日清食品グループの“やりすぎ”なぐらいのセキュリティ対策――キーパーソンが語る10年の歩み:セキュリティ先進企業へのショートカット(2/2 ページ)
セキュリティ対策を前に進めるには先進企業の事例から学ぶのが近道だ。日清食品グループのセキュリティを統括するキーパーソンに、10年間にわたるITやセキュリティ対策の歩みを聞いた。
日清食品グループで行われる“やりすぎ”なセキュリティ訓練とは?
――国内外のグループ会社を守るためにどのようなセキュリティ対策を進めているのか具体的に教えてください。
樋渡氏: 先ほどEDR製品導入の話が出てきましたが、外部侵入検知の仕組みをグループ全体に適用するため、EDRとXDR(Extended Detection and Response)、SOCを組み合わせて24時間365日の監視体制を敷いています。
サイバー攻撃が激化する今、当社グループも多くの攻撃にさらされています。2023年度にはグループ全体で合計114件のアラートを検知し、そのうち48件は実際に攻撃を受けていました。
インシデント被害を低減するには早期検知が非常に重要です。当社グループは脅威を初期段階で検知し、セキュリティ専門ベンダーが60分以内に対応判断して初動対応を開始することで、被害が発生する前に封じ込めています。この部分には大変労力をかけていますね。
樋渡氏: この他、セキュリティ教育や啓発活動にも注力しています。内閣府が主導するキャンペーン活動と連動した年1回のサイバーセキュリティ月間に合わせて各国のグループ会社に注意喚起ポスターを配布したり、標的型攻撃メール訓練を実施したりしています。
――標的型攻撃メール訓練については非常に力を入れているとお聞きしています。
樋渡氏: 標的型攻撃メール訓練は国内では21社の従業員4600人を対象に、年4回実施しています。訓練を都度手配するとコストや工数が掛かるため、SaaS型セキュリティ教育システム「KnowBe4」を利用しています。
――年4回の実施は高頻度ですね。
樋渡氏: 私も多いと思っています(笑)。ただ、頻繁に実施することで従業員の危機意識を着実に醸成できていると感じます。2022年度に実施した当初は約10%の従業員が開封(電子メールに記載されたURLをクリックしたかどうか指す)していました。
しかし、安藤宏基CEO自らが社内朝礼を通じて注意を呼び掛けたことから、CSIRT協議会が定める開封率の目標値5%を下回るようになり、2023年度に実施した2回目の訓練では、0.3%という良い結果を残せています。
樋渡氏: ちなみに、実施メンバーから「訓練メールがスルーされているのではないか」という声もあったため、3回目の訓練では難易度を最も高く設定したところ、開封率は12.2%まで上昇しました。結果だけ見ると大幅に開封率が上昇しているのですが、同時に従業員が訓練をしっかりと受けていることが分かったため、意味はあったと思います。
従業員には、不審な電子メールのリンクを開いてしまった場合は、グループ各社のセキュリティを管理する情報セキュリティ委員会にすぐ連絡するように周知しています。自分でいろいろと調べた結果、怖いから報告しないといった従業員もいます。気軽に相談できる窓口を設けることで、インシデント対応を迅速化していきたいと考えています。
5カ年計画でセキュリティ対策を策定
――セキュリティに関する現状の課題と今後の展望を教えてください。
樋渡氏: いきなり全ての対策を講じるのは難しいので、経済産業省の「サイバーセキュリティ経営ガイドライン」をベースに複数のセキュリティ評価項目を作成し、5カ年単位で策定した中期セキュリティ対応計画に沿って対策を進めています。これによって現状のセキュリティ状況が可視化され、改善すべき部分が経営層などに対しても明確化されています。
前期は、セキュリティ対応体制の強化や情報セキュリティ関連文書の整備が大きく進捗(しんちょく)しました。最近は工場でのデータ活用も進んでおり、工場内の端末がインターネットに接続するケースも増えているため、今期はOTセキュリティにおけるリスク対応を強化したいと考えています。
また、当社グループだけを守るのではなく委託先や関連会社も含めたサプライチェーン全体のセキュリティをどう確保するかも今後の課題です。委託先にセキュリティチェックリストを配って各社でチェックしてもらうという運用にも限界を感じており、いかに委託先のセキュリティ意識を高めるかは悩みどころです。
――なるほど。樋渡さん自身の目指す先はいかがでしょうか。
樋渡氏: 私自身はエンジニアというよりはマネジメント側なので技術的なスキルを高めるというよりは、組織をどう動かしていくかにフォーカスしています。ですから先ほども言ったように、自分たちのグループだけでなく、パートナーや顧客のセキュリティも保護できるような体制の構築が今後の大きな目標です。
幸い当社グループは経営層がITやセキュリティの重要性を認識し、積極的にコミットしてくれているため、スピーディーに対策を進められます。経営層がセキュリティに理解があれば、現場担当者の協力も取り付けやすいです。そういう意味では私は非常に“楽”な環境にいるのかもしれません(笑)。魔法のつえはないので、これからも地道に対策を積み上げていこうと思います。
――本日はありがとうございました。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
日清食品はなぜ「生成AIを20日で導入」できたか? セキュリティ視点で考える
「DIGITIZE YOUR ARMS デジタルを武装せよ」を標語に掲げてデジタルトランスフォーメーションを推進する日清食品グループ。この裏にはIT活用を安全なものとするため、グループ全体で総力を挙げたセキュリティ対策があった。
日清食品HDのCIOが語る、生成AIの全社活用と自社環境構築の舞台裏
日清食品ホールディングスは、自社専用の生成AI環境を構築し、業務効率化に活用している。CIOが自社環境構築の流れと活用戦略を語った。
松永 エリック・匡史氏が指摘する“生成AI活用で生じる新たなリスク”
生成AIが登場して以来、これを「どう活用するか」という議論が盛んになっているが、「あるリスクが置き去りになっている」と松永 エリック・匡史氏は指摘する。生成AI活用が進むことでどのようなリスクが生じる可能性があるのか。
管理職なら年収2000万円超え サイバーセキュリティという困難だが“もうかる仕事”
サイバーセキュリティの仕事は難しく、常に感謝されるわけでもなく、燃え尽き症候群の報告も多いが、給与は悪くないようだ。ISC2の調査からセキュリティ業務に携わる人たちの平均年収が明らかになった。