2024.10.01
自社の社内情報を未来の“ゴミ”にしないための備え 「情報量が多すぎる」時代がもたらす課題とは?
提供:株式会社網屋
リンクをコピー
記事をブックマーク
寺岡篤志氏:日本経済新聞の記者の寺岡と申します。私からは「セキュリティはコストではなく戦略投資 年1億以上の予算をかける部品メーカーのグッドプラクティス」というタイトルで、お話をさせていただければなと思います。
今回このようなお話の機会をいただきましたが、他の講演者の方と比べると、たぶん私は圧倒的に知名度が低いと思います(笑)。若干恐縮しているところではあるんですが、まずは自己紹介から始めさせていただければと思います。
日本経済新聞で、主にサイバーセキュリティをテーマに取材をしています。セキュリティの中でもコーポレートのセキュリティ、安全保障、サイバー犯罪、あるいは政策とか、特に分野を問わずやっております。
その派生として関連の調査報道をしたり、情報工作、アンチマネーロンダリングとか、リスク管理に関してもいろいろ取材しております。
もともと社会部への入社でして、いわゆる事件屋をやっていたんですけれども、その中で2014年にマウントゴックス、当時の世界最大の仮想通貨交換所のハッキング事件で取材に携わったことをきっかけに、セキュリティの取材を始めております。
昨年度からはセキュリティ専門の担当ということで、仕事のほぼ9割ぐらいをセキュリティに割いて仕事をしております。こちらは直近書いた記事になっております。
もしよろしければ、検索して見ていただけるとうれしいかなと思います。本日は、こうして私が書いている記事の中で、ユーザー企業視点の報道からお話をさせていただければなと思います。
「ユーザー企業に取材をして記事を書く」というのが、私がふだんしている取材活動の中で重点的にやっているテーマの1つでございます。もちろん、ベンダーさんの視点でもたくさん記事は書いてはいるんですが、ユーザーの視点から見た時に、人員と予算が理想形と言うほどにはない。
その中でどういった現実解があるんだろう、取捨選択をするんだろう。あるいは自分のネットワークの構成上、こういった対策が入れられない。じゃあその代替案は何だろうとか、そういった情報を盛り込むことは非常に重要ではないかなという問題意識がございます。
そして何より、そもそも情報の希少性が高い。ユーザー企業さん側は、「自分たちはセキュリティをこうやってます」と大っぴらにお話しすることは非常に少ないので、その分情報としてニーズはあるんじゃないかなと思って取り組んでおります。
やはり(セキュリティについて)PRしたいという会社さんはかなり少ないので、非常に取材は苦労するんですが、これに関しては、あとでもう少し詳しくお話しさせていただきたいなと思っております。
本日のお話の内容です。まず、ユーザー企業視点の報道の中で、非常におもしろいなと思った企業さんの2つのケースについてお話をさせていただきたいなと思っております。それがCase1とCase2ですね。そして最後に、こうした取材をしてきた経緯から、少しだけ私見を述べさせていただきたいなと思っております。
古野電気さん、そして太田油脂さん。グローカルビジネスソリューションズさんというのは太田油脂さんの子会社なんですが、この2つのケースについてお話をします。
たぶん聞いていらっしゃる方の中で、この2つの会社さんを知っているという方は、そんなに多くはないんじゃないのかなと思っております。規模としては、いわゆる中堅・中小と言っていいぐらいの大きさの会社さんです。
どちらもそんなに小さい会社さんではないんですが、本日の2つのケースからお話ししたいテーマは、いわゆる中堅・中小のセキュリティ。そしてこれは大きな企業さんから見ると、サプライチェーンのセキュリティというふうに言い替えていいテーマではないかなと思っております。
中堅・中小の企業さんから見たセキュリティの課題で、よく一般的に言われているものは、やはり単純に人とお金が充足してはいないということ。それからこれは人材の不足からくる部分ですが、どんなツールを入れていいのかわからない。
