3万人超の巨大グループを少数精鋭で守る NOKが描いた“クラウド統治”の設計図：ランサムウェア被害が組織を変えた

ランサムウェア被害を機に、クラウド移行と全社的なセキュリティ改革に踏み切ったNOKグループ。少人数のチームが、グローバル約90社、従業員3万8000人規模のクラウド基盤をどう守り、「攻めのIT」へとつなげたのか。

PR／ITmedia

PR

　ランサムウェア攻撃が拡大する今、被害に遭わないためにも全社的なセキュリティ文化を醸成し、事前にセキュリティリスクに対処できる仕組みを構築することが重要だ。その勘所を知るには他社の取り組みが大いに参考になる。

　工業用シール製品やフレキシブルプリント基板などを手掛けるNOKグループは、2021年12月のランサムウェア被害を機に本格的にクラウド移行へとかじを切った。そこで直面したのは「クラウドのセキュリティをどう守るか」という課題だ。本稿では、IT基盤部 副部長の山口拓己氏に、少数精鋭でグローバル約90社、従業員3万8000人規模を守るガバナンス体制の構築法を聞いた。

転換点となったランサムウェア攻撃　限られた人員だからこそ知恵を絞る

　山口氏は、NOKグループ全体のIT基盤部でクラウド活用を推進する中心人物だ。2024年のグループ体制変革に伴い、同社のIT本部が2025年10月に再編され、NOKグループIT本部として中国や東南アジア、ドイツなど国内外のグループ約90社を横断的に統括する役割を担っている。同部でセキュリティガバナンスとクラウド活用の中核を担うのがIT基盤部のCSIRT課とクラウド基盤推進課だ。

NOKの山口拓己氏（IT本部 IT基盤部 副部長）

　2025年12月現在、グループ全体のセキュリティ方針を策定するCSIRT課は3人。クラウド基盤推進課は協力会社を含めて9人だ。9人のうちクラウド基盤の運用を担当しているメンバーは3人で、この人員でグループ従業員3万8000人という巨大組織のクラウド運用やセキュリティを支えている。山口氏が「結構きつい」と率直に語るように、その実情は決して楽なものではない。しかし同グループがそれでもセキュリティに注力するのは過去の苦い経験が背景にある。

　山口氏は「2021年12月に起きたランサムウェア被害は、NOKにとって単なるインシデントではありませんでした。組織全体がセキュリティを“ジブンゴト”として意識するようになったという点で、新たな文化を醸成する変革の引き金となりました」と述べる。

　ランサムウェア被害によって生産停止を経験した。山口氏は当時の状況を「大混乱だった」と振り返る。被害拡大を防ぐために、100台以上の「Amazon Elastic Compute Cloud」（Amazon EC2）インスタンスを一つずつ停止して、手探りで対応を進めた。しかし「どう対応したらいいのか分からなかった」のが実情だった。

　手痛い教訓はNOKグループに大きな意識変革をもたらした。それまで漠然としていたサイバーリスクが、「自社のクラウドがやられたとしたら」という一人一人の切実な当事者意識に変わった。

　「インシデントは経営層にとってもセキュリティを真剣に考える契機でした。当時、IT本部長から『ただお金をかけるのではなく、本当に効果が出るところに投資してほしい』と言われました。場当たり的な対策ではなく効果的かつ持続可能なセキュリティ体制を構築する上で、この言葉はツール選定における重要な指針となっています」

単なるベンダーとユーザーの関係性ではない信頼関係を構築

　ランサムウェア被害は、NOKグループがオンプレミスからクラウドへの移行を加速させる契機となった。しかし、クラウド化が進む中で新たな懸念も浮上した。他社で、クラウドの設定ミスによる情報漏えい事故が報じられていたことだ。

　自社のクラウド環境で同様の事態が起きれば、再び事業停止に追い込まれかねない――。この危機感から、NOKグループは設定ミスなどのリスクを未然につむ「予防」の観点での対策が急務だと判断。安全なクラウド戦略を推進するために、全社的なクラウドセキュリティのグランドデザインを描き始めた。

　同グループが掲げたグランドデザインのビジョンは、「NOKグループのどの拠点でも同様のセキュリティレベルを実現できること」だ。単に共通の製品を導入するだけでなく、共通のルールやポリシーで運用し、「人的ローテーション」を通じてグローバルで人材を育成することも目指す、包括的な構想だ。このビジョンを実現するためのツール選定に着手し、出会ったのが国産のクラウドセキュリティツール「Cloudbase」（クラウドベース）だった。

　Cloudbaseは「Amazon Web Services」（AWS）をはじめとするクラウド基盤において設定ミスや脆弱（ぜいじゃく）性などのリスクを検出し、その解決方法を提示するCNAPP（クラウドネイティブアプリケーション保護プラットフォーム）／CSPM（クラウドセキュリティポスチャー管理）だ。

Cloudbaseのサービスコンセプト（提供：Cloudbase。以下同）《クリックで拡大》

　NOKグループはCloudbaseを3つのポイントで評価した。1つ目は直感的なUI。「使いやすい、見やすい、直感的に分かる」と山口氏が述べるUIは、セキュリティ専門家でなくても環境のリスク状況を即座に把握して次のアクションへとつなげられる。

Cloudbaseのダッシュボードはクラウドのリスクを直感的に把握できる《クリックで拡大》

　「良い結果も悪い結果も分かり、次のアクションに移行しやすくなります。少ない人員で広範囲の環境を管理しなければならない当グループにとって使いやすさは必要不可欠な要素です」

