自社のセキュリティの甘さに対し、情シス部が起こした“反乱”　年1億円超の予算をITにかける、ある企業の改革の裏側

日経新聞記者がサイバーセキュリティの要点を語る

寺岡篤志氏：日本経済新聞の記者の寺岡と申します。私からは「セキュリティはコストではなく戦略投資　年1億以上の予算をかける部品メーカーのグッドプラクティス」というタイトルで、お話をさせていただければなと思います。

今回このようなお話の機会をいただきましたが、他の講演者の方と比べると、たぶん私は圧倒的に知名度が低いと思います（笑）。若干恐縮しているところではあるんですが、まずは自己紹介から始めさせていただければと思います。

日本経済新聞で、主にサイバーセキュリティをテーマに取材をしています。セキュリティの中でもコーポレートのセキュリティ、安全保障、サイバー犯罪、あるいは政策とか、特に分野を問わずやっております。

その派生として関連の調査報道をしたり、情報工作、アンチマネーロンダリングとか、リスク管理に関してもいろいろ取材しております。

もともと社会部への入社でして、いわゆる事件屋をやっていたんですけれども、その中で2014年にマウントゴックス、当時の世界最大の仮想通貨交換所のハッキング事件で取材に携わったことをきっかけに、セキュリティの取材を始めております。

昨年度からはセキュリティ専門の担当ということで、仕事のほぼ9割ぐらいをセキュリティに割いて仕事をしております。こちらは直近書いた記事になっております。

もしよろしければ、検索して見ていただけるとうれしいかなと思います。本日は、こうして私が書いている記事の中で、ユーザー企業視点の報道からお話をさせていただければなと思います。

取材の難易度も高い、ユーザー起点のセキュリティ情報

「ユーザー企業に取材をして記事を書く」というのが、私がふだんしている取材活動の中で重点的にやっているテーマの1つでございます。もちろん、ベンダーさんの視点でもたくさん記事は書いてはいるんですが、ユーザーの視点から見た時に、人員と予算が理想形と言うほどにはない。

その中でどういった現実解があるんだろう、取捨選択をするんだろう。あるいは自分のネットワークの構成上、こういった対策が入れられない。じゃあその代替案は何だろうとか、そういった情報を盛り込むことは非常に重要ではないかなという問題意識がございます。

そして何より、そもそも情報の希少性が高い。ユーザー企業さん側は、「自分たちはセキュリティをこうやってます」と大っぴらにお話しすることは非常に少ないので、その分情報としてニーズはあるんじゃないかなと思って取り組んでおります。

やはり（セキュリティについて）PRしたいという会社さんはかなり少ないので、非常に取材は苦労するんですが、これに関しては、あとでもう少し詳しくお話しさせていただきたいなと思っております。

予算と人材が不足しがちな中堅・中小企業のハードル

本日のお話の内容です。まず、ユーザー企業視点の報道の中で、非常におもしろいなと思った企業さんの2つのケースについてお話をさせていただきたいなと思っております。それがCase1とCase2ですね。そして最後に、こうした取材をしてきた経緯から、少しだけ私見を述べさせていただきたいなと思っております。

古野電気さん、そして太田油脂さん。グローカルビジネスソリューションズさんというのは太田油脂さんの子会社なんですが、この2つのケースについてお話をします。

たぶん聞いていらっしゃる方の中で、この2つの会社さんを知っているという方は、そんなに多くはないんじゃないのかなと思っております。規模としては、いわゆる中堅・中小と言っていいぐらいの大きさの会社さんです。

どちらもそんなに小さい会社さんではないんですが、本日の2つのケースからお話ししたいテーマは、いわゆる中堅・中小のセキュリティ。そしてこれは大きな企業さんから見ると、サプライチェーンのセキュリティというふうに言い替えていいテーマではないかなと思っております。

中堅・中小の企業さんから見たセキュリティの課題で、よく一般的に言われているものは、やはり単純に人とお金が充足してはいないということ。それからこれは人材の不足からくる部分ですが、どんなツールを入れていいのかわからない。

「ベンダーさんにすごくいいツールを紹介してもらったんだけど、それが本当に自社にとって必要なのかわからない」といったところが、やはりあるかなと思います。

大手企業から見たセキュリティの課題

それから、そもそも最初に何をしたらいいかわからない。セキュリティに完全に不案内で、やることが目の前にたくさんあるような気がしてしまって、最初の一歩が踏み出せないという話も、いろんな取材中に聞くことがございます。

