日本を代表する総合印刷会社の大日本印刷（以下、DNP）。グループ全体で国内および18の国と地域で事業を展開するグローバル企業である。創業以来の印刷技術と情報加工技術を生かし、1950年代から、その技術を応用・発展させて事業領域を拡大する「拡印刷」を推進。ICカードや建築材のほか、スマートフォンやモビリティー向けの製品や部材などを開発・提供している。

　「現在は第三の創業と捉え、デジタルトランスフォーメーション（DX）による新規事業創出、成長分野の事業拡大に取り組んでいます」とDNPの谷 建志氏は話す。ビジネス・業務の変化に迅速かつ柔軟に対応していくために、業務システムのクラウドリフトなど、社内システム基盤の変革に取り組んでいる。

　そうした事業成長を下支えする上で不可欠なのがサイバーセキュリティーだ。同社の事業は顧客の情報を預かり、加工・処理する。その中には発売前の新製品情報や技術情報、顧客企業のユーザー情報などが含まれている。「これら重要情報は、絶対に外部に漏らすわけにはいきません。当社の技術情報についても同じです。セキュリティー対策は、事業継続のための必須条件なのです」と谷氏は言い切る。

　以前から物理的・技術的・組織的・人的対策を進めてきたが、昨今はサイバー攻撃の手法がますます高度化しており、従来の対策だけでリスクに対応することは難しい。そこで柔軟で拡張性の高い基盤で攻めのDXを推進する一方、セキュリティーもクラウドを軸に考え、守りのDXも実現するという考えだ。

　「従来の境界型防御をゼロトラストネットワークへ変え、EDR（Endpoint Detection and Response）も導入し、守りのDXを強化しました」と谷氏は語る。EDRの対象台数はグループ全体で4万5000台超。この取り組みをわずか1年で実現した。

　基盤革新に加え、人のマインドと組織の変革にも取り組んでいる。DNPは、2016年3月に新規事業「サイバーナレッジアカデミー」（以下、CKA）を立ち上げた。この事業では企業のIT環境を模したシステムに実際のサイバー攻撃を再現できるシステムを用いたインシデント対応の体験を通じて、サイバーセキュリティー人材を養成・訓練するサービスを提供している。専門家のもとでトレーニングを積んだDNPの専門人材がトレーナーを務める。CKAのカリキュラムを社内でも活用し、グループ内のセキュリティー担当者や経営層・一般従業員向け教育を展開しているという。

　サイバーセキュリティーを事業推進に欠かせない取り組みと位置付け、組織体制も構築した。「サイバーフュージョンセンター」は様々な対策の導入・展開、監視・検知などの運用部隊として活動し、有事の際は対処を担当するCSIRTと連携する。

　事業を止めないためには、脅威の早期検知・復旧が欠かせない。そのためにリスクを可視化・制御する「サイバーハイジーン対策」、迅速なインシデントレスポンス対応を実現する「サイバーレジリエンス対策」を並列して進めている。課題となっていた海外拠点のセキュリティーガバナンスでは、国内と同じEDR製品と運用ポリシーを海外拠点に拡大。「グローバルセキュリティーガバナンスを実現すべく、24時間365日の監視運用体制を構築し、運用を開始しました」と谷氏は説明する。前述したCKAでの人材育成サービスに加え、今後、一連の取り組みで培った経験や知見を「セキュリティー運用のアウトソーシングサービス」としてリリースする予定だ。

　こうした数々の施策を行う上で重要なのは、「会社全体で管理体制や人材育成の仕組みをつくること」だという。「すべてを禁止するのは簡単なこと。どうすればセキュリティーを担保しつつ円滑に業務を進められるかを全社レベルで考えていくことが大切です。CISOが取り組みをけん引し、事業部門の意識とリテラシー向上を図ることが欠かせません」と谷氏は訴える。加えて、IT技術者がセキュリティーの専門人材としてモチベーション高く活躍するために、キャリアパス制度を整備することの重要性にも言及した。

