【増村】　国内をメインとした、セキュリティ体制の整備・ソリューション導入、それらの監視運用を行なっております。

【増村】　そうですね。後はインシデントがあれば対応することです。最初に申し上げた「体制の整備」としては、教育の計画、教育コンテンツの作成、教育の実施の3つがあります。他には、構築した体制がルールやガイダンスに準拠しているかという準拠性監査も今後行っていく予定です。

▲ジンズ様のご講演内容

【増村】　残念ながら過去2回事故がありました。それらの影響でセキュリティに対する意識が高まらざるを得なくなりました。それまでのセキュリティ対策は、情報システム部門とEC部門（編集注：eコマース・電子商取引のこと。大抵の場合、インターネットショッピングのことを指す）が、兼務していました。そこで、専門特化した部門の必要性が叫ばれ、設置される運びとなりました。それに関する話がまず1つです。
「組織的取組み」については、今までは様々な議題を取り上げる委員会の中で、セキュリティのことも取り上げ、喧々諤々の議論を行ってきましたが、2018年6月より、その委員会からセキュリティに関することだけを分離させ、外部弁護士や監査役、管理本部長や法務、広報、監査、総務人事、情報システムの責任者、そしてITガバナンス室の私といった面々で情報セキュリティ委員会という名称で毎月1時間セキュリティのことだけをテーマに開催しています。

【増村】　各店舗、海外支店、支社、倉庫、工場、ECサイトでご購入いただいたお客様の眼鏡を加工して発送するセンター、これらと本部に物理的な距離があります。そのため、ルールやガイドラインの展開を始め、意識や意思の統一をどのように行っていくかが、本部のマンパワーの制約もあり、大きな課題の1つです。

【増村】　ネットワーク上の障害がない部分については、資産管理ツールで行っているので、物理的に離れていたとしても問題ありません。しかし、従業員の教育に関しては、オフラインで行った方がオンラインで行うよりも効果があるというのはよく分かっていますが、物理的な距離を考慮すると、オフラインで全てを対処するにも限界があります。なので、オンラインでの教育をどのように構築して完成させていけばよいかを考えながら、取り組んでいる最中です。Eラーニングだと、どうしても従業員からするとやらさている感じがしたり、インタラクティブではない部分が多々あるので、構築するにしても難しいところです。
ただ、ワンウェイであったとしても、ビデオや、オンライン上で参加できるようなコンテンツ、ゲーム形式の物など、少しでもインタラクティブな仕組みのオンライン教育ソリューションにできれば、やらされ感は減らせるのではないかと思っています。とは言え、これも予算との兼ね合いもあるので、投資が認めてもらえないと、実現できないので、その調整も今取り組んでいるところです。

【増村】　現時点では、ソリューションを「点」で導入しているというのが実態です。ネットワーク上に何も対策方法がないのであればWAF（Web Application Firewall）を導入し、サーバー上に対策がないのであれば検知対策ソフトを導入し、クライアントにアンチウィルスソフトくらいしかなくビジネスエディションでもないのであれば、次世代アンチマルウェアソリューションを導入したり…このように最低限抑えておかないといけない危険な部分にひとまず対策をしたのが現状です。
　そこから、今度はSIEM（Security Information and Event Management）を作成し、SOC（Security Operation Center：セキュリティオペレーションセンター）化するかまでは現時点では分かりませんが、「点」と「点」を線で結びトータルで可視化できる状態を実現していこうと考えています。とは言え、これも先程の従業員教育の話と同様、予算が必要になります。そのため、このタイミングで本当にそこまでやる必要があるのかということを、経営側と、最適なソリューションを新たに導入するのか、おまとめサービスのようなものに頼るのか、といったことも含めすり合わせしながら予算獲得をしていこうと思っています。そして、グローバルヘッドクオーターとして、どう運用していくかを見ていきたいと考えています。
　さらに弊社の場合海外にも拠点があり、そこには日本から現地法人の代表として出向してもらっているのですが、時差や距離感の関係で本社ほど、迅速にセキュリティ施策の導入が行われていないという不満もゼロではありません。そのような海外現地法人の方々の精神的なケアもしないといけないのですが、そこへの投資となると決して安い金額ではありません。費用対効果を勘案しつつ、どのように進めていくのかは、現在議論中です。
弊社の場合、売上が国内中心なので、国内のインパクトが大きいというのは海外拠点の方も理解はしているのですが、海外担当にとっては、当然自分の担当拠点も同じように大切です。プライオリティをつけながらですが、きちんと海外に対してもサポートしていく姿勢をみせることが、セキュリティ分野とは少し離れてしまうかもしれませんが、セキュリティの業務を推進するにあたっては必要なものだと考えています。