これは大手企業から見た時に、何次のサプライヤーまでサプライチェーンの責任の枠組みとしてウォッチしていかなくてはいけないんだろうかと。

当然、ピラミッド上に広がっていくサプライチェーンを考えた時に、どんどん下の階層まで行くほど、エクスポネンシャル（指数関数的）に対象が増えていくわけですので、これがなかなか非常に難しい問題になっているのかなと思っております。

加えてその中で、自社のポリシーに充足しないサプライヤーさんがいた時に、どのように介入すべきなのか。「必ずこれをやってください」とかなり義務的に強制をすると、下請け法違反になるんじゃないかという懸念を考えながら、大手企業さんは今、いろいろと悩まれていらっしゃるんじゃないかなと思います。

こうした難しい問題がいろいろある中で、すべて解決できる解は私もなかなか提示できないんですが、1つのあり方、ヒントとして、いくつかインサイトを提示できればなと本日は思っております。

自称中小企業・古野電気が行っているセキュリティ対策

それでは、古野電気さんのお話から始めたいと思います。まずは企業概要です。船舶用の電子機器・サービスの会社さんです。こちらの写真に写ってるのは魚群の探知機なんですが、漁船に限らず商用船、あるいは公的機関の船とかも含めて、さまざまなレーダーや衛星通信などの機器を販売しております。

売上高はご覧のとおりです。従業員数が連結だと3,000人いらっしゃいまして、もちろん決して小さくない企業ではあるんですが、取材させていただいた時は「自称中小企業」とおっしゃっていました。

「セキュリティの観点から見ると、十全に人材と予算があるわけではないよ」という前提で、このようにおっしゃられたのかなと思います。じゃあ、こうした企業さんがどういった取り組みをしているのかを、これからお話しできればなと思います。

まず、なぜ私が古野電機さんにお声がけしたのか、経緯をお話ししたいなと思います。サプライチェーンセキュリティの特集記事を企画しておりました。

いわゆるエンタープライズ、大手企業さんが今どういうふうに取り組んでいるかを取材していたところ、ちょうどタニウムさんという脆弱性の管理ツールを提供していらっしゃるセキュリティベンダーさんを通して、古野電気さんがユースケースとしてPRを出されていました。

それは「SP800-171に我が社は対応してますよ」という内容だったんですね。サプライヤーさんがSP800-171に対応するのはなかなか珍しいかなと思って、興味を抱いた次第です。

中堅企業がグローバル基準に対応したレアケース

このSP800-171に関しては、セキュリティ業界の方はたぶん知ってらっしゃる方も多いかなと思うんですが、念のためご説明します。

アメリカの技術標準を作るNIST（ニスト）というところが作った標準で、まさに「サプライチェーンをこういうふうに管理しましょう」という基準です。（古野電気は）これに対応しているよ、と言っているということですね。

実際のところ、普通は「SP800-171に対応してるよ」というのは、だいたい大手企業、エンタープライズが、こういったサプライチェーンのセキュリティをやっているんですが、中堅企業では非常に珍しいかなと思ってます。

お話を聞いてみると、「エンタープライズから要求を受ける前に、自らSP800-171のサプライを管理するサプライヤーとして、充足するような対策に自ら取り組んでますよ」というお話でした。

そういう意味ですと、本来企画していた企画の趣旨とは別方向からのお話なんですが、こういったお話も大事かなと思って取材をした次第です。

記事自体は（スライドに）表示されているようにすでに載っているんですが、なかなかこの企業のおもしろさを伝えきれなかったなと私も思っていまして、この場を借りてお話をしたいなと思っています。

年間のセキュリティ予算を1億円以上増加

取り組みの経緯です。よくある「こういった対策をしてますか？」という発注元からのチェックシートが、もともとISMSの基準に沿って作られていたものが、約3年前の2020年頃から、先ほど言ったSP800-171の準拠のものに変わっていった。

当然、強い要請というわけではなかったんですが、「自主的に取り組みを進めていかなければ、今後うちの契約が減ってくるんじゃないか」ということで、ある種の危機感を持って、しっかり先んじてやっていくことで、むしろ先頭に立てるんじゃないかということで取り組みを始められています。

社内のポリシーもSP800-171の基準に変えていった。現状では、ほぼほぼ想定していた対応は完了しました。その中で、年間のセキュリティ予算は1億円以上増加したということです。

もちろん、もともとのセキュリティの予算もありましたので、全体としてはさらに遥かに上回るぐらいの規模なんですが、これぐらいのお金を追加でセキュリティに投じたということですね。

実際に何をやったのか。一番わかりやすい事例として、セキュリティツールの構成を見ていただければわかりやすいかなと思います。（スライド）右側に書いてある「何社導入」というところは、サイバーリーズン社さんの調査レポートから引用させていただきました。こちらは2023年1月に調査したものです。

