日清食品グループの“やりすぎ”なぐらいのセキュリティ対策――キーパーソンが語る10年の歩み：セキュリティ先進企業へのショートカット（1/2 ページ）

セキュリティ対策を前に進めるには先進企業の事例から学ぶのが近道だ。日清食品グループのセキュリティを統括するキーパーソンに、10年間にわたるITやセキュリティ対策の歩みを聞いた。

[田渕聖人，ITmedia]

この連載について

「セキュリティ先進企業へのショートカット」は、CISOやCSIRT責任者といったキーパーソンに、セキュリティ組織をなぜ立ち上げ、またはどのように運用しているかなどを深堀りして聞き、セキュリティ体制構築・強化のショートカットにつながる情報を届ける連載だ。

ショートカットとは“楽をすること”ではなく、取り組みを地道かつ効率的に進めることに他ならない。先進企業の事例からそのヒントを学んでほしい。

　ランサムウェアをはじめとしたサイバー脅威が激化し、セキュリティ対策は喫緊の課題となっている。だが、「これをどう進めればいいか分からない」と悩む企業もあるかもしれない。そんなときは先進企業の事例に学ぶのが一番の近道だ。

　「セキュリティ先進企業へのショートカット」は、セキュリティ先進企業の責任者にインタビューし、責任者の経歴と合わせて企業のセキュリティ対策の歩みを深掘りし、体制の構築や運用のヒントを探る新連載だ。

　連載の第1回は日清食品ホールディングスの樋渡亮二氏（グループITガバナンス部　部長）に話を聞いた。「DIGITIZE YOUR ARMS デジタルを武装せよ」を合言葉にデジタルトランスフォーメーション（DX）を積極的に推進している印象が強い同グループだが、10年前のセキュリティ状況はどうだったのだろうか。

180以上のシステムが乱立　10年前の日清食品グループのIT・セキュリティ状況

――まずは樋渡さんの経歴から教えてください。

樋渡氏：　2014年に日清食品ホールディングスに入社したので、ちょうど11年目となります。その前はフィリップモリスジャパンでITインフラやテクノロジーの領域に携わっていました。

日清食品ホールディングスの樋渡亮二氏（グループITガバナンス部　部長）

樋渡氏：　当時、フィリップモリスジャパンは優れたIT統制を実現しており、当社に入社した後も前職で学んだ多くのことが役立ったと感じます。具体的にはITサービスをいかにビジネスに活用するか、質を上げながら運用するか、そしてプロジェクトマネジメントの手法などです。

　日清食品ホールディングスに入社後は、ITインフラ整備をリードしたり、SAPをはじめとした基幹システムの運用・保守を担当したりしていました。そして2020年に海外のITガバナンスを強化するために新設されたグローバルITガバナンス室の室長となり、2023年にはこちらも新たに立ち上げたグループITガバナンス部の部長に就任し、海外の事業会社を含むグループ全体を俯瞰（ふかん）してIT統制を進めています。

――日清食品ホールディングスはビジネスにITを貪欲に取り入れている印象を受けますが、セキュリティについても同様に注力しているのですね。樋渡さんが入社した10年前のITやセキュリティ状況はどうだったのでしょうか。

樋渡氏：　正直なところ、先進的とは言い難い状況でした。こちらは2014年当時の当社のサーバルームの写真です。床下にケーブルが散らかっており、空中にもケーブルがつるされています。

2014年当時の日清食品ホールディングスのサーバルーム（出典：日清食品ホールディングス提供資料）

――これは……乱雑ですね。

樋渡氏：　この他、研究所や工場など業務部門の要望に応える形で個別最適を進めた結果、電子メールシステムや認証基盤が複数存在していた他、システムを長く使うことが良しとされる時代だったこともあり、サポート切れのOSやアプリが利用され続けていました。当時はコストを掛けずとにかく使いやすさを優先していたわけです。

