サイバーセキュリティーは
DX戦略の一環
総合商社大手の三井物産は2020年5月、東京・大手町へ本社を移転した。これを機に「Work-X」プロジェクトを立ち上げ、新しい働き方を実現するための制度やオフィス環境整備を全社レベルで進めている。
移転に先立つ2018年には“Anywhere Any Device”のコンセプトを提唱。クラウドとインターネットの活用を軸に、いつでも・どこからでも・どんなデバイスでも仕事ができる環境を整えてきた。また、この取り組みは同社のDX戦略の一環でもある。リアルビジネスとデジタルを掛け合わせて事業を強化し、データを迅速かつ正確な意思決定に活用する。全社員がデジタルを標準装備する企業文化も醸成していく。
これらの活動を支える上で、欠かせないのがサイバーセキュリティーだ。取り組みは同社デジタル総合戦略部が、グループ会社の三井物産セキュアディレクション(MBSD)と連携して進める。「世界63の国や地域に展開する拠点において、24時間365日のセキュリティー監視・運用体制を確立。ゼロトラストセキュリティーとサイバーレジリエンスの強化に力を入れています」と同社 デジタル総合戦略部の荒木 伸介氏は話す。
様々な取り組みで
「病気」に負けない組織をつくる
基本方針は、NIST(米国国立標準技術研究所)が提示する「特定」「防御」「検知」「対応」「復旧」のセキュリティーフレームワークをベースに策定。「セキュリティー上の脅威を病気になぞらえて、『予防』『鍛錬』『処置』という3ステップの対策を実施しています」と荒木氏は説明する。
「予防」は手洗いやうがいに当たる。自社のシステム環境を常にきれいに、健全な状態にしておく「サイバーハイジーン」の活動だ。適切な予防が行われていれば、サイバー攻撃の約85%を防ぐことができるという。「ハード/ソフトウエアのインベントリ管理、脆弱性管理、IDや権限の管理などを徹底するほか、ログの保全と監視・分析も行います。加えて、セキュリティー意識の向上を図る啓発活動にも注力しています」と荒木氏は言う。
「鍛錬」は、病気にかかりにくい体をつくる活動である。EDRをはじめとするエンドポイントセキュリティー、ファイアウオールやクラウドプロキシ、CASB(Cloud Access Security Broker)などによるネットワークセキュリティー、IAM(Identity and Access Management)によるアイデンティティセキュリティーを実践。さらにログの集約と分析、問い合わせやインデントへの対応をグローバルな体制のもとで運用している。「テレワーク環境でもオフィスと同等のセキュリティーレベルを実現し、安全・快適に仕事できるようにしています」(荒木氏)。
そして「処置」は病気の治療に相当する取り組みだ。有事の際に迅速に対処できるかどうかは、適切な準備と危機対応体制にかかっている。そこで同社は、ランサムウエア攻撃を想定した実践的な訓練に力を入れているという。関係部署が集まり、身代金支払判断のシミュレーションや、必要な社内外へのアクションを確認・討議する。訓練で課題を洗い出し、万が一の“備え”に磨きをかける狙いだ。「社内規程にサイバーBCPを明記し、セキュリティー担当との情報連携強化、サイバーレジリエンス向上を図っています」と荒木氏は話す。
また昨今は、サプライチェーンの脆弱性を狙う攻撃が増えている。そのため今後は、「予防」「鍛錬」「処置」の各種対策のさらなる高度化とグループ全体のセキュリティーレベルの底上げを図る予定だ。「サイバーセキュリティーは、いわば『終わりなき戦い』のようなものです」と荒木氏。三井物産はサイバーセキュリティーをDXに不可欠な取り組みと位置付け、グループ全体で、一層の対策強化を目指していく。
