ソニーミュージックグループはセキュリティ素人ばかりの組織で、なぜ内製にこだわったか?
ソニーミュージックグループは「人なし」「金なし」「時間なし」の状態からインシデント被害を乗り越えてどのようにセキュリティ組織を構築したのか。本稿はその事例を紹介する。
ガートナージャパンは2024年7月24〜26日、都内で「セキュリティ & リスク・マネジメント サミット」を開催した。
2024年7月26日には、ソニー・ミュージックエンタテインメントの田代雄亮氏(デジタルトラスト本部 セキュリティ戦略課 課長)が登壇。「ソニーミュージックグループのセキュリティイニシアチブ」と題し、ソニーミュージックグループがインシデントを乗り越えて現在のセキュリティ組織をどのように作り上げたかを赤裸々に語った。
インシデント被害からソニーミュージックグループが学んだこと
ソニーグループは「ゲーム&ネットワークサービス」「音楽」「映画」「エンターテインメント・テクノロジー&サービス」「イメージング&センシング・ソリューション」「金融」といった複数の事業を運営している。その中でもソニーミュージックグループは約20社のグループ企業で構成され、エンターテインメント分野で多角的な事業を展開している。
田代氏は「ソニーミュージックグループは2024年7月時点で、約20のグループ企業と1700以上の管理ドメイン、1400以上のWebサイト、300以上の『Amazon Web Services』(以下、AWS)アカウントを所有している。例えば3日間のイベント用にWebサイトを作成し、終わったらそれを閉鎖するということがよくあるため、スピーディーにサービスを展開できるクラウドとエンターテインメント業界は非常に相性が良い」と話す。
ソニーグループはもともと製造業から始まった会社であり、セキュリティについても製造業の基準で進めてきた。しかしソニーミュージックグループが展開する音楽やエンターテインメント事業は製造業とはビジネスアプローチが全く異なるため、独自のセキュリティガバナンスが必要となる。
そこで田代氏はソニーミュージックグループのセキュリティ3本柱として以下を構築したという。
1本目の柱は「SMEJ Guardrail」(以下、Guardrail)だ。Guardrailはセキュリティ対策を施したクラウドサービスアカウントを事業部に渡して使ってもらうことで安全にサービスを利用する仕組みだ。
ソニーミュージックグループの各社でセキュリティ対策に当たる人材は、全くITに詳しくない宣伝部やディレクターだったり、システムエンジニアだったりと知識・スキルの面でばらつきがあった。Guardrailはグループ全体で統一的なセキュリティ基準を設け、各社のセキュリティ対策のレベルをそろえてスピーディーなビジネス展開を支援することを目的としている。
ただこの取り組みもはじめからうまくいったわけではない。Guardrail適用当初の約5年前、「AWS Security Hub」を活用してセキュリティレベルをスコアリングしたところ、「AWS 基礎セキュリティのベストプラクティス v1.0.0」のスコアの達成率は3%、「CIS AWS Foundations Benchmark v1.2.0」のスコアは2%という結果が出た。
「この結果には大きなショックを受けた。あまりにも低かったので担当役員が低い方がいいスコアだと勘違いしたくらいだった」(田代氏)
この結果を改善するために2本目の柱として導入したのが、SIEM(Security Information and Event Management)だ。GuardrailにSIEM機能を組み込み、セキュリティ設定検知やログ収集、違反設定の自動修復機能を搭載した。
田代氏は「SIEMで実装した独自の計算方式による準拠率ではありますが、この5年間で『CISベンチマーク準拠率』は81.0%、『AWSベストプラクティス準拠率』は75.2%まで上昇しました」と語る。
SIEMでは基本的なセキュリティ設定や異常検知に加えて一度起きたインシデントを再発させない仕組みも整えている。例えばソニーミュージックグループでは数年前、クラウド環境のアクセスキーが漏えいし、海外リージョンで4〜500万円に相当する仮想通貨のマイニング被害が起きた。これを踏まえてSIEMには海外リージョンでのインスタンス起動検知など独自の検知ロジックを実装しているという。
3本目の柱は「SMEJ Security Guideline for AWS」(以下、Security Guideline)だ。Security Guidelineは、国立標準技術研究所(NIST)のドキュメントや各種ガイドラインを参考にしたソニーミュージックグループ独自のセキュリティガイドラインだ。
Security Guidelineの一例は以下の通りだ。ガイドラインの項目のうち優先度が高いものや必ず守るべきものには「初心者マーク」や「必須マーク」を付けて順守を促す。
セキュリティ素人から始まった組織構築 なぜ内製にこだわるのか?