「ベンダーさんにすごくいいツールを紹介してもらったんだけど、それが本当に自社にとって必要なのかわからない」といったところが、やはりあるかなと思います。
それから、そもそも最初に何をしたらいいかわからない。セキュリティに完全に不案内で、やることが目の前にたくさんあるような気がしてしまって、最初の一歩が踏み出せないという話も、いろんな取材中に聞くことがございます。
これは大手企業から見た時に、何次のサプライヤーまでサプライチェーンの責任の枠組みとしてウォッチしていかなくてはいけないんだろうかと。
当然、ピラミッド上に広がっていくサプライチェーンを考えた時に、どんどん下の階層まで行くほど、エクスポネンシャル(指数関数的)に対象が増えていくわけですので、これがなかなか非常に難しい問題になっているのかなと思っております。
加えてその中で、自社のポリシーに充足しないサプライヤーさんがいた時に、どのように介入すべきなのか。「必ずこれをやってください」とかなり義務的に強制をすると、下請け法違反になるんじゃないかという懸念を考えながら、大手企業さんは今、いろいろと悩まれていらっしゃるんじゃないかなと思います。
こうした難しい問題がいろいろある中で、すべて解決できる解は私もなかなか提示できないんですが、1つのあり方、ヒントとして、いくつかインサイトを提示できればなと本日は思っております。
それでは、古野電気さんのお話から始めたいと思います。まずは企業概要です。船舶用の電子機器・サービスの会社さんです。こちらの写真に写ってるのは魚群の探知機なんですが、漁船に限らず商用船、あるいは公的機関の船とかも含めて、さまざまなレーダーや衛星通信などの機器を販売しております。
売上高はご覧のとおりです。従業員数が連結だと3,000人いらっしゃいまして、もちろん決して小さくない企業ではあるんですが、取材させていただいた時は「自称中小企業」とおっしゃっていました。
「セキュリティの観点から見ると、十全に人材と予算があるわけではないよ」という前提で、このようにおっしゃられたのかなと思います。じゃあ、こうした企業さんがどういった取り組みをしているのかを、これからお話しできればなと思います。
まず、なぜ私が古野電機さんにお声がけしたのか、経緯をお話ししたいなと思います。サプライチェーンセキュリティの特集記事を企画しておりました。
いわゆるエンタープライズ、大手企業さんが今どういうふうに取り組んでいるかを取材していたところ、ちょうどタニウムさんという脆弱性の管理ツールを提供していらっしゃるセキュリティベンダーさんを通して、古野電気さんがユースケースとしてPRを出されていました。
それは「SP800-171に我が社は対応してますよ」という内容だったんですね。サプライヤーさんがSP800-171に対応するのはなかなか珍しいかなと思って、興味を抱いた次第です。
このSP800-171に関しては、セキュリティ業界の方はたぶん知ってらっしゃる方も多いかなと思うんですが、念のためご説明します。
アメリカの技術標準を作るNIST(ニスト)というところが作った標準で、まさに「サプライチェーンをこういうふうに管理しましょう」という基準です。(古野電気は)これに対応しているよ、と言っているということですね。
実際のところ、普通は「SP800-171に対応してるよ」というのは、だいたい大手企業、エンタープライズが、こういったサプライチェーンのセキュリティをやっているんですが、中堅企業では非常に珍しいかなと思ってます。
お話を聞いてみると、「エンタープライズから要求を受ける前に、自らSP800-171のサプライを管理するサプライヤーとして、充足するような対策に自ら取り組んでますよ」というお話でした。
そういう意味ですと、本来企画していた企画の趣旨とは別方向からのお話なんですが、こういったお話も大事かなと思って取材をした次第です。
記事自体は(スライドに)表示されているようにすでに載っているんですが、なかなかこの企業のおもしろさを伝えきれなかったなと私も思っていまして、この場を借りてお話をしたいなと思っています。
