2024.12.19
システムの穴を運用でカバーしようとしてミス多発… バグが大量発生、決算が合わない状態から業務効率化を実現するまで
提供:株式会社網屋
リンクをコピー
記事をブックマーク
寺岡篤志氏:そして次のケース。太田油脂さん、グローカルビジネスソリューションズさんにお話を移したいと思います。太田油脂さんは、創業120年ぐらいの非常に老舗の油脂製品の製造販売で、他にも食品なんかもいくつかやっていらっしゃいます。売上高、従業員数はご覧のとおりです。
太田油脂さんが2021年に子会社として設立したのが、グローカルビジネスソリューションズ、通称GBSですね。事業内容としては、DXやセキュリティのコンサルタントと、非常に珍しいパターンではないかなと思います。
太田油脂さんでDXやセキュリティの改革をしていく中で、「この知見をローカルに広めていこう」ということで、もちろん(従業員は)兼務なんですが、コンサルタントも始めようという、非常に珍しいケースかなと思っております。
取り組みの経緯です。2019年から2020年にかけて、太田油脂さんの中で「DX推進室」というものが設立されます。やはりDXを進めないといけないなということで、社長さんが危機感を持って進められました。
これは非常にいいタイミングと言ってはなんですが、元大手コンサルのITの担当者で、かなりご経験のある方に事情があって、愛知県の田舎のほうに戻られてお仕事をされるというきっかけがあったんです。
この時に太田油脂さんが「じゃあ、この人に来てもらおう」ということで、どうもかなりお給料を奮発したということなんですが、意思と危機感を持って、こういった方を獲得して、ここからかなり大きな改革が始まりました。
テーマとしては、まず人材教育です。ソーシャルエンジニアリング対策ですね。だいたい7割から8割は、ソーシャルエンジニアリング、つまりメールなどを通して人を騙してIDを取ったり、マルウェアを展開させたりする(ケースです)。そういった技術の対策をやることがまずは大事だろうと。
それから、プラスセキュリティ人材。つまり事業部とセキュリティチームの橋渡しをして、例えばセキュリティポリシーをちゃんと理解してもらうとか、何か起きた時に情報のチャネルとなる人材を「プラスセキュリティ人材」と言いますが、そういった人たちを育成していこうということで、人材教育に熱心に取り組まれていらっしゃいます。
IT関係の初級の資格なんかも、社員さんがみなさん取っていらっしゃったりするようです。それから、IT予算自体はかなり組み直しまして、端末には基本的に全部EDRを導入していらっしゃいます。
こういったセキュリティ改革を、先ほど言ったようにローカルのコミュニティで広めようと。GBSさんの取り組み以外にも、こういった人材教育の場を他の会社さんにタダで開放したり。
それからTTX、テーブルトップエクササイズですね。「机上演習」と言ったりしますが、攻撃が起きた時に迅速な経営判断ができるようにする、防災訓練みたいなものですね。こういったものを地域の自治体さんや行政と連携して展開したり、今後は自社でもやっていかれるということでした。
GBSのあるクライアントさんの改革に関して、かなり詳しい話を聞いたものがおもしろかったです。かなりディープな話も聞いたので、匿名でということなんですが、まさに太田油脂さんの改革の中で培った知見がそのまま活かされている事例ということで、非常にわかりやすいので紹介をさせていただきたいなと思います。
まず、GBSさんが改革の上で1つの指標として掲げていらっしゃるのは、1人当たりのIT予算なんですね。このクライアントさんでは平均の倍程度もあったそうなんです。その理由として、年間50件以上も基盤システムの改修をしていたからだと。
改善をしようと企業としても奨励をしていたんですが、そのために年間1億円以上の出費があった。これをGBSさんは「カイゼンの呪い」とおっしゃっていました。このクライアントさんは製造業なんですが、(製造業)らしいエピソードかなと思います。
ただ、もちろん改善自体はいいんですが、工数が削減されたところで生産性のある仕事が新たに生まれたかというと、「ちょっと手が空いた分、書類整理をします」とか、事業自体の成長につながる部分が非常に少なかったということでした。
改善に使うIT予算は各事業部に割り振られていて、基本的にはある程度自由に、良い面も悪い面もあるかと思うんですが、裁量を持って使えていた。それからオフィススイート、つまりWordやExcelなんかも事業部ごとに単発で購入して、バージョンもバラバラ。
ふせんを貼って「これをインストールした人は貼ってください」というような、最低限「誰が入れているか」という管理はしていたんですが、かなりアナログな管理で、なかなかバージョン管理ができていなかった。