　今後もDNPでは、事業推進とサイバーセキュリティー対策を表裏一体の取り組みと捉え、攻めと守りのDXで成長戦略を歩んでいく考えだ。

　ＪＦＥスチール・JFEエンジニアリング・JFE商事をはじめとする約250社のグループ企業によって構成されるJFEグループ。その活動基盤として重要な役割を担っているのが、長年にわたって取り組まれてきたサイバーセキュリティー対策だ。ＪＦＥホールディングスは合計9回「DX銘柄」に選定されているが^※、それはデジタル化に加え、セキュリティーガバナンスの取り組みを積極的に行ってきたからだ。

　「セキュリティー対策は長らくIT部門の仕事でしたが、今はサプライチェーン全体を守る必要があり、重要な経営課題の1つになっています」とＪＦＥホールディングスの酒田 健氏は語る。JFEグループでも経営層の理解とリーダーシップのもと、その取り組みを推進してきたという。

　「2003年には情報セキュリティ規定を制定していましたが、2012年に標的型攻撃メールの飛来を確認したのを受け、2015年にJFE-SIRT準備室を、その翌年には情報セキュリティ委員会を設置しました。2016年にはCSIRT組織JFE-SIRTを正式に発足しています」（酒田氏）

　このJFE-SIRTの管理対象はグループ企業すべての約300社。ルール制定・適用、基盤共通化、インシデント対応が、活動の3本柱だ。また、インシデント対応に必要な監視体制のため、EDR（Endpoint Detection and Response）を導入するとともにSOCも設置。いち早くインシデントの兆候をつかめるよう体制を整備しているという。

　その後も、ガバナンスに関しては規定の継続的な改定やその順守の監査、中核人材の育成などを推進。現在までにグループ累計17人が産業サイバーセキュリティセンター（IPA ICSCoE）の中核人材育成プログラムを修了しており、その数はもうすぐ25人になる見込みだ。また、技術対策では端末調達・キッティングの一元化やインターネット接続対策の共通化を実現。事故対応力強化では、国内外グループ共通のEDR-SOC監視や、国内外グループ会社連携による初動-回復-対策の横展開、外部機関との連携などに取り組んできた。

※

2023年は「DX注目企業」として選定

　2021年には「7次中期経営計画」の一環として「DX戦略」を公表。この中には主要事業会社のDX戦略とともに、グループ横断的な取り組みとして「グループ全体のサイバーセキュリティ対策」が盛り込まれている。その内容は、大きく4つの柱で構成されている。

　1つ目は「OT領域でのセキュリティー強化」だ。JFEには数百に上る制御システムが存在するが、その通信監視や端末防御、侵入検知などが強化されている。

　2つ目は「セキュリティー組織の新設」である。以前はOT部門とIT部門が分かれており、セキュリティ対策も各部門で行ってきたが、2021年11月にIT部門のセキュリティー部門を分離し、ITとOTの両方をカバーする「サイバーセキュリティ統括部」を立ち上げている。さらに2024年4月には、より「高度な専門技術を持つエンジニア」を集めて踏み込んだ対策を行うため、酒田氏が代表取締役を務めるＪＦＥ サイバーセキュリティ＆ソリューションズという専門会社も設立している。

　3つ目は、自社の製品・サービスにセキュリティーを組み込んでいく「PSIRTへの取り組み」だ。既にソリューション外販サービスやプラント遠隔操業・保守サービスでセキュリティマネジメント認証を取得し、顧客や社会の安心安全を担保している。

　そして最後に4つ目が「ゼロトラストへのシフト」だ。これはシステムのライフサイクルに合わせて段階的に進められている一方で、既存のOTに関しては境界防御を継続する方針だという。

