日清食品グループ様において、国内・海外のグループ各社のセキュリティ対策を個社ごとに定量的に評価し、”弱み”の是正に向けて効果的にアプローチした取組みについて、サイバーセキュリティ戦略室の吉田氏よりご説明いただきました。
|
日清食品ホールディングス株式会社 |
最初に日清食品グループについて簡単に紹介いたします。
当社の設立は1948年です。1958年に世界初の即席麺「チキンラーメン」を創業者の安藤百福が発明し、同年に商号を「日清食品」に変更しました。主事業は「カップヌードル」など即席麺の製造・販売です。
昨年度は、売上収益が7,329億円、営業利益が733億6,100万円でした。米国を中心に海外事業が好調を維持し、昨年度は通期で過去最高を達成できています。従業員数はグループ全体で約16,000名。グループ子会社は国内外合わせて約70社弱です。
当社グループのサイバーセキュリティ対策の取り組みについて説明いたします。
当社のIT部門では、現在5つの重点取組施策を掲げております。
この5つの中でも特に緊急性・重要度が高いと意識しているのがサイバーセキュリティです。サイバー攻撃の脅威から当社グループ全体をどう守っていくか。この観点からサイバーセキュリティを最優先事項として、その対策を推進しています。
食品製造業はこれまでサイバー攻撃の標的にはあまりなっていませんでした。しかし、昨今は状況が変わりつつあります。製造ラインや入出庫システム、物流システムの破壊など、多種多様なサイバー攻撃が増え、食品製造業でも悪影響が広く及ぶようになっています。企業名は伏せますが、ここ数年で国内の食品製造業へのサイバー攻撃による被害が頻発し、被害も深刻化しています。
もっとも避けなければならないのは生産機能の停止です。当社グループでは、これまで全社的な各種セキュリティ施策の推進やソリューションなどの導入を図り、セキュリティレベルの向上に取り組んで来ました。
ただ、グループ内の各個社におけるセキュリティへの対応では、事業規模が異なることもあって、個別にソリューションを選定・導入しているケースもあります。そのため、グループ全体として定量的な評価ができていないという課題を抱えていました。
そこで、我々はまずセキュリティ対策の状況について定量評価を各個社に対して実施することにしました。
定量評価の実施には大きく二つの課題がありました。
1点目は、実態の把握が十分でなかったという点です。各個社の対応が異なる場合があるので、グループ全社を対象にセキュリティ推進を担うホールディングス側が十分に状況を把握できていなかったのです。例えば、次の点があまり把握できていませんでした。
【把握が十分でなかった点】
こういった基本的な部分の掌握ができておらず、グループ横並びで各社の実態を把握する必要があると判断しました。対策ができていないところがあれば、手当をしなくてはなりません。
2点目の課題は、どの観点でアセスメント(客観的な評価)を実施するかという点です。
各個社の実態を把握するには、まずアセスメントを実施する必要があります。しかし、この世にはとても多くのセキュリティガイドラインが存在します。例えば、「NIST CSF」や「ISO27001」、「サイバーセキュリティ経営ガイドライン」などです。アセスメントの軸となるヒアリングシートを作成しようと思っても、「どの規格に準拠すべきなのか?」と悩むことになりました。
また、ガイドラインには定期的なアップデートがあり、キャッチアップも大変という難点がありました。せっかくチェックシートを作り上げても、ガイドラインが大きく改定されると、一から作り直すという事態になりかねません。
これら2つの課題に対するアプローチとして、当社は「Secure SketCH」というアセスメントサービスを導入することにしました。これを利用すると、各種国際ガイドラインに即した「戦略」「組織」「技術」「有事対応」のカテゴリごとに評価が可能です。このサービスで各個社における現状のセキュリティ水準をスコア評価して可視化しようと考えました。
「Secure SketCH」は75問の設問で構成されています。それぞれの設問が各種セキュリティガイドラインに準じています。各社のIT担当がWebベースのコンソール上でチェックシートの質問に回答するだけで、自動的にガイドラインにマッピングされる仕組みです。
結果のスコアは1,000点満点で示されます。また、緊急性が高いと定義された施策の対応状況については、自動でS〜Dランクに分類されます。
さらに、設問ごとのベストプラクティスについても記載されます。これがとてもわかりやすく、役に立ちます。よく、ガイドラインに沿って対策をしたくても、第三者が発行している解説書を読み込まないと具体的にわからないということがあります。しかし、このサービスでは、IT初心者にもわかりやすい平易な言葉で解説してくれます。担当者が自社の弱点をおのずと認識できるのではないかと考えています。
多少の紆余曲折はありましたが、当社はセキュリティ対策の状況についての定量評価をすべく、アセスメントサービス「Secure SketCH」を導入しました。そして、グループ各社全体(国内20社・海外13拠点)にアセスメントを実施。期待通り、実態の可視化に成功しました。