それからリアルタイムの資産管理ですね。例えばUSBを挿してしまったとか、ホワイトリストにないアプリケーションを入れてしまうと、アラートが鳴るようなリアルタイムの資産管理を入れていたんですが、実際にこのアラートをちゃんとリアルタイムに見ている人がいたかと言ったら、いなかった。
それから、この時期にリモートワークをやろうとしてたんですが、シンクライアントを導入しようと。(社内のサーバーと端末を)つないで、外部にはデータを一切出さない。
こういった、リアルタイムな資産管理やシンクライアントというのは、果たしてここまでやる必要はあったのか? この部分を削って他に回せるんじゃないの? といった部分を見ていったわけですね。
改修案件は情シスの体制を強化して、一括で管理できるようにしようと。もちろん提案は出してもらうけれども、「ワークロードが減ります」というだけじゃなくて、その先にしっかりした事業効果や、何があるかまで見込めないものは取り下げるようにしました。
その代わりRPA、簡単にノーコードで書ける改善ツールみたいなものを導入しました。「お金をかけずに、SIerさんに外注せずに、改善できるものはどんどんやりましょう」と。
それから基幹システムは、減価償却終了次第クラウドに移行して、あまり管理に手間を掛からないようにする。オフィススイート365もクラウドのほうに移行しましょう、バージョン管理もちゃんとしましょうと。
そして資産管理は、リアルタイムアラートは要らないので、あとでログだけ見られるようにして、その分EDRを入れようということでセキュリティソフトを入れました。
資産管理のところを少し緩めた分、お金の掛からない部分で対策をしようということで、「内部不正をして、何か損害が起きたら損害金の一部を負担してもらいますよ」というのを就業規則に導入することで、社員の教育にもつながったということです。
そして、シンクライアントもやりすぎだろうということで、IDS/IPS、ネットワークとの入り口のところで、ある程度監視するツールとVPNを使う。これならできるんじゃないかということで、このようにIT予算を組み替えていって、セキュリティ予算も確保していったという取り組みでございます。
じゃあ、こういった2つのケースから何が言えるのか。これがまさに、今回の私の副題である「セキュリティはコストではなく戦略投資」という部分だと考えております。これは私が昨年やっていた企画の中で、当時の経済安保担当大臣の高市早苗大臣にインタビューさせていただく機会がありまして、その時におっしゃっていた言葉です。
こういった言葉自体は、他の方でもけっこう言ってらっしゃる方はいるんじゃないかなと思うので、それなりに広まっている気はするんですけれども。私の感覚では、実はかなり大企業さんでも、本当にこれが根づいている会社は、そこまでないんじゃないかなと思っております。
では、戦略投資を実践するために何が重要か。たくさんあると思うんですが、今回の2つのケースから言えるところとして、3つお話しさせていただきたいなと思います。
まずは「セキュリティ・バイ・デザイン」ですね。これは、本来は通常プロダクトの開発の時なんかに使う言葉でして、開発の最初の段階、デザインの段階からセキュリティを志向しましょうと。
プロダクトを開発した後にセキュリティを入れると、やはり手戻りが起きる。あるいは、早くローンチしたい開発部門と、慎重にいきたいセキュリティ部門の間でコンフリクトが起きるから、それだったら最初から入ってもらってうまくやっていこうというのが「セキュリティ・バイ・デザイン」ですね。
これはプロダクトの開発だけじゃなくて、コーポレートのセキュリティを考える上で非常に重要だと思っております。
どちらのケースも、「DXをする上でセキュリティも一緒に考えよう」ということで、予算を組みかえて確保できたということなのかなと思います。そのためにはやはり、主体的に社内の状況をわかった上で計画を立てられる人材が、どうしても必要なのかなと思います。
じゃあ、これを中堅・中小の人が雇えるかというと非常に難しい問題なんですが、最初のほうに見ていただいた記事の中に、こういった人材をシェアする事業に関する記事も載っておりますので、もしよかったらあとでご覧いただければなと思います。
それから、あくまでセキュリティのコストだけをオンするという考え方ではなくて、事業投資と合わせて、いわゆる「ムリ・ムダ・ムラ」といったものがないのかを考えて、セキュリティの予算、ITの予算を組み直していくと、戦略投資というかたちでできるんではないか。
戦略なので、他の戦略とバーターで予算を組み合わせていくことが重要なんじゃないかということですね。これを踏まえて、私見を述べさせていただきたい部分にお話を移りたいなと思います。
