住友商事グループの総合物流企業として高品質な物流サービスを提供する住商グローバル・ロジスティクス（以下、SGL）。総合商社のロジスティクス部門で培った各産業の幅広い知見は大きな強みだ。その事業領域は大きく4つある。高付加価値な物流倉庫を設計・提案・運営する「ロジスティクス・センター事業」、国際複合一貫輸送を提供する「国際物流事業」、荷主目線で物流をアレンジする「物流アウトソーシング事業」、輸送・保管に適した物流容器をレンタルする「物流機器レンタル事業」だ。

日本全国の物流拠点において　IoTやRPAを活用した効率的かつ高度な物流体制も構築している。アメリカ、ヨーロッパ、アジアに現地法人を置き、国際物流事業の拡大にも力を入れている。

SGLが重要な経営課題の1つと位置付けるのが、サイバーセキュリティである。「近年はサプライチェーン攻撃のリスクが高まっています。物流企業は多くのお客様と取引があり、サプライチェーンの一翼を担うため、警戒感を強めています。BtoCビジネスを展開しているため、プライバシーマークも取得しています。サイバーセキュリティはトッププライオリティの取り組みです」。こう話すのはSGL システム開発部長の山田 健太郎氏だ。

システム開発部は社内のインフラやシステム全般の構築・運用とともにセキュリティ対策も担う。実際、SGLはファイアウォールやメール・Webセキュリティなどを実装し、脅威を防ぐ対策を行ってきた。しかしサイバー脅威が進化し、脅威の侵入を水際で100％阻止することは難しくなっている。そこで注目されているのが、EDR（Endpoint Detection and Response）だ。これはエンドポイント（端末）を継続的に監視して、脅威の侵入や不審な振る舞いを迅速に検知・駆除し、被害を極小化するソリューションだ。

「ところが当初はEDRがどういうもので、本当に当社に必要なのか。導入後にどう運用するべきかが正確に把握しきれていませんでした」と山田氏は打ち明ける。

また、導入する場合は、現行環境とのすり合わせが不可欠となる。「そもそも自社のセキュリティ状況全体を可視化できていないことも問題でした。また、世の中の基準に対して、どの程度自社が対策を行えているのか把握することも必要だと感じていました」とSGL システム開発部の糸久 靖夫氏は話す。

自社のセキュリティ対策は適切な状態なのか――。EDRを導入すべきか否か――。悩んでいる時、IIJから提案されたのが「IIJ Sketch & Draw Workshop」だ。これはIIJのスペシャリストとの対話を通じて、課題解決に向けた新たな視点を発見し、具体的な次の一歩を描いていくワークショップ。業種を問わず、無料で利用できる。既に300社以上の利用実績がある（図1）。

図1　課題解決策の討議の様子（写真はイメージ）

自社の課題をどうやって解決するか。個別の環境やポリシーに沿って最適な解決策を考えていく。自分たちで考えることで当事者意識が高まり、意見も活発になる。IIJスペシャリストとのコミュニケーションでアイデアがより深まっていく

3つのテーマのワークショップがあり、その1つがセキュリティだ。本ワークショップは3日間にわたって行う（図2）。1日目はヒアリングシートに記入された内容を基に、利用企業のセキュリティ状況の現状と課題を把握・整理する。初日のワークショップ後、IIJのスペシャリストは把握した課題を深く検討し、次回に向けた具体的な準備を行う。この“内部検討会”があることで、ワークショップの内容がより実践的かつ質の高いものになる。

2日目は、IIJの知見に基づく対策案やベストプラクティス、最新のセキュリティトレンドなどを紹介する。

そして3日目は“内部検討会”の結果を踏まえ、利用企業に最適な解決策を考えていく。IT環境や実装するセキュリティ対策、セキュリティポリシー、その運用体制などは各企業によって様々だ。画一的な解決策ではなく、直面する課題や将来ビジョンも踏まえて課題解決のアプローチを見つけていく。

図2　3日間のワークショップの流れ

ワークショップはIIJ本社（東京・飯田橋）にある会議室で利用企業ごとに実施する。IIJの知見に基づくベストプラクティスなどをIIJスペシャリストが直に紹介するという

