グリーホールディングス株式会社は2月16日、グリーグループの情報セキュリティ委員会事務局の主要メンバー4名へのインタビューを公式オウンドメディア「6 deGREEs」で公開した。事業責任者が直接参加するガバナンス体制の全容に加え、生成AI活用に向けたルール整備や、従業員の意識向上に向けた取り組みについて語られている。
サイバー攻撃の高度化や生成AIの急速な普及により、企業の情報セキュリティは「専門部署だけの課題」から「経営・事業全体の課題」へと変化しつつある。セキュリティ部門と事業部門がいかに連携し、スピードと安全性を両立した意思決定を行うかは、多くの企業に共通する課題だ。グリーグループが公開した取り組みは、事業責任者を巻き込んだ実効性あるセキュリティ体制の一つの実践例として注目される。
インタビューによると、グリーグループの情報セキュリティ委員会は、取締役会で決定された経営基本方針に基づき、代表取締役社長の諮問を受けて審議・答申を行う会議体として位置づけられている。
特徴的なのは、委員会メンバーに各事業の責任者が加わっている点だ。情報システム部・法務部門・個人情報管理チームなどの関係部門の責任者も参加し、内部監査部門も陪席する。セキュリティ部の大本部長は、「セキュリティ部だけで完結したり、ルールを一方的に共有するのではなく、事前に論点や判断案を整理したうえで、関係部門が同じテーブルにつき、最終的な意思決定を行う会議体として位置づけています」と説明した。
グループ全体のリスク管理においては、リスクマネジメント委員会が全社的なリスク方針を担い、情報セキュリティ委員会は情報セキュリティ領域の個別事案や技術的論点を判断する場として棲み分けている。クラウド利用の拡大や生成AIの活用など、事業と直結したセキュリティ判断が増える中、事業や技術の動きに応じたタイミングで議論・付議を行っているという。
事業責任者が委員会に参加することは、インシデント対応にも効果をもたらしている。セキュリティエンジニアリンググループの山村シニアマネージャーによると、重大度の高いインシデントが発生した場合、「事業責任者自身が状況や背景を説明し、対応方針や進捗について共有」したうえで、対応の妥当性や再発防止策を議論・合意する運用をとっている。
また、インシデント対応の状況はKPIで数値化・可視化し、委員会を通じて定期的に共有している。
新技術への対応も委員会の重要な議題だ。セキュリティ企画チームの奥野マネージャーは、グリーグループでは生成AI利用に関する情報セキュリティガイドラインを策定済みであることを明かし、基本方針について「リスクを十分に把握したうえで、業務上の必要性が高い場合には、安全性に配慮しながら活用を進めること」と説明した。
今年度は特に、より安全かつスピーディーな活用を後押しするため、判断・承認の責任の所在、利用許可の基準、利用開始後のモニタリング方法を明確化し、委員会で合意のうえ運用を開始した。奥野氏は「事業責任者も参加しているからこそ、利便性と安全性のバランスについて、実務に即した議論をその場で行える点が、この体制の強みだと感じています」と語り、生成AIの活用を一律に制限するのではなく、現場の実態に即したルール作りを進めている姿勢を示した。
インタビューの締めくくりとして、大本部長は今後の展望について「最終的に会社を守るのは『一人ひとりの行動』だ」と強調した。近年の攻撃は、メールやカレンダーの通知など日常業務の延長線上で仕掛けられるケースが多く、「『不審なメールは開かない』といった一般論だけでは十分ではなく、少しでも違和感を持った時に立ち止まれるか、そして早めに相談できるかが重要」だと述べている。
今後は、標的型攻撃メール訓練の結果も踏まえ、入社年次や職種に応じた啓発活動にも取り組む方針だ。大本部長は「仕組みの整備と、一人ひとりの意識。この両方を大切にしながら、安心して挑戦できる環境づくりを続けていきたい」と語り、制度と意識の両輪でセキュリティを支えていく考えを示した。
サイバー攻撃の高度化や生成AIの急速な普及により、企業の情報セキュリティは「専門部署だけの課題」から「経営・事業全体の課題」へと変化しつつある。セキュリティ部門と事業部門がいかに連携し、スピードと安全性を両立した意思決定を行うかは、多くの企業に共通する課題だ。グリーグループが公開した取り組みは、事業責任者を巻き込んだ実効性あるセキュリティ体制の一つの実践例として注目される。
