試験情報

アズビル株式会社

公開日:2024年9月2日

情報セキュリティマネジメント試験の活用で安全な商品開発を実現

  • アズビル株式会社 サイバーセキュリティ室
    室長 片山 諭志 様(中)
    マネジャー 関 英信 様(左)
    係長 田原 淳平 様(右)

アズビル株式会社は1906年創業の計測・制御機器メーカーです。「人を中心としたオートメーション」で「安心、快適、達成感」の実現ならびに地球環境へ貢献することを企業理念とし、建物向けの「ビルディングオートメーション」、工場やプラント向けの「アドバンスオートメーション」、ガス水道などのライフラインや製薬・医療分野など向けの「ライフオートメーション」という3つの事業をグローバルに推進。従業員は約5,000名、グループ全体で1万名近くに上ります(2024年3月末現在)。同社のサイバーセキュリティ室の室長・片山諭志様と、マネジャー・関英信様、係長・田原淳平様に、情報セキュリティマネジメント試験の活用状況やメリット、社内への普及啓発のポイントなどを伺いました。

セキュリティ教育に本腰を入れるため、情報セキュリティマネジメント試験を採用

片山

片山様写真

近年のネットワーク化、IoT化を背景に、当社が製造・販売している計測・制御機器のセキュリティ管理がいっそう厳重に問われるようになってきました。そこで当社では2019年に「商品サイバーセキュリティ審査室」を設置し、グループ全体で商品の企画から設計・開発、運用までを情報セキュリティの観点でチェックする体制を構築しました。2022年からはこの部署で社内の情報セキュリティも統括することになり、名称を「サイバーセキュリティ室」に改めた次第です。

社員のセキュリティ教育については、商品サイバーセキュリティ審査室を設置したころから課題として認識していました。サイバー攻撃が年々巧妙化・複雑化するなか、メディアで報じられる被害は他人事ではありません。特に当社の商品の納入先にはプラントや病院、インフラ事業者などがあり、高度なセキュリティ対策が求められます。従来から当社では全社員向けにセキュリティ動向を知ることを目的としたeラーニング環境を整えていたほか、ITパスポート試験の受験も推奨するなど、基礎的なセキュリティ教育は実施していましたが、開発担当者がリスク分析やセキュリティの要件定義・設計を行うには知識やスキルが足りない状態でした。

また、2020年には関係会社からのメールで社内端末がEmotet(注釈)に感染しました。情報の漏えいや窃取などの被害はなかったものの、安全確認のため業務の一時停止を余儀なくされたことで、経営層もセキュリティ対策をより重視するようになりました。こうした状況下で、社員のセキュリティ教育に本腰を入れるべく採用したのが、「情報セキュリティマネジメント試験」(以下、SG)だったのです。

  1. (注釈)
    メールアカウントやメールデータなどの情報窃取に加え、更に他のウイルスへの二次感染のために悪用されるウイルス。

受験者拡大へ、社内の人材開発機関と連携し4つの施策を実施

関様写真

SGは情報セキュリティの計画・運用・評価・改善に関する基本的なスキルを認定する試験で、社員が基礎的なセキュリティ知識を備える手段としてふさわしいと判断しました。経済産業省とIPAが策定した「サイバーセキュリティ経営ガイドライン」(注釈)の付録「サイバーセキュリティ体制構築・人材確保の手引き」でも、必要な知識・スキルを身に付けるために活用可能な試験の例として挙げられており、信頼性が高い点も評価できました。

もうひとつ、私たちが注目した試験が「情報処理安全確保支援士試験」(以下、SC)です。高度なサイバーセキュリティ対策を講じる人材の育成のために、開発部門に対して受験を推奨していました。ただ、SCは非常にレベルが高い試験ですので、まずはセキュリティ人材の裾野を広げるためSGを受験する機運を高めることに注力したのです。

  1. (注釈)
    大企業及び中小企業(小規模事業者を除く)の経営者を対象として、サイバー攻撃から企業を守る観点で、経営者が認識する必要がある「3原則」、及び経営者がサイバーセキュリティ対策を実施する上での責任者となる担当幹部(CISO 等)に指示すべき「重要10項目」をまとめたもの。

田原

田原様写真

当社では教育制度の一環として試験合格者に報奨金を支給する仕組みがあり、SGもその対象ではありましたが、2020年までは年間の受験者は10人に満たない程度でした。そこで2021年4月からグループの人材開発を手掛けるアズビル・アカデミーとも連携しながら、年間受験者の目標を10倍の100人に設定し、次のような施策を実施しました。