取り組みの経緯です。よくある「こういった対策をしてますか?」という発注元からのチェックシートが、もともとISMSの基準に沿って作られていたものが、約3年前の2020年頃から、先ほど言ったSP800-171の準拠のものに変わっていった。
当然、強い要請というわけではなかったんですが、「自主的に取り組みを進めていかなければ、今後うちの契約が減ってくるんじゃないか」ということで、ある種の危機感を持って、しっかり先んじてやっていくことで、むしろ先頭に立てるんじゃないかということで取り組みを始められています。
社内のポリシーもSP800-171の基準に変えていった。現状では、ほぼほぼ想定していた対応は完了しました。その中で、年間のセキュリティ予算は1億円以上増加したということです。
もちろん、もともとのセキュリティの予算もありましたので、全体としてはさらに遥かに上回るぐらいの規模なんですが、これぐらいのお金を追加でセキュリティに投じたということですね。
実際に何をやったのか。一番わかりやすい事例として、セキュリティツールの構成を見ていただければわかりやすいかなと思います。(スライド)右側に書いてある「何社導入」というところは、サイバーリーズン社さんの調査レポートから引用させていただきました。こちらは2023年1月に調査したものです。
規模はさまざまなんですが、434社の日本企業のうち、同じような対策を何社が導入したかということですね。導入社数が少ない、レアなものを(上から)順に書いております。
MXDRも一応説明をさせていただきます。ざっくり言えば、いろんなIT資産に攻撃を検知するものを仕込んで、総合的に攻撃の有無を判断して、さらにネットワークの遮断といった対応も、ある程度自動で「こうしましょう」といったことを弾き出すツールでございます。
これをマネージド、つまり外部に委託して運用するのがMXDRですね。サイバーリーズンさんの調査では、XDRはまだ19社しか導入していない。おそらく、かなり大手企業さんに限定されるんじゃないかなと思います。
古野電気さんは小さくはない会社ですが、この規模でXDRを現時点に入れているというのは、けっこうレアなんじゃないかなと思います。
それから、特権ID管理/シングルサインオン。つまりIDの管理サービスですね。特に、強い権限を持っているIDのユーザーが変な動きをしていないか、乗っ取られているんじゃないか? といったところを検知したりします。こちらは22社導入しているものですので、まだかなりレアなものかなと思います。
先ほどタニウムさんのお話がありましたが、(古野電気は)脆弱性管理ツールもすでに入れている。それから基本的なものとして、ITの資産管理、クラウドVPN、メールセキュリティといったものも、こちらもそこまでレアではないですが、しっかり基盤として入れてらっしゃるということですね。
「この規模の企業さんで、ここまで十全な構成をしているのは少ないんじゃないかな」と、私もいろいろお話をしたリサーチャーの方はおっしゃってました。
じゃあ、なぜこれができたのかというところですね。“反乱軍”“民主化”とか、なかなか剣呑な言葉を使っておりますけれども、これは私が勝手に言っているわけじゃなくて、古野電気さん自らこういった言葉を使ってご説明されています。
もしお話される機会があったら、より深く聞いていただきたいなと思うんですが、非常におもしろいストーリーがありました。というのは、もともと古野電気さんの中に情シスはあったんですが、非常に受動的、かつ場当たり的な開発にとどまっていたと言いますか、基本的には保守運営であり、全体最適を取れなかったと。
先ほど言ったように(古野電気は)衛星のネットワークとかをやってらっしゃいますので、危機感を持った通信関連の開発部門の詳しい方、あるいはERP、SAPの導入のアドホックチームのために、新規で採ったIT人材の方が「このままじゃいけない」ということで、「第2情シス」というものを作ってしまったわけです。
これがヘッドクオーターから離れて出奔しまして、事業部門に行って、詳しい人たちの中で「自社のITとセキュリティに関して在り方を考えよう」ということで、活動を始められたわけです。