しかし、ここで厳しい現実を目の当たりにすることになったのです。
「Secure SketCH」で定義されている食品業界の平均は490点です。しかし、当社グループの平均値は420点と、大きく下回る結果となってしまいました。
早急にITガバナンスを強化して、ボトムアップを図る必要がありました。まずは、この業界平均スコア490点を上回ることを目標に、次の2つの観点から5つの重点施策を掲げて推進をしていくことにしました。
【施策を策定したときの観点】
この2つの観点をベースにして複数の施策を立案しました。今回は、そのうち「セキュリティポリシーの整備」「インシデント対応訓練」「セキュリティ教育」について一つずつ紹介します。
もともと日清食品グループにはセキュリティで遵守すべき事項を記載した「グループセキュリティポリシー」が存在しました。しかし、内容が十分ではなかったことから、主にISO27001の要求事項を参考に不足している項目を加筆。グループセキュリティポリシーを肉厚なものに改訂しました。
そして、このグループセキュリティポリシーに基づいて、各個社が対応すべき事項を踏まえ、それぞれの個社ポリシーを制定するようにしました。さらに、その下位文書として、より細かな内容を記載したマニュアルなども整備しました。
一方で、ルールを制定したものの、実態として沿っていないといったギャップが生じるケースもありました。これに対しては、すぐに取り組めるものは速やかにルールに沿うように是正を図りました。また、予算取りが必要なケースもありました。これに対しては、各社の担当者と会話をしながら一緒に対応計画を立て、その推進をサポートしました。
現在のセキュリティポリシーの整備状況は次のようになっています。
規定(ポリシー)については、上位ポリシーとなるグループポリシーがあり、そして個社ポリシーがあります。そして、その規定に基づいた六つの基準(ルール)が制定されました。すぐにISO27001の要求事項を網羅的にカバーするのは非常に難しいので、まずは最低限の取り組みが必要な事項を優先的に取り組んでいます。
今、これらの基準に準拠することがグループを横断したセキュリティのベースラインとなっています。この形を整えたことで、結果的にスコアのボトムアップにつながりました。
2点目の重点施策は、先に示した6基準の一つである「セキュリティインシデント対応基準」の取り組みです。
当社では、「セキュリティインシデント対応基準」を制定すると同時に、「ニッシンシーサート」というインシデント専門対応組織を構築しました。しかし、従業員への浸透がなかなか難しいといった意見をよく耳にすることになりました。そこで、社内のデザインルームとともに作った「ニッシンシーサート」のロゴを社内で掲示したり、イントラネットなどにも掲載したりして、「何かあったらシーサートに連絡する」といった意識の醸成を図りました。
セキュリティインシデント対応基準においても、その発生や予兆に対して速やかに適切な対応や解決策を求めることができるようにエスカレーションの経路を整理しています。そして、国内外の各グループ会社と合同でインシデント対応の机上訓練を実施しました。
現状では机上での訓練までとなっていますが、この訓練がIT担当者と顔を合わせてコミュニケーションをとる貴重な機会にもなっています。ポリシーの有効性を確認できるだけでなく、グループシナジーを高める効果も出ていると感じています。
当社は、「KnowBe4」という情報セキュリティ教育システムを活用することで、国内グループへの網羅的な展開と海外グループへの広域な展開を図っています。教育の内容は、年6回のeラーニングと年4回の標的型攻撃メール訓練です。加えて、注目すべきホットトピックが発生したら、そのタイミングでも啓発をするようにしています。
当社は、他社に比べて高い頻度でこの教育を実施しています。
従前は、自社で教育コンテンツを作成して実施したり、外部に委託してメール訓練を実施したりなど、負荷が高い業務になっていました。しかし、外部の教育システムを利用すると、システム側が備えたコンテンツを利用できるので、無理なく計画的に推進できるようになりました。
当社が、セキュリティ対策で各施策に取り組んだ結果、2023年度に比べてスコアが139%上昇し、587点(国内平均)にまで伸ばすことができました。
やはり、数字で明確に得点アップしたということがわかると、「努力は裏切らない」ということがわかります。スコアが低くても、「もっと力を入れていかなければならない」とモチベーションのアップにつながると認識しています。
来年度(2025年度)に予定している重点施策は次の通りです。
次は4つの重点施策を立案し推進しようと考えています。主に技術的対策にアプローチして、統制・技術両面での底上げを目指していく方針です。
今回、各社に対して個別の取り組みを一つ一つサポートしていくのではなく、重点施策を設定したのが良かったと思っています。また、ホールディングスで主導できるものや、グループ全体で推進可能な施策に取り組むことに重きを置いたことが、結果的に大きく事態を前進させることができたと考えています。
食品業の経営者・マネージャーの皆さまへ