なぜ、ユーザー企業の記事を重視するのかというところですね。先ほどさわりをお話しましたが、より深くディスカッションをしたいなと思っております。
まず、先ほど言ったとおり非常に取材が大変です。感覚的にはNGがだいたい7割、受け入れてくれるのは3割ぐらいですかね。断られる理由として、だいたい(スライド)左にあるようなかたちで「そもそも(セキュリティの取材は)受け入れません」「なぜですか?」「昔から決まっている」と。
「だから、なぜだかをお聞きしたいんですけど」と言ったら、「もうわかる人はいませんね」みたいなかたちで断られちゃったり、「それ、そもそもうちにメリットありますかね?」と言われたり。
(NG理由の)3つ目は、理屈としてはちょっとわかるんですが、「セキュリティの話をすることで、次の攻撃につながり得るようなことがあるんじゃないかという懸念があります」と言われたりします。
一方で受けてくださるところは、記事が載ったあとに「セキュリティチームが非常に喜んでいます」「士気が上がりました」「いいPRになったので、リクルーティングの時にこういうことを紹介すると、しっかり取り組んでいる会社としてエンジニアが来てくれるんじゃないかなと期待しています」といった、うれしいお言葉をいただいています。
こういったことがあった時に、ふと思ったことがありました。セキュリティが戦略投資なのであれば、(セキュリティ対策を)やっているよという企業さんはPRをしてますか? というところを、マスコミ視点で意見具申したいなと思っております。
通常の戦略投資なのであれば、PRもその中に含まれるんじゃないかなと思うわけですね。PRすることによって知ってもらえるし、いろんな良い効果もあるので。もちろんセンシティブな話題なので、しゃべってはいけない情報は当然ありますよね。ただ、そこを区分けすること自体も、(通常の)PRの考え方の中でやっていることだと思うんです。
M&Aをする時にも、センシティブなところはしゃべらない。でも、しゃべるべきところはしゃべる。当たり前のことなんですが、これをセキュリティでやっているのかと。「昔から(取材を)受けないことにしてるんです」とシャットダウンしてしまうのは、ものすごい大手企業でも本当にあるんですね。
じゃあ、もうそれはPRの戦略ではないんじゃないですか? というところです。もちろん、攻撃を惹起するデメリットがゼロだとは思わないんですが、「セキュリティが強固なところに入ってやろう」というような愉快犯は、今はそこまでメインストリームじゃないのではないかなと思います。
むしろ効率性を重視する金銭目的のサイバー犯罪者からすれば、強固なところよりも、同じ規模で弱いところに行ったほうがよっぽどいいわけですから、もしかしたら逆に牽制するメリットもあるんじゃないかなとも思っています。
もちろんデメリットも考えられるので、そこは天秤にかけて考えるべきところなんですが、天秤に乗せる前に終わっていないですか?
ちなみに(スライドの)下に書いたのはNISC(内閣サイバーセキュリティセンター)の記事です。
富士通さんのクラウドのインシデントに関して取材をした時に、政府の公報対応もなっていないんではないかということで、NISCさんともかなり激しいやり取りをして「だめだよ」という記事を書きました。政府機関もなかなかPRができてないんじゃないかなと思ってます。
これは愚痴なんですが、実は逆側から見れば反省なんですね。マスメディアとして、今までセキュリティの報道があるべき姿になっていなかったことは、この状況の大きな原因の1つだと思っています。
例えば、セキュリティの報道がインシデントに偏り過ぎているんじゃないかと思うんですね。何かインシデントが起きた時に、その企業を非常に厳しく書く。必要がないとは申し上げませんが、それだけに偏っていたら、セキュリティの報道自体にネガティブなイメージを持つのは当然かなと思います。
そして、その場その場の場当たり的な記事が多くて、平時からどういうリスク管理をすべきだったのかという記事を書いているかと言ったら、非常にまだ少ないと思っています。
日経の柱の1つたるミクロの経済記事は、通常はたくさんあると思うんですが、それはふだんからしっかりと広報とで信頼関係を築いてきたことで、弊社の強みとなっているわけですね。ただ、こういった(スライド)上2つのような記事ばかり書いていては、そういった信頼関係も築けない。
例えば「日経に書いてもらえれば、ちゃんとした公平な視点から記事を書いてもらえる」という信頼関係も、残念ながら(セキュリティの話題では)まだあまりないんだろうなと思ってます。これは日本経済新聞として大いに反省すべきところだと、社としての意見ではございませんが、私の意見としては大いに抱いております。
(スライドを指しながら)本来あるべき姿ですね。もちろんこれだけじゃないです。ポジティブな記事だけを書くわけではないんですが、仮に事業のポジティブな記事を書く時はこういった循環が起こりうるんですね。