次にソニーミュージックグループのセキュリティ組織構築の変遷を紹介しよう。同グループは2019年、5人のメンバーから出発した。メンバーはセキュリティ知識をほぼ持っていなかったが、代わりに事業部経験者を配置した。
2年後にはメンバーは11人にまで増え、一部のメンバーがセキュリティに関する資格や認定を所持した。さらにその3年後にはメンバーは31人まで増え、ほぼ全員がセキュリティ資格や認定を所持するまでに成長した。組織構築がうまくいった理由として田代氏は以下のようにポイントを挙げた。
「『人なし』『金なし』『時間なし』の状態からここまで来るのに5年かかったが、時間をかけてでも中長期的な視点で人材育成・組織改革をする必要があると思った。外部のベンダーに丸投げするのは簡単だが、そこからは自社が求めるものは生まれず、コストも高くつき不満足な結果になる」(田代氏)
この他、グローバルのセキュリティイベントへの参加も重要だ。イベントに参加して現地のセキュリティ担当者たちと交流することで、海外のセキュリティレベルを把握でき、自社の足りない部分も見えてくる。
田代氏によると、こうした取り組みもあり今では組織のメンバーが積極的に資格や認定を取得しており、AWSやMicrosoftが実施する認定試験の合格者は25人、日本セキュリティ監査協会への登録者数は19人と着実にスキルアップを実現しているという。
「資格取得するのに加え、チームで開発や運用を内製化するのにもこだわった。セキュリティ部門は事業部に対してあれこれ要求するため『押しつけがましい』と思われがちだ。そこで開発を内製して『一緒に汗をかいている』という雰囲気を出すことで仲間だと認めてもらえた」(田代氏)
まずは自社の“駄目さ加減”にショックを受けよう
ソニーミュージックグループのデジタルトラスト本部は以下のような組織体制になっている。
田代氏は「ここで注目してほしいのは『ウェブガバナンス』の部署だ。これは自社にとっての重要資産を特定し、これを保護・管理するチームを作った方がいいということだ。当社はWebサイトをB2Cビジネスの入り口の役割を果たしており非常に重要視している。業界によって重要なアセットは異なるはずなので自社が重要だと思う資産の管理を徹底してほしい」と語る。
同グループは今後、AI活用による業務効率化の実現や内製強化、マルチクラウド活用、人に起因する脆弱性への対策などにも取り組む構えだ。
田代氏は最後に「まずは自社のセキュリティ状態を可視化してショックを受けることが大事だ。そして業態に合ったセキュリティ施策を策定して失敗しながら内製化の取り組みを進めてほしい。ビジネスの足を引っ張らないようにバランスを意識することも忘れてはいけない」と締めくくった。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- ランサムウェア身代金支払いは事態を悪化させる? 最善の意思決定をするには
ランサムウェアは金銭的な被害だけでなく、企業の評判や信頼を失墜させる深刻な経営リスクだ。では具体的にランサムウェアに対してどう備えればいいのか。Gartnerのアナリストが道筋を示した。 - 「生成AIは今すぐ使えるかは疑問」 Gartnerが選ぶセキュリティトレンド6選
Gartnerは2024年のサイバーセキュリティのトップトレンド6選を解説した。生成AIはセキュリティ担当者の役に立つのか。 - 「失敗は許されない」は時代遅れ ガートナーが示す新しいセキュリティの考え方
ガートナーはCISOがサイバーセキュリティの「対応・復旧」の優先度を「防御」と同じレベルまで引き上げるべきだと発表した。失敗を許容する組織が対応・復旧の強化および持続可能な戦略的レジリエンスの実践に不可欠としている。 - 「USBメモリの全面禁止」って有効な対策なの? あどみんが指摘する問題の本質
最近よく聞くUSBメモリの持ち出しや紛失に伴う情報漏えいインシデント。再発防止策として「USBメモリの利用を全面禁止」が挙がりがちだがこの対策は正しいのか。クラウドネイティブのバーチャル情シスである須藤 あどみん氏が問題に切り込んだ。