【増村】　今はまだ、部門の設立が2017年11月とあって、判断軸や判断できるデータがまとまって蓄積されていません。そのため、ナレッジベースも現在作っている最中です。具体的には、JIRA（ジラ）チケットのようなもので、1件1件着実にタスク管理をしていき、ナレッジを蓄積している状況です。そうすることで判断基準を確立したいと考えています。

【増村】　そもそも、情報セキュリティポリシーがありませんでした。それは良くないということで、私が情報セキュリティポリシーの草案をワールドワイドで出すために、日本語版、英語版、中国語版、台湾語版の4種類を作成し、社長名義で取締役会に通しました。そのポリシーを元に、実態に添うように整備をしました。その規程を実行する現場レイヤーのことに言及したガイダンスを13種類作り、ようやくその整備が2018年7月初頭に終わった状況ですね。これをいよいよ国内中心に、これまで携わりのなかった方々にもなるべく分かりやすいように展開していくフェーズになりました。

【増村】　あまりありませんでした。むしろ「お任せします」と応じてくれました。というのも、本社スタッフもセキュリティをもっと積極的に強化する必要があるということは分かっていたのではないかと思います。会社のミッションの中に、「honest」というのがあり、これは「正直に」ということですが、それを体現するような素直な社員が多いため、内部だけで完結するならばそれで良かったんです。しかし、外部には性悪説で考えないといけない事案や事象が転がっています。その危険性をいかに性善説の世界に注入していくのか、もしそれぞれが水と油のように相容れない物だとするならば、手を変え品を変え伝えていく工夫が必要だとは考えています。

【増村】　現在、隔週で主に店舗向けに、社内報のような紙媒体に、数ヶ月前からコラムを書いています。そこには、JINSのセキュリティについて、と言うよりも、世の中のセキュリティの状況、考え方、対策の必要性や必然性について書いています。残念ながらお見せすることはできませんが、これまで5回連載しました。しかし、これから先はこれまで以上に、どのような内容にするか試行錯誤していこうと思っています。と言うのも、どの様に書くと読者に分かってもらえるのか、興味を持ってもらえそうなのか、これら2点の事を考えながら書かなければいけないからです。社内報の読者は、全国の店舗のパートの方も含まれています。そのため、興味関心を引けないものであれば、読まずに捨てられてしまって、コラムの目的が達成されないですからね。だから、少しでも本部スタッフのみならず、店舗スタッフも食いついてもらえるように、分かりやすく、かつ楽しめそうな内容にするにはどうしたら良いのか知恵を絞っています。
そもそも、弊社はIT企業ではありません。そのため、セキュリティリテラシーの前にITリテラシーがIT企業ほどは高くないんですね。確かに日々の仕事道具としては使いこなせているけれども、具体的なPCの仕組みや、どのようなメールが怪しくて、どういうメールは怪しくないのか、そもそも世の中ではどのような怪しいメールが出回っているのか、フィッシングとは何なのか、というレベルにたどり着けていない人が多いです。弊社はアイウェアの会社なので、仕方ないのかもしれませんが。

【増村】　そうですね。そのような状況は弊社に限らないとは思います、特に小売り、流通の会社では。またそれとは別に、世の中の潮流として、流通の中に占めるECの割合というのが、Amazonさんの成長に見るように、加速度的に伸びています。先日、しまむらさんもECサイトへの比重を高めていくという記事がありましたが、それも経営資源の配分を苦労して調整しながら、ビジネスを展開している、そんな内容でした。弊社も小売業として、今まさに伸びているECの波に乗らない手はないんだと考えておりますが、ECという限定した範囲だけを見ても、セキュリティは、やはり切っても切り離せません。もちろん、整備はしていますが、目が行き届いていない部分なども幾らかあるはずです。それもやはり、弊社はITの会社でもEC専業でやってきている訳でもないので、致し方ないことなのかもしれませんが、一歩ずつ着実に進んでいこうと考えています。

【増村】　そうですね。同じような境遇の企業の方が参加されているとすれば、何かしらのヒントにしていただければ光栄です。また、とある小売業の、私と同じような業務を担当する方とお話しした際「悩みは同じですね。共通していますね」とおっしゃっていました。同じ市場で競合している企業だけでなく、小売業、流通業に共通した悩みの1つなのだとすれば、他の業界の皆様とも悩みを共有できるといいですね。そして、共有した上で何か手立てをしないといけない、その部分でディスカッションできればと考えています。