1.情報の周知

社内ポータルサイトに試験概要や合格することのメリット、受験に関する注意事項を掲載し、全社員の目に触れるようにしました。また、社内技術カンファレンスや勉強会を通じて、セキュリティの重要性やSGの受験対策を周知したほか、上長が参加する会議で部下への受験推奨もお願いしました。

2.奨励金の増額

2021年4月から2024年3月まで、試験合格者への奨励金を増額しました。

3.受験対策支援

社内向けのサイバーセキュリティ室サイトにSGの受験のポイントや過去問題を掲載するなど、受験対策支援を行いました。

4.通信教育講座

2024年度からSGの通信教育講座を新たに追加し、当社の制度(通信教育受験料全額返還制度)を活用できるようにしました。

こうした取り組みの結果、受験者は2021年度が約60名、2022年度が約80名、2023年度が約300名と順調に増加していきました。2024年7月現在、社員5,163名のうち、470名が受験しました。当初は開発エンジニアなど技術者をターゲットとしていましたが、2023年度は総務や広報などを含めてさまざまな部署の人が受験してくれたこともうれしい驚きです。合格率は84%と高い水準を維持しています。eラーニングなどの効果もあると思いますが、なにより多忙な業務の合間を縫って皆さんが勉強されていることに敬意を表します。

田原

SGでは2023年度から通年で試験が実施されるようになり、場所や時間を選ばずCBT方式で受験できるようになったことも受験の促進材料になっているようです。また、当社の合格率の高さを社内ポータルサイトなどで明らかにしたことで、受験の心理的ハードルが下がっただけでなく、「自分もチャレンジしよう」という意欲につながったとみています。

プラス・セキュリティ時代、SGは社員全員に合格してほしい

田原

受験を通じて、社内のセキュリティレベルは確実に高まっています。受験者へのアンケートでは、セキュリティに対して「意識が高まった」「理解が深まった」という回答が約9割に上るほか、「セキュリティを体系的に学べた」「商品審査のポイントがわかった」「離席の際に端末をログオフするようになった」といった声も聞かれます。合格したという事実がさらなる学習意欲の向上やセキュリティスキルを身につけた自信にもつながり、SCなど上位レベルへ挑戦する人も現れるものと期待しています。私はIPAの中核人材育成プログラム(注釈)の修了者で、情報処理安全確保支援士(登録セキスペ)として登録しています。その立場からしても社内のセキュリティレベルが底上げされることは心強いですね。セキュリティの専門部署だけでなく、商品をよく知る開発の現場にSGの合格者が増えていくことで、安全対策がより浸透しやすくなると思います。

  1. (注釈)
    セキュリティの観点から企業などの経営層と現場担当者を繋ぐ人材(中核人材)を対象としてIPAが実施する人材育成プログラム。社会インフラ・産業基盤のサイバーセキュリティ対策の強化をテーマに、テクノロジー(OT・IT)、マネジメント、ビジネス分野を総合的に学ぶ1年程度のトレーニングを実施している。

SCは部門単位の情報セキュリティ確保を担うキーパーソンという位置づけです。SGとSCの間の適切な学習ツールを用意し、無理のない形で受験体制を拡充していくことが社内のセキュリティレベルをさらに高めるうえで大切だと考えています。

片山

商品のセキュリティ対策については、リスク分析やセキュリティの要件定義・設計等を開発部門だけで実施できるようになってきました。それだけ社員のセキュリティスキルがアップしているということで、企業としてもお客様からの信頼向上、ひいては企業のブランドイメージの強化にもつながるのではないかと考えています。理想をいうならば、SGは社員全員に合格してほしいですね。新人はeラーニングでセキュリティの初歩を学び、入社3~4年の若手人材がSGに合格する、そんな流れが作れたらと思っています。

ネットワークを監視・防御するシステムの強化も図ってはいますが、社員一人ひとりのセキュリティ意識の欠如や操作ミスで会社全体が打撃を被る可能性もあります。いまやセキュリティはひとつの重要な事業基盤であり、全職種において「プラス・セキュリティ」(注釈)を取り入れることが望まれているのではないでしょうか。人事制度に反映させることなども含め、SGに合格することでキャリアアップにつながる、仕事の武器が増えると思ってもらえるよう、当社としても一層の普及・促進に取り組んでいきます。

  1. (注釈)
    自らの業務遂行にあたってセキュリティを意識し、必要かつ十分なセキュリティ対策を実現できる能力を身につけること、あるいは身につけている状態のこと。

掲載内容は2024年7月取材時のものです。