　2つ目は伴走型のサポート体制だ。特に大きな成果として山口氏が挙げるのは、同氏が主導した社内向けの「クラウド利用ガイドライン」策定支援。社内の知見だけでは判断が難しいセキュリティルールの策定において、Cloudbaseのカスタマーサクセスチームは専門的な知見を提供し、共にガイドラインを作り上げた。その結果、同ガイドラインには「クラウド環境のセキュリティはCloudbaseで運用する」と明記されるに至り、ツールが組織の運用に深く根付くきっかけになったという。

　3つ目はユーザーと共に製品を育てる柔軟な開発体制。導入当初のCloudbaseはNOKグループの運用と合致しない部分もあった。しかしCloudbaseの開発チームは、山口氏らがフィードバックした運用上の課題を「製品全体の成熟度を高めるための知見」として真摯（しんし）に受け止め、議論を重ねながら機能を磨き上げていった。当時のCloudbaseは開発初期段階だったこともあり、NOKグループの現場運用が今日の製品を育ててきたともいえるだろう。

「対処」から「予防」、そして「自律」へ　クラウドセキュリティ運用の進化

　クラウドセキュリティツールの導入はゴールではなくスタートラインに過ぎない。本当の挑戦はツールが可視化した膨大な課題にグループとしてどう向き合い、持続可能な運用プロセスをどう構築するかにある。

　NOKグループは2023年4月にCloudbaseを導入した。その直後、NOKのチームは圧倒される。Cloudbaseには緊急度の高いリスクだけを抽出する「トリアージ機能」が備わっているが、それをもってしてもなお、当時の環境では無視できない数のクリティカルなアラートが検出されたためだ。これは過検出ではなく、確かに問題となるリスクだった。

　それを「どこから」「誰が対応するか」という体制の問題が浮かび上がった。そこで山口氏らはCloudbaseとのディスカッションを通じて、アラートに対応する運用ルールを整備。担当者のオーナーシップの明確化と人材育成を目的に、「週次当番」制度を導入し、日々の運用を回す仕組みを確立した。この運用体制の構築が、Cloudbase導入後の最初のフェーズとなった。

Cloudbaseはリスクの修正作業のドキュメントも提供するため、高い専門性不要で修復が可能だ《クリックで拡大》

　次なるフェーズは“予防医療”への転換だ。アラートへの対応で得た知見をその場限りのものにせず、グループの資産として形式知化する。繰り返し検出される設定ミスなどはNOKの「AWS利用ガイドライン」に組み込み、そもそも問題が発生しない環境設定を標準化した。山口氏は「アラートをきっかけにセキュリティ基盤が一層強化されている」と語る。

　最終段階はセルフケアの促進だ。この仕組みをグループ全体に展開するため、各事業場のITインフラ部門に「AWS管理者」を配置し、権限移譲と人材育成を推進した。本社のチームが全てを管理するのではなく、現場の管理者にCloudbaseのアカウントを付与して自律的な運用を促したわけだ。そのために山口氏やCloudbaseチームが講師となり、勉強会などを通じて知識の底上げも図っている。

ガバナンスと現場の自律を両立　可視化が導いた「攻めのIT」

　NOKグループにおける導入効果は、まず定量的な成果として表れた。クリティカルなアラートを低減できた他、多要素認証が設定されていないIAMユーザーの特権IDや90日以上利用されていない休眠アカウントなどを検出し、迅速に対策できるようになった。これにより、基本的なセキュリティ衛生状態が向上した。

　Cloudbaseによる「可視化」は事業推進のアクセルにもなっている。各拠点のリスク状況が一元的に可視化されているため、山口氏ら本社側は状況を詳細に把握しつつも、安心して現場に運用を任せられるからだ。「私たちもチェックして運用を任せつつ、足りない部分をフォローしながら回せる」と山口氏は語る。

　こうして本社と現場が適切な距離感で連携し、事業部が自律的かつ安全にクラウドを活用できるようになったことこそ、NOKが実現した「攻めのIT」の姿だ。企業としてガバナンスを維持しつつ、現場の俊敏性を損なわない。この体制は、今後のグループ運営における一つの理想形といえるだろう。

　この変革を支えたのはツール機能だけではない。「真心のこもった」と山口氏が表現するCloudbaseの伴走サポートが、多くの価値を生んでいる。CIO向けの報告を想定した「エグゼクティブレポート」の提供など、Cloudbaseは単なるツール提供者を超えてNOKグループの組織変革に深くコミットするパートナーとしての地位を築いた。

　NOKグループは今後、海外拠点でも国内と同様のセキュリティ体制を敷き、共通のガイドラインの整備や人材育成を促進する予定だ。こうした動きは、グループ全体での機能の集中化や管理強化を目指す方向性に沿ったものだという。

　先進的な取り組みとして、生成AIのセキュリティ管理ができる新製品「Cloudbase AI」の導入も進めている。ログの監視などセキュリティを確保した安心して使えるAI基盤を構築することで、「グループ全社が安全に最新技術を活用できる未来を描いている」と山口氏は説く。

　一度の深刻なインシデントを教訓とし、信頼できるパートナーと共に、守りを固めるだけでなくそれを事業成長の基盤へと昇華させたNOKグループ。その力強い歩みは、多くの企業にとって危機を好機に変えるための道しるべとなるに違いない。