――サポート切れのOSを使い続けることは大きなセキュリティリスクにもつながります。この状況はどういったきっかけで改善されたのでしょうか。

樋渡氏：　グループ全体で働き方改革に乗り出したことがきっかけです。前CIO（グループ情報責任者）の喜多羅 滋夫氏が旗振り役となって「レガシーシステム終了プロジェクト」が立ち上がり、不要なシステムを統廃合することでIT変革が大きく前に進みました（※注）。これによって、180以上あった周辺システムの7割を削減しました。

※注：システムの統廃合については喜多羅氏のこちらの記事を参照。

――個別最適化されていたこともあり、周囲から反発があったのではないでしょうか。

樋渡氏：　抵抗はありましたが、「こちらの方が利便性が高まる」としっかりメリットを提示して現場の方々と粘り強く交渉を進めました。実際に話を聞いてみたら利用者が5人しかいないシステムもあったり、昔の慣習を引きずっていて非効率的な業務プロセスなどもあったりしました。

　システムの統廃合はコストや業務効率化だけでなく、セキュリティ強化の観点からも守るべき対象を減らしてシンプル化したことがプラスに働いたと考えています。このプロジェクト後から、2020年に開催予定だった国際的なスポーツイベントに向けて当社のゼロトラストセキュリティ構築の取り組みも本格化しました。

日清食品ホールディングスのITインフラ・ゼロトラストセキュリティ構築の歩み（出典：日清食品ホールディングス提供資料）

国内外グループ会社のセキュリティをどう確保するか？

――グループITガバナンス部立ち上げのきっかけについて教えてください。

樋渡氏：　2018年頃からゼロトラストセキュリティ実現への取り組みが本格化し、2020年頃には国内の主要グループ企業でEDR（Endpoint Detection and Response）の導入が完了しました。しかし、国内のグループ子会社や海外の事業会社にはその時点では導入できておらず、足元の守りを固めるだけにとどまっていました。

　2021年には大手企業のランサムウェア被害が相次ぎ、当社グループもより強く危機感を持つようになりました。そこから現CIOの成田敏博氏が主導する形で「国内外を含めたグループ全体を守っていこう」と、グローバルITガバナンス室や、グループITガバナンス部が組織されました。何か一つのきっかけというよりは、グループ全体を保護する仕組み作りを少しずつ進めてきた結果が今につながっていると思います。

――――海外事業会社のセキュリティを正しく把握できていなかった当時の状況をもう少し詳しく教えてください。

樋渡氏：　当時、海外には小規模なものも含めると30社以上のグループ会社があり、各社がそれぞれでIT部門を独自に運営していました。会社ごとにセキュリティレベルはまちまちで、IT部門の担当者が1人しかおらず、限られたリソースで何とか運用しているケースも多く見受けられました。仕方がない部分もありますが、リソース配分が生産や営業などの領域に集中し、IT領域が後回しにされているのが実態でした。

　各グループ企業がどのようなシステムを使っていて、どのような課題を抱えているかをホールディングスのIT部門が把握できておらず、経営陣に海外事業会社のセキュリティ状況を聞かれたときに即答できない状態にあるのは不健全です。そこで2022年3月から、今後強化すべき5つの施策を掲げ、組織的に推進していくことにしました。

日清食品ホールディングスが掲げた今後強化すべき5つの施策（出典：日清食品ホールディングス提供資料）

樋渡氏：　2023年3月に新設されたグループITガバナンス部は、子会社や孫会社の状況を把握し、セキュリティの全体像を把握する役割を持ちます。セキュリティ領域のエキスパートで組織されたサイバーセキュリティ戦略室が、国内外含めたグループ全体のセキュリティ戦略策定やインシデント対応の相談窓口になっています。ITガバナンス室が各社と密に連携することで当社グループのセキュリティ戦略に沿った対策を実施してもらい、グループ全体のレベルアップを図っています。

本稿執筆時点でのグループITガバナンス部の体制。メンバーは順次拡充予定だ（出典：日清食品ホールディングス提供資料）