セキュリティが脆弱なグループ会社やサプライチェーンが狙われる
ここ数年、ランサムウェアを使った攻撃がとくに目立つ。先日も国内の病院でランサムウェア攻撃を受けて業務がストップする事例が発生したように、いわゆる大企業以外もターゲットとなっている状況だ。手口としては最終的な狙いである企業・組織を直接攻撃せず、グループ会社や調達先・委託先など、サプライチェーン上の取引事業者を足がかりにネットワークへ侵入し、身代金要求につなげる攻撃が増えている。
日系グローバル企業は国内外を問わず、支社・事業所等の展開に加え、活発なM&Aによって拠点を広げてきた。その中で、とりわけ海外で買収によりグループに加わった子会社が狙われている。NTTデータグループのCSIRT(※1)であるNTTDATA-CERTでエグゼクティブ・セキュリティ・アナリストを務める新井悠が、グローバル企業における海外事業会社の“弱点”を指摘する。
技術革新統括本部 システム技術本部
NTTDATA-CERT担当 エグゼクティブ・セキュリティ・アナリスト
新井 悠
「犯罪者はセキュリティに弱みを持っていると判断した場合、無差別に攻撃してくるため、グローバルのあらゆる子会社や関連会社に対して広くセキュリティ対策を強化する必要があります。ところが買収でグループに入った会社は、親会社とは事業環境や企業文化が異なっていたり、海外の場合は言語や法令、社会風土の違いがあったりする。そういった垣根を超えてセキュリティ対策を打つのは難しい現状があります」
今後もセキュリティに弱みを持つ拠点が狙われやすいトレンドは続くと想定される。対策としては、「本社によるグループ共通の方針策定や、統一的なセキュリティ基盤のもと各社が現地の実情に合わせてツール等を実装して、グループ内やサプライチェーンの脆弱な部分を早めに手当てすることが肝要」だと新井は語る。
CSIRT(Computer Security Incident Response Team)とは、セキュリティ上の問題として捉えられる事象であるインシデントが発生した際に対応するチームのこと
キリングループが抱えていたセキュリティ課題と改善に向けた動き
このグローバル企業としての悩みは、海外に広く事業を展開するキリングループも抱えていた。キリングループは1981年に初めて策定した長期経営ビジョンに基づき、海外事業を推進し、すでに40年という長い期間が経過している。グループの情報子会社であるキリンビジネスシステム(以下、KBS)インフラ強化推進グループ部長の門田晴裕氏は、事業がグローバル展開する中で急増するサイバー攻撃に対する防衛力強化及びサイバーセキュリティに関するガバナンス強化は急務であったと話す。門田氏は2022年9月までセキュリティ対策を所管する情報セキュリティ推進グループの部長を務めていた。
キリンビジネスシステム株式会社 システム基盤統轄部 インフラ強化推進グループ 部長
門田 晴裕 氏
キリングループの経営理念は、「自然と人を見つめるものづくりで、『食と健康』の新たなよろこびを広げ、こころ豊かな社会の実現に貢献します。」だ。これに基づき、食から医にわたる領域における価値創造に向けて、既存事業領域である「食領域」(酒類・飲料事業)と「医領域」(医薬事業)に加え、キリングループならではの強みを生かした「ヘルスサイエンス領域」を立ち上げて推進している。
多岐に渡る事業領域の事業継続性を保ち、また機密情報が漏洩した際のブランド毀損等を防ぐため、キリングループではサイバーリスクを事業リスクと捉えて過去より対策を実施してきた。直近で傾注していたのは、プライバシーデータ保護、グローバルスコープでのセキュリティ対策状況チェックによる可視化、インシデント発生時の態勢強化としてSOC(Security Operation Center)及びCSIRTの設立と充実である。
門田氏がインフラ部門に異動後、情報セキュリティ推進グループの後任部長となった飯島伸章氏が語る。
キリンビジネスシステム株式会社 システム基盤統轄部 情報セキュリティ推進グループ 部長
飯島 伸章 氏
「いうまでもなく以前からセキュリティ対策は実施していましたが、2019年以降のNTTデータとの協業で加速し、グローバルで網羅的にセキュリティ強化が進展しました」
今回の協業のベースには、2012年に行われたキリングループとNTTデータの資本提携がある。それ以降、インフラやアプリケーション開発で共に取り組み、信頼感が形作られていたのとともに、キリングループのセキュリティに関する温度感も上がってきていた。その過程で対話が進み、協業に発展していったとのことだ。
ポリシー・ルール、技術、リテラシーの3本柱で対策強化を実施