　「サイバーセキュリティーは経営レベルでリスクを認識して議論することが必須ですが、現場も危機感を適切に経営層に伝えた上で、理解してもらう必要があります。また、セキュリティーガバナンスは厳格さが求められる一方で、過度な硬直性は逆効果になることもあります。そこは事業規模、目的に見合った対策を実施すべきでしょう。そして最後になりますが、セキュリティーは最後に『競争ではなく協調して取り組む』ことも重要です。私たちの共通の敵であるサイバー攻撃に対抗するため、志のある人が働きやすい環境を、産業界全体でつくっていきましょう」と酒田氏は呼びかけた。

　百貨店事業を中心に、多様な事業を展開する三越伊勢丹グループ。その中でグループ各社の情報戦略を担うのが三越伊勢丹システム・ソリューションズ（IMS）だ。同社でＳＯＣ担当チーフリーダーを務める寺西 照一氏は、グループ全体のセキュリティーガバナンス強化に向けた取り組みの経緯を次のように語った。

　「過去にはオンラインショッピングサイトに不正アクセス攻撃を受け、身をもってセキュリティーの脅威を体験してきました。この経験を踏まえ、高度化していく脅威に対応した対策を継続的に進めています」

　2024年2月にはNISTのサイバーセキュリティフレームワークが大幅改訂され、「統治」という機能が新たに追加された。経営層・従業員に対するセキュリティー対策意識の底上げが求められている中、三越伊勢丹グループは2024年度からセキュリティーガバナンス体制を刷新し、グループ一丸で改革を進めている。

　従来は、グループ内の中核企業とIMSが「サイバーリスク対策プロジェクト」に参加し、全社のセキュリティー対策を進めてきた。しかし、このプロジェクトには地域百貨店や一部のグループ企業が含まれていなかったため、対策の網羅性という点では不十分だったという。そこで新体制では、先のプロジェクトを「サイバーセキュリティ推進会議」へ格上げするとともに、すべてのグループ企業の参加を前提とした。「同時に、各事業部門・グループ会社にITガバナンス責任者、ITガバナンス担当者を設置し、セキュリティーガバナンスをグループ全体に行き渡らせる環境を整備しています」と寺西氏は紹介する。

　IMSは、このような全社的なセキュリティーガバナンス体制のもと、技術的な対策を各社に提供している。具体的には、顧客情報などのグループ情報資産への脅威に対し、抑止・予防・検出・回復の観点から多面的なセキュリティー対策を実施しているという。

　「すべての端末にEDRエージェントを入れ、不審な振る舞いがないかどうかを常に監視しています。Webサイト閲覧やインターネット接続サービスを利用する場合はセキュアWebゲートウェイを経由する。クラウド上に構築された業務システムや外部公開サイトにもEDRや改ざん検知およびポスチャマネジメントのツールを導入しているほか、クラウドWAF・Bot対策を実装し、SIEMやフィッシングサイト検知、脆弱性検査、脆弱性管理なども活用しています」と同社の小林 佑行氏は言う。

　またIMSは、そこで得たノウハウをデジタルサービスの外販にも生かしている。一例が「百貨店共通プラットフォーム」だ。これまでシステムを独自開発し、維持・運用に多大なコストをかけてきた日本の百貨店各社に対し、共通利用できるプラットフォームをクラウド型で提供。EDIサービスである「ビジネス連携ソリューション」、受発注の標準化やペーパーレスをサポートする「基幹業務ソリューション」、POSシステムを提供する「フロントソリューション^※」の3つで構成されたサービスだ。

　「例えば『MDX』は、百貨店店舗のマーチャンダイジング業務や検品所での検品業務のデジタル化、ペーパーレス化を支援する基幹業務ソリューションです。受発注に関する重要情報をお預かりするシステムのため、以前から導入しているクラウドWAF・Bot対策などの技術的対策や脆弱性管理運用を、さらに一段厳しい基準でポリシーを定めて運用しています。今後はさらに強固なセキュリティー対策を実装してまいります」と小林氏は語る。