ヘッドクオーターのほうは「もうわかった。戻ってきてくれ」ということで、第1情シスと統合するかたちで、新たに「IT部」というものが設立されます。
これを古野電気さん自ら「禁門の変〜明治政府樹立」というふうにおっしゃっているわけですが、このように、まずはしっかりと危機感を持った組織が出来上がった。そして、そこが予算組みに関して主導を始められたわけですね。
まず、非連結売上の一定割合を固定でしっかりIT予算に確保しましょうと。これは、セキュリティだけじゃなくITも含めてですね。この時に私が非常に重要なのかなと思ったのが、「セキュリティのための予算を取ろう」という言い方はしてないわけですね。
DX、つまり営業の効率とか、生産の効率を高めるための施策の一環として、その前提としてセキュリティがあるからできるんですよと。つまり、経営や事業を前に進めるための投資をして、必ず必要なものだからセキュリティに投資しましょうと。そういったかたちで予算を取っていったと。これは非常に重要なテーマなのではないかなと思っております。
「むしろDXが進んでいなかったから、逆に予算が取りやすかった」というふうにおっしゃられていました。つまり先にDXをしてしまって、あとからセキュリティを付加すると、手戻りが起きたりするんですよね。
利便性を落とさなくちゃいけないとか、逆に手間だけ増えてしまったりするので、単純にコストとして見られてしまう。そうではなくて、あくまで事業を前に進めるための予算としてセキュリティを取った。それによって、社員の方からの支持も非常に強かったと。
例えば、前は資料を外に持ち出すのに非常に強い制約があったんですが、EDRとかを入れたことで、タブレットなどの端末を使って営業資料を持ち歩けるようになって、非常に便利になったと。これは「セキュリティのおかげだから」ということで、社員からも非常に高い支持を獲得したと聞いております。
寺岡篤志氏 プロフィール:2008年、日本経済新聞社入社、社会部に所属。2014年にマウントゴックス社のビットコイン消失事件の取材にあたったことをきっかけにセキュリティ関連の取材に携わるように。2022年からセキュリティの専任記者。
2023年11月15日~16日の2日間に亘って、日本を代表するサイバーセキュリティの専門家や企業が集う、国内最大級のオンラインセキュリティカンファレンスが開催されました。サイバーセキュリティの最新動向や脅威への対策などを中心に計28セッションが開催され、そのうち19セッションを11月20日より順次ログミーでもお届けいたします。
株式会社網屋
関連タグ:
2024.10.29
5〜10万円の低単価案件の受注をやめたら労働生産性が劇的に向上 相見積もり案件には提案書を出さないことで見えた“意外な効果”
2024.10.24
パワポ資料の「手戻り」が多すぎる問題の解消法 資料作成のプロが語る、修正の無限ループから抜け出す4つのコツ
2024.10.28
スキル重視の採用を続けた結果、早期離職が増え社員が1人に… 下半期の退職者ゼロを達成した「関係の質」向上の取り組み
2024.10.22
気づかぬうちに評価を下げる「ダメな口癖」3選 デキる人はやっている、上司の指摘に対する上手な返し方
2024.10.24
リスクを取らない人が多い日本は、むしろ稼ぐチャンス? 日本のGDP4位転落の今、個人に必要なマインドとは
2024.10.23
「初任給40万円時代」が、比較的早いうちにやってくる? これから淘汰される会社・生き残る会社の分かれ目
2024.10.23
「どうしてもあなたから買いたい」と言われる営業になるには 『無敗営業』著者が教える、納得感を高める商談の進め方
2024.10.28
“力を抜くこと”がリーダーにとって重要な理由 「人間の達人」タモリさんから学んだ自然体の大切さ
2024.10.29
「テスラの何がすごいのか」がわからない学生たち 起業率2年連続日本一の大学で「Appleのフレームワーク」を教えるわけ
2024.10.30
職場にいる「困った部下」への対処法 上司・部下間で生まれる“常識のズレ”を解消するには