITに特化しているわけではないので、セキュリティ意識が元々低いことが多いのです。なのでそうした社員教育の部分が最も急務だと常々考えていました。

高橋：

最初は1年契約で効果を見てから継続を判断しようと考えていましたが、結果として効果があると判断し、契約を継続しています。

大きな理由としては、特別なトラブルが発生しなかったことです。過剰にアラートが上がるわけでもなく、適切な量のアラートが通知されるので、一定の効果を出していると感じています。

横井（アクト）：

FABRIC TOKYO様は私たちから見ても非常にクリーンな環境を維持されています。我々は100台あたり月間でどれくらいアラートが出るかという指標を見ていますが、他社に比べて明らかにクリーンな状態です。

高橋さんは謙遜して仰っていますが、やはり社員教育がしっかりされている印象を受けます。サイバー攻撃は「人の脆弱性」と「システムの脆弱性」の二つをついてきますが、FABRIC TOKYO様は人の部分がしっかりとしているため、現在のクリーンな状態が維持できているのだと思います。

前職から持ち込んだUSBを使用したり、不審なメールの添付ファイルを開いたりする行為が見られないのは、素晴らしい状態です。

高橋：

最近、「これは個人情報か否か」をクイズ形式で実施しました。個人情報は様々で、人に紐づいているものは個人情報ですが、紐づいていなければ単なるデータです。例えば電話番号は、誰のものか分からなければただの番号ですが、特定の人に紐づけば個人情報になります。そういったことを理解しているかのテストでしたが、正答率は良好だったので安心しています。

また、Googleスプレッドシートを社外の人と共有する場合には、すべて私に通知が来るようにして、本当に外部共有していい情報なのかを逐一チェックしています。

高橋：

名前は聞いたことがありましたが、実際に使ったことはありませんでした。最初はEDRをセキュリティソフトと混同していましたが、セキュリティソフトがクライアントに常駐するような感じなのに対して、EDRは集中管理をするような感じで外部から全デバイスをリモートで監視できる点が非常に便利だと感じています。

SOCサービスについては、ありがたいことにほとんど問い合わせする必要がないほど平和な状態です。一時期、特定のアプリケーションがアップデートのたびに消えてしまうという問題があった際には相談させていただきました。

横井（アクト）：

基本的にSOCチームとのやりとりは少ない方が良いんです。アラートが頻発してSOCチームと連携して対応するというのは正しい姿ではありますが、健全な状態とは言えません。日常的なコミュニケーションが少ないということは、クリーンな環境の証拠と言えますね。

高橋：

過去に一度導入してやめてしまったMDM（モバイルデバイス管理）を再度導入したいと考えています。社員が私用の携帯電話で会社情報にアクセスできる状況は問題だと思っています。Slackなどのチャットツールは業務上必須なので、完全に禁止するわけにはいきませんが、適切に管理する必要があります。

また、二段階認証を全社員に対応させることも必要です。現在は管理者のみ必須にしていますが、全体に拡大する予定です。

データ取り扱いのルール整備も課題です。会社が保有している個人情報を分析のために使いたいというメンバーがいますが、閲覧可能な人と不可能な人を明確に分けるべきです。または、個人を特定しない形でマスキングしたデータを使用するようルール化する必要があります。

高橋：

標的型攻撃メール訓練の実施を検討しています。標的型攻撃を模したメールを社員に送信して、対応力を身につけさせる取り組みです。

セキュリティ強化には「上流」と「下流」の両方を強化することが大切です。上流はアクトさんのような専門企業に協力いただいてシステム面を強化し、下流は各社員のリテラシー向上が必要です。そうした社員教育は今後も継続的に実施していきたいと考えています。

高橋：

明確なのは、私のように情シス担当が専任でいない会社です。情シスといっても幅広い職種があり、コーポレートエンジニアのような専門スタッフがいる大企業であれば、様々な選択肢から自社に合ったものを選べばいいと思います。

しかし、専門スタッフがいない場合は、アクトさんのような専門家に対応をお願いするのが良いでしょう。例えば、小規模企業の経営者で、セキュリティ強化の必要性は理解しているけれど何をしたら良いか分からないという方には、特にぴったりのサービスではないでしょうか。

横井（アクト）：

基本的に我々のサービスは情シス担当者とのやりとりが多いのですが、セキュリティに詳しくない方に対して運用負荷をオフロードすることも得意としています。そういった企業様には大いにご活用いただければと思います。