　外販事業の成長に合わせて、セキュリティー対策は今後も継続的に強化していくという。三越伊勢丹グループで培った経験・ノウハウを百貨店業界全体に役立てる。IMSは、業界各社にとっても頼もしい存在といえるだろう。

※

開発中

　石油精製・石油化学プラント建設などの総合エンジニアリング事業、各種触媒やファインケミカル製品、ファインセラミックス製品などの機能材製造事業をグローバルに展開する日揮ホールディングス。現在は長期経営ビジョン「2040年ビジョン」のもと、グループ全体でエネルギートランジション、資源循環、ヘルスケア・ライフサイエンスなど新たな成長分野の事業拡大を推進している。

　同社にとってサイバーリスクはビジネスリスクそのものだ。海外ではプラント設備がサイバー攻撃を受け、社会に大きな影響を及ぼす事案なども発生しているからだ。サイバー攻撃の件数も年々増加し続けている。

　「もはやインターネット通信網に安全な場所はありません。セキュリティーはゼロトラストを基本することが鉄則です」と日揮ホールディングスの井上 胤康氏は言う。

　しかし、“正面玄関”の鍵をいくら頑丈にしても、“裏口”の戸締りを忘れてしまえば意味はない。どこに、どのようなリスクがあるのか。その中で死守すべきものは何か。「つまり己を知ることがゼロトラストの立脚点だと私たちは考えています」（井上氏）。

　この方向性のもと、同社は社内ネットワークへのアクセスに多要素認証を導入。インターネットアクセスはクラウドプロキシ経由に変更した。侵入検知の即応性を高めるためにEDRも導入した。いずれの対策も導入して終わりではなく、導入後の運用までを見据えて対策を考え、随時改善を図っているという。

　もう1つ同社が重要視しているのが、社員の意識と社内文化の変革である。それに向けては全役員・全社員向けの「情報セキュリティー e-ラーニング」を毎年実施。一般的な情報セキュリティー教育と、社内ガイドライン教育の2種類で意識改革をうながしている。「リテラシー向上はもちろん、社員に『知らない』とは言わせない社内環境をつくることも狙いです」と井上氏は語る。

　フィッシングメールやビジネスメール詐欺の訓練も、役員を含む全社員に年3回実施している。訓練を繰り返すことで社員の意識が高まり、詐欺に引っかかる割合が約10％から5%ほどに低下したという。

　さらに、セキュリティーガバナンスを利かせるために組織体制も見直した。CDO（最高デジタル責任者）が管轄する部門とは独立した組織として、COO（最高執行責任者）を長とする「グループ情報セキュリティー委員会」を設置。「実行性・有効性のある活動を推進し、グループ事業会社・子会社・事業所のマネジメント層の意識向上を図ります」と井上氏は説明する。

　守りを強固にするためには、社員同士が助け合い、同じ方向を向くことも重要になる。そのための活動として、全社の安全大会で情報セキュリティーに関わる講演を行うなど、セキュリティー対策を「自分ごと化」してもらうための訴求も行っている。

　「1人の社員をきっかけにして起こったセキュリティー事故でも、最終的には全社に影響を及ぼすリスクがあります。セキュリティーは全社員で守るという意識が不可欠です。ただ、社内文化は一朝一夕には変わらないので、環境変化に応じて適宜アップデートしながら、継続的に活動を行うことが重要だと考えています」と井上氏は述べる。

　ゼロトラストにおけるシステムの対策は「本質安全」を目指すことが重要だ。この本質安全とは、仮に機械類が故障したり人が間違ったりしても、被害が発生しないようにする仕組みのこと。「例えば、『公開不要なサーバーはそもそも公開しない』『社外からアクセスする必要のないアプリは外からつながらないようにする』といった取り組みを進めていきたい。これが、ゼロトラストのさらなる推進につながると考えています」（井上氏）。

　システム面の対策と意識・文化の改革の2軸で取り組みを進める日揮ホールディングス。同社の話からは、実効性のある取り組みのヒントがいくつも見えてくる。