パブリック・リレーションがありまして、それを記事化しますと、それが企業にとっても人材や契約の獲得につながって、新規投資が回って、またパブリック・リレーションをしようというモチベーションが生まれるわけですね。
企業のいいところばかり書くわけじゃないというのは前提で、もちろんそればかりでは良くないんですが、逆にセキュリティはこれをまったくやってなかったからこそ、信頼関係は築けてなかったのかなと思います。そのため、ユーザー視点でしっかりとした戦略投資としての記事を書こうと考えているわけです。
その取り組みを1つだけ紹介させてください。私が「どうしてもやりたい」とずっと言っていた企画記事の連載が6月に始まりました。ユーザー企業さんの中で、インシデントが起きた企業さんが、その後どのように対策をがんばっているか。
むしろそういった企業の中に、先進的に対策に取り組んでトップランナーになっている企業があるんじゃないのかという問題意識で、そういった企業を取り上げようと。(インシデントが起きたことで)逆に、参考になる取り組みがたくさんあるんじゃないかというところをテーマにした企画ですね。
「七転八起」と書いて「シチテンバッキ」と読むんですが、まさにアンチフラジャイルですね。ナシーム・ニコラス・タレブさんの言葉ですけれども、簡単に言ってしまえば「ピンチをチャンスに」と言いますか、何かインシデントが起きた時に、それをチャンスに変える企業さんを紹介していこうという企画でございます。
このような取り組みをふだんからしております。というわけで、もしユーザー企業さんの中で「ぜひうちのセキュリティのPRもできるんじゃないか」とご検討がありましたら、信念を持ってやっておりますので、ぜひ寺岡までお声がけいただけるとありがたいなと思います。ご清聴ありがとうございました。
寺岡篤志氏 プロフィール:2008年、日本経済新聞社入社、社会部に所属。2014年にマウントゴックス社のビットコイン消失事件の取材にあたったことをきっかけにセキュリティ関連の取材に携わるように。2022年からセキュリティの専任記者。
2023年11月15日~16日の2日間に亘って、日本を代表するサイバーセキュリティの専門家や企業が集う、国内最大級のオンラインセキュリティカンファレンスが開催されました。サイバーセキュリティの最新動向や脅威への対策などを中心に計28セッションが開催され、そのうち19セッションを11月20日より順次ログミーでもお届けいたします。
株式会社網屋
関連タグ:
2024.12.12
会議で発言しやすくなる「心理的安全性」を高めるには ファシリテーションがうまい人の3つの条件
2024.12.19
12万通りの「資格の組み合わせ」の中で厳選された60の項目 532の資格を持つ林雄次氏の新刊『資格のかけ算』の見所
2024.12.16
32歳で成績最下位から1年でトップ営業になれた理由 売るテクニックよりも大事な「あり方」
2023.03.21
民間宇宙開発で高まる「飛行機とロケットの衝突」の危機...どうやって回避する?
2024.12.10
メールのラリー回数でわかる「評価されない人」の特徴 職場での評価を下げる行動5選
2024.12.13
ファシリテーターは「しゃべらないほうがいい」理由 入山章栄氏が語る、心理的安全性の高い場を作るポイント
PR | 2024.12.20
モンスター化したExcelが、ある日突然崩壊 昭和のガス工事会社を生まれ変わらせた、起死回生のノーコード活用術
2024.12.18
「社長以外みんな儲かる給与設計」にした理由 経営者たちが語る、優秀な人材集め・会社を発展させるためのヒント
2024.12.12
今までとこれからで、エンジニアに求められる「スキル」の違い AI時代のエンジニアの未来と生存戦略のカギとは
PR | 2024.11.26
なぜ電話営業はなくならない?その要因は「属人化」 通話内容をデータ化するZoomのクラウドサービス活用術
Climbers Startup JAPAN EXPO 2024 - 秋 -
2024.11.20 - 2024.11.21
『主体的なキャリア形成』を考える~資格のかけ算について〜
2024.12.07 - 2024.12.07
Startup CTO of the year 2024
2024.11.19 - 2024.11.19
社員の力を引き出す経営戦略〜ひとり一人が自ら成長する組織づくり〜
2024.11.20 - 2024.11.20
「確率思考」で未来を見通す 事業を成功に導く意思決定 ~エビデンス・ベースド・マーケティング思考の調査分析で事業に有効な予測手法とは~
2024.11.05 - 2024.11.05