キリングループのセキュリティ強化は「ポリシー・ルール面の強化」「技術面での対策強化」「リテラシー向上」が3本の柱になっていると門田氏は明かす。
「ガバナンスのポリシーやセキュリティに関するルールを改めて揃えたうえで、攻撃を早期に検知するツール導入と体制整備を実施しました。そして、従業員のセキュリティに対するリテラシーを高めていくという、この3つの観点で施策を打っています。加えて防衛力と、もはや攻撃を受けるのは当たり前という前提に立った対応力向上にも取り組んでいます」
この3本柱の取り組みにおけるポイントは「“集約”と“分散”のバランス」だったという。
具体的な流れとしては2019年末、NTTデータがキリングループ海外15社を対象にセキュリティ対策状況のアセスメントを実施。その結果、検知と対応力がとくに弱いことがわかり2020年4月、以後3年間のロードマップを策定した。
3本の柱のうち、1つ目のポリシー・ルール面の強化については、当時グローバル共通のセキュリティポリシーがなかったため制定した。ここでは、攻撃対象となる“弱点”をなくすためにクリアすべきレベルや考え方をまとめた(“集約”)。一方、具体的なセキュリティ対策の手順や方法については、規模の大きなシステムと小さなシステムではバックアップの方法一つとっても違うことから、各国、各システムにとって意味あるものとなるよう必要に応じて“分散”させた。専門のIT要員が在籍しておらず、独自で対策が検討できない小規模のグループ会社には、本社から手厚いサポートを提供している。
2つ目の技術的な部分では、本社からグローバル全体に共通するセキュリティ方針を打ち出したうえで、小規模のグループ会社でもなるべく少ない負荷でセキュリティレベルの向上を可能にする、グローバル共通のセキュリティ基盤を導入した。ここでも、各国法令への対応や個別のシステムのセキュリティ対策についてはグループ各社が実施していった。
3つ目である社員のリテラシー向上については、実際の攻撃を想定した訓練の定期的な実施に加えて、海外グループ会社間で先進的なトレーニングの横展開を検討している。組織のセキュリティレベル向上には、組織を構成する「人」の行動が非常に重要な要素となるため、前述の門田氏の言葉にある“防衛力”と“対応力”、両方を向上させることが狙いだ。
図:集約と分散のバランス
実はNTTデータ自身、M&Aを繰り返した結果、グローバルでのセキュリティガバナンスが弱くなったことを実感した経験があった。そこで2017年頃からグループ全体のガバナンスを強化し、ゼロトラストの考え方のもと、グローバル共通のITセキュリティ基盤の刷新を実行(※2)。セキュリティ強化策に関する独立した第三者機関によるアセスメントで、グローバルの金融・軍事系平均の3.1を大きく上回る3.75の高評価も得た。
図:NTTデータのサイバーセキュリティ成熟度
サイバーセキュリティ技術部 課長
中尾 聡志
「この取り組みで蓄積した知見をキリングループに展開できたことで、当初のアセスメントで弱点と出た部分も含め、2022年末の段階では改善の目標を達成できそうです」と、NTTデータでサイバーセキュリティのコンサルティングを担当し、KBSとの協業にNTTデータ側の立場で携わる中尾聡志は語る。
リテラシー向上施策も並行して継続しており、ここまでのところセキュリティ強化は順調に進んでいると門田氏も飯島氏も評価する。
図:キリングループにおけるセキュリティ対策状況の改善(目標に対する達成状況)
とはいえ、「セキュリティには終わりがなく、お客様へ製品・サービスを安定的に提供するため、今後もNTTデータと協業しながら、対策を継続していかなければならないと考えています」と飯島氏は気を引き締める。
キリングループではコーポレートスローガン「よろこびがつなぐ世界へ」のもと、「食と健康の新たなよろこび」を、事業を通じて提供している。その提供価値をITで支えるのがKBS。今回のセキュリティに関する取り組みはもちろん、今後もKBSはキリン×ITで「社会課題の解決」・「お客様に健康・幸せ・豊かな時間の創出」というビジョンを掲げ取り組んでいくという。
KBSとNTTデータの関係性について尋ねると、「NTTデータはキリングループの価値観を共有し、ダメなものはダメ、この製品はキリングループの目的にはオーバースペックだ、などと忌憚なく言ってくれる。強固な信頼関係を築けていると思っています」(門田氏)、「委託元と委託先という関係ではなく、同じ方向を見ながら一緒に進んでいける仲間だと感じています」(飯島氏)という答えが返ってきた。NTTデータとしてもこうした思いを受け止め、キリングループの価値向上をこれからもサポートしていく考えだ。