インタビューによると、グリーグループの情報セキュリティ委員会は、取締役会で決定された経営基本方針に基づき、代表取締役社長の諮問を受けて審議・答申を行う会議体として位置づけられている。
特徴的なのは、委員会メンバーに各事業の責任者が加わっている点だ。情報システム部・法務部門・個人情報管理チームなどの関係部門の責任者も参加し、内部監査部門も陪席する。セキュリティ部の大本部長は、「セキュリティ部だけで完結したり、ルールを一方的に共有するのではなく、事前に論点や判断案を整理したうえで、関係部門が同じテーブルにつき、最終的な意思決定を行う会議体として位置づけています」と説明した。
グループ全体のリスク管理においては、リスクマネジメント委員会が全社的なリスク方針を担い、情報セキュリティ委員会は情報セキュリティ領域の個別事案や技術的論点を判断する場として棲み分けている。クラウド利用の拡大や生成AIの活用など、事業と直結したセキュリティ判断が増える中、事業や技術の動きに応じたタイミングで議論・付議を行っているという。
事業責任者が委員会に参加することは、インシデント対応にも効果をもたらしている。セキュリティエンジニアリンググループの山村シニアマネージャーによると、重大度の高いインシデントが発生した場合、「事業責任者自身が状況や背景を説明し、対応方針や進捗について共有」したうえで、対応の妥当性や再発防止策を議論・合意する運用をとっている。
また、インシデント対応の状況はKPIで数値化・可視化し、委員会を通じて定期的に共有している。
セキュリティ推進チームの山邉マネージャーは、「事業責任者を含むメンバー構成となっていることで、インシデント対応や再発防止に対する考え方を、部門を超えて共有できる」と述べ、委員会での対話を重ねることで、各組織が自らの業務に置き換えて課題を捉えられるようになったと語った。
新技術への対応も委員会の重要な議題だ。セキュリティ企画チームの奥野マネージャーは、グリーグループでは生成AI利用に関する情報セキュリティガイドラインを策定済みであることを明かし、基本方針について「リスクを十分に把握したうえで、業務上の必要性が高い場合には、安全性に配慮しながら活用を進めること」と説明した。
今年度は特に、より安全かつスピーディーな活用を後押しするため、判断・承認の責任の所在、利用許可の基準、利用開始後のモニタリング方法を明確化し、委員会で合意のうえ運用を開始した。奥野氏は「事業責任者も参加しているからこそ、利便性と安全性のバランスについて、実務に即した議論をその場で行える点が、この体制の強みだと感じています」と語り、生成AIの活用を一律に制限するのではなく、現場の実態に即したルール作りを進めている姿勢を示した。
インタビューの締めくくりとして、大本部長は今後の展望について「最終的に会社を守るのは『一人ひとりの行動』だ」と強調した。近年の攻撃は、メールやカレンダーの通知など日常業務の延長線上で仕掛けられるケースが多く、「『不審なメールは開かない』といった一般論だけでは十分ではなく、少しでも違和感を持った時に立ち止まれるか、そして早めに相談できるかが重要」だと述べている。
今後は、標的型攻撃メール訓練の結果も踏まえ、入社年次や職種に応じた啓発活動にも取り組む方針だ。大本部長は「仕組みの整備と、一人ひとりの意識。この両方を大切にしながら、安心して挑戦できる環境づくりを続けていきたい」と語り、制度と意識の両輪でセキュリティを支えていく考えを示した。
編集部おすすめ
![[USBで録画や再生可能]Tinguポータブルテレビ テレビ小型 14.1インチ 高齢者向け 病院使用可能 大画面 大音量 簡単操作 車中泊 車載用バッグ付き 良い画質 HDMI端子搭載 録画機能 YouTube視聴可能 モバイルバッテリーに対応 AC電源・車載電源に対応 スタンド/吊り下げ/車載の3種類設置 リモコン付き 遠距離操作可能 タイムシフト機能付き 底部ボタン 軽量 (14.1インチ)](https://m.media-amazon.com/images/I/51-Yonm5vZL._SL500_.jpg)