規模はさまざまなんですが、434社の日本企業のうち、同じような対策を何社が導入したかということですね。導入社数が少ない、レアなものを（上から）順に書いております。

ツールを導入し、多角的にセキュリティを強化する古野電気

MXDRも一応説明をさせていただきます。ざっくり言えば、いろんなIT資産に攻撃を検知するものを仕込んで、総合的に攻撃の有無を判断して、さらにネットワークの遮断といった対応も、ある程度自動で「こうしましょう」といったことを弾き出すツールでございます。

これをマネージド、つまり外部に委託して運用するのがMXDRですね。サイバーリーズンさんの調査では、XDRはまだ19社しか導入していない。おそらく、かなり大手企業さんに限定されるんじゃないかなと思います。

古野電気さんは小さくはない会社ですが、この規模でXDRを現時点に入れているというのは、けっこうレアなんじゃないかなと思います。

それから、特権ID管理／シングルサインオン。つまりIDの管理サービスですね。特に、強い権限を持っているIDのユーザーが変な動きをしていないか、乗っ取られているんじゃないか？　といったところを検知したりします。こちらは22社導入しているものですので、まだかなりレアなものかなと思います。

先ほどタニウムさんのお話がありましたが、（古野電気は）脆弱性管理ツールもすでに入れている。それから基本的なものとして、ITの資産管理、クラウドVPN、メールセキュリティといったものも、こちらもそこまでレアではないですが、しっかり基盤として入れてらっしゃるということですね。

「この規模の企業さんで、ここまで十全な構成をしているのは少ないんじゃないかな」と、私もいろいろお話をしたリサーチャーの方はおっしゃってました。

場当たり的な運営に危機を感じた情シス部の“反乱軍”

じゃあ、なぜこれができたのかというところですね。“反乱軍”“民主化”とか、なかなか剣呑な言葉を使っておりますけれども、これは私が勝手に言っているわけじゃなくて、古野電気さん自らこういった言葉を使ってご説明されています。

もしお話される機会があったら、より深く聞いていただきたいなと思うんですが、非常におもしろいストーリーがありました。というのは、もともと古野電気さんの中に情シスはあったんですが、非常に受動的、かつ場当たり的な開発にとどまっていたと言いますか、基本的には保守運営であり、全体最適を取れなかったと。

先ほど言ったように（古野電気は）衛星のネットワークとかをやってらっしゃいますので、危機感を持った通信関連の開発部門の詳しい方、あるいはERP、SAPの導入のアドホックチームのために、新規で採ったIT人材の方が「このままじゃいけない」ということで、「第2情シス」というものを作ってしまったわけです。

これがヘッドクオーターから離れて出奔しまして、事業部門に行って、詳しい人たちの中で「自社のITとセキュリティに関して在り方を考えよう」ということで、活動を始められたわけです。

ヘッドクオーターのほうは「もうわかった。戻ってきてくれ」ということで、第1情シスと統合するかたちで、新たに「IT部」というものが設立されます。

これを古野電気さん自ら「禁門の変〜明治政府樹立」というふうにおっしゃっているわけですが、このように、まずはしっかりと危機感を持った組織が出来上がった。そして、そこが予算組みに関して主導を始められたわけですね。

DXが進んでいなかったからこそ予算が取れた

まず、非連結売上の一定割合を固定でしっかりIT予算に確保しましょうと。これは、セキュリティだけじゃなくITも含めてですね。この時に私が非常に重要なのかなと思ったのが、「セキュリティのための予算を取ろう」という言い方はしてないわけですね。

DX、つまり営業の効率とか、生産の効率を高めるための施策の一環として、その前提としてセキュリティがあるからできるんですよと。つまり、経営や事業を前に進めるための投資をして、必ず必要なものだからセキュリティに投資しましょうと。そういったかたちで予算を取っていったと。これは非常に重要なテーマなのではないかなと思っております。

「むしろDXが進んでいなかったから、逆に予算が取りやすかった」というふうにおっしゃられていました。つまり先にDXをしてしまって、あとからセキュリティを付加すると、手戻りが起きたりするんですよね。

利便性を落とさなくちゃいけないとか、逆に手間だけ増えてしまったりするので、単純にコストとして見られてしまう。そうではなくて、あくまで事業を前に進めるための予算としてセキュリティを取った。それによって、社員の方からの支持も非常に強かったと。

例えば、前は資料を外に持ち出すのに非常に強い制約があったんですが、EDRとかを入れたことで、タブレットなどの端末を使って営業資料を持ち歩けるようになって、非常に便利になったと。これは「セキュリティのおかげだから」ということで、社員からも非常に高い支持を獲得したと聞いております。