共に考えるだけでなく、ワークショップ終了後には成果物が得られる。最新のセキュリティトレンド分析、現状の対策状況を分析したセキュリティ“鮮度”チェックシート、目指すべきセキュリティ対策グランドデザインやその実施ロードマップなど非常に有益なレポートだ。具体的な次の一歩を踏み出すための貴重な資料になる。

セキュリティワークショップを受講した感想を、SGL システム開発部の槇 俊一氏は次のように振り返る。

「脅威が侵入してくることに対しては、現在の対策である程度守ることができていました。しかし、昨今ではこうした対策をすり抜ける脅威が存在し、社内に侵入されてしまうとその感染拡大を抑えることは難しい。現状できることを指南してくれた上で、潰せないリスクがあることを教えてくれました。当社の状況に落とし込んで説明してくれたので、そこを埋めるのがEDRであるということがよく理解できました。対応できているところ・できていないところを分かりやすい鳥瞰図で可視化してくれたため、現在の対策状況や必要な対策もイメージしやすかったです」

一方でEDRの運用は継続的な監視が欠かせない。リスクをいち早く検知するためだ。重大インシデントの場合はマルウエア駆除やネットワーク隔離といった早急な対処も必要になる。その役割を担うのが、サイバー攻撃の検知・分析・対策を講じる専門組織「SOC（Security Operation Center）」だ。

「しかし、当社にはSOCを自社運用するスキルも人的リソースも足りない。そのため、EDRの導入と併せてSOCをアウトソーシングすることにしました。EDRのプラス面ばかりでなく、運用の大変さも包み隠さず教えてくれたので、IIJに対する信頼感がさらに向上しました」と糸久氏は評価する。

ソリューションの導入には経営陣の承認が必要になる。その際もワークショップの成果物が大いに役立ったという。「ワークショップ後にいただいた分析レポートは経営陣への説明用資料として使わせてもらいました。どんなリスクが差し迫っていて、自社に足りない対策は何か。被害が発生した場合の経営インパクトはどれだけ大きいか。EDRとSOCの必要性を経営陣に分かりやすく説明することができました」と山田氏は語る。なお、エグゼクティブ向けの報告は、要望があればIIJ担当者が同行して対応するという。

こうしてSGLはIIJのEDRサービスとフルマネージド型の「IIJ C-SOCサービス」を2025年2月に導入した。導入後に重大インシデントは発生していないが、社員があるサイトにアクセスしてマルウエアに感染させられそうになったことがあるという。「EDRで検知してSOCが通信を遮断したことで大事には至りませんでした。EDRがなければ早期の検知は困難だったでしょう。あの時はEDRとSOCのメリットを実感しました」と槇氏は振り返る。

優先度を付けてリスクを埋める対策も進めている。ワークショップによって、社内のどこに、どんなリスクがあるか分かったからだ。「まず社内で利用する内部ストレージの洗い出しを行い、認可されていないものは利用禁止にしました。申請して認可されれば利用は可能です。ガバナンスを利かせることで、利便性を損なうことなく管理体制を強化しました」（糸久氏）。今後はシャドーITや内部リスクの対策も強化していく。

槇氏はIIJ Sketch & Draw Workshopを“隠れた名店”と評する。「あれだけの充実したカリキュラムを無料で受講できるワークショップはほかにない。セキュリティに悩みや課題を抱えている企業はまず受講してみることをお勧めします」

昨今はサイバー攻撃がますます巧妙化し、攻撃経路も多様化している。守る側も攻撃の進化に合わせてアップデートが必要だ。「ワークショップで行うセキュリティ“鮮度”チェックは自社セキュリティの健康診断のようなもの。一度受けて終わりではなく、定期的に受講して現状把握と課題改善に役立てたい」と糸久氏は語る。

SGLは今後もサイバーセキュリティ対策の強化に継続的に取り組み、安心・安全を基軸として、重要な社会インフラの1つである物流サービスのさらなる発展を目指す構えだ。