中堅製造業が挑むデジタル戦略

世界で戦うヨコオが選んだ第3の基幹システム

限られた人的リソースで
いかに脆弱性に対応するか?

ヨコオがITセキュリティ管理の強化に取り組み始めたのは、2010年代の初めである。

管理強化のきっかけは、ある取引先からの監査であった。

「当社は、2008年ごろから社内システムの刷新を行い、オフィスコンピューターからグローバルワンインスタンスのERPへと入れ替えを進めました。それに伴ってITインフラとネットワークの整備も行ったのですが、ITセキュリティに関する処置が後回しになっていたのです。取引先からの監査でその点を指摘されたことが、強化を図る大きなきっかけになりました」と角田氏は振り返る。

これを機に、情報セキュリティマネジメントに関する国際規格であるISO27001認証を取得するためのプロジェクトを始動。2014年までに国内子会社を含む5拠点、2024年までには計11拠点が取得した。

しかし、ISO27001は、あくまでルールに則ったITセキュリティ管理の体制が確立されていることを保証する認証にすぎない。

「実効力のある対策ができるかどうかというのは、また別の話です。とくに当社の場合、拠点がグローバルに広がっているので、それぞれの拠点が、どのようなハードウェアやソフトウェアを導入しているのかを十分把握し切れていないことが大きな課題でした。製造業においてはそれらの情報を完全に把握できていないという状態が、共通の課題として挙げられますが、情報を把握するのと同時に、脆弱性について理解することが重要だと考えました」と角田氏は明かす。

技術的な情報セキュリティ、実効力のある対策という観点では、ヨコオは NIST CSF(サイバーセキュリティリスクに対応するためのフレームワーク)に準じて対策を行っていた。その中で、とくに脆弱性が強いところはどこかと振り返った時に、NIST CSFの「認知」が弱いということが明らかになった。

とくに、脆弱性のために構成情報が取れていないということが、種々ある中でも大きな課題であった。

使用しているハードやソフトの詳細がわからなければ、そこに潜んでいる脆弱性も明らかにしようがない。そこでヨコオは、すでに利用していたSaaS型のITサービスマネジメントツールに構成情報の収集と管理を開始した。

ところが、しばらく使っているうちに、このツールによる管理では情報システム部門の業務負荷が極端に重くなることがわかった。

「構成情報の精度を高めるためには、多大なリソースを投入しても厳しい活動であることはこれまでの経験で理解していました」

そう語るのは、同社 経営企画本部 デジタル戦略推進担当 部長の中山秀人氏だ。

中山氏
株式会社ヨコオ
経営企画本部
デジタル戦略推進担当
部長
中山 秀人
国内SIerにて約20年程度勤務し、主にお客様システム運用保守リーダー及び自社データセンターのマネージャを経験。株式会社ヨコオの本社情報システムにITインフラ責任者として入社し、社内システムのクラウド利用やセキュリティ施策の推進を担当。

一度は見送った
ServiceNowの導入を決めた理由

ヨコオではISO27001認証取得に合わせ、ハードウェアおよびソフトウェアの台帳フォーマットを定義し全社で利用していた。しかしこの台帳は各組織で管理されており、自組織の資産管理の性格が強いものであった。

脆弱性を検知するための情報資産の収集と特定は、既存のSaaS型のITサービスマネジメントツールで実施していた。

このやり方では、各拠点のIT担当者が、拠点ごとのIT資産状況を常に把握し、追加や変更等があれば、速やかに本社の情報システム部門に報告しなければならない。頻繁にスプレッドシートの内容を変更し、メールで本社に送るという作業の繰り返しは、担当者に大きな負荷をかけていた。また、既存のSaaS型ITサービスマネジメントツールでの構成情報管理精度が上がっていなかった。

一方、本社の情報システム部門にとっても、受け取ったスプレッドシートをもとに全体の構成情報を手作業で更新していくというのは、かなりの負担だ。各拠点から様々なフォーマットの報告が送られてくるので、まとめる作業はなおさら面倒であり、間違いも起こりやすい。仮に構成情報と実際の構成が食い違うと、脆弱性を持ったハードウェアやソフトウェアを特定しようとする際に、見逃してしまう恐れもある。そのため、絶対に間違いがないように確認を重ねる作業も、情報システム担当者の神経をすり減らせた。

「つまるところ、人による作業があまりにも多いことが、真に解決しなければならない問題であることに気づいたのです。しかし、それが分かったのは、後述する脆弱性対応高度化プロジェクトでの新たな仕組みの検討の中でした」と中山氏は語る。

中山氏がこの問題に気づいたのは、ServiceNowの勉強会に参加したからだ。

ヨコオは、構成管理とセキュリティの脆弱性対応を高度化するため、新たな仕組みを構築するプロジェクトを2022年下期に始動した。その際、既存システムやServiceNowを含む複数のITサービスマネジメントツールをリストアップし比較検討を行ったが、結局、既存のものを選んだ。

「既存のツールのほうが使い慣れているし、安価なので、そのまま継続しようという結論に至りました。ところが、いったん結論は出たはずなのに、何となくしっくりこない。既存のツールで多大な労力が掛かっていたことが、どうしても気になったのです」と中山氏は語る。

また、構成情報が取れてもビジネスに直接的には貢献しない部分でもあり、そこに貴重なIT人材を割きづらい。その労力と天秤にかけたときに人手がかかる従来のツールを使い続けることは難しいと考えた。加えて、自動化やグローバルでの統一も行いたいと考えた時におのずとServiceNowが選択肢となった。

そこで中山氏は、ServiceNowに依頼し、同社のソリューションの思想や設計に関する勉強会を開いてもらった。その結果、ヨコオは当初の予定を変更し、既存のITサービスマネジメントツールを継続使用するのではなく、ServiceNowのソリューションを導入することを決定したのだ。