予算をかけて工数が減っても、浮いた時間は雑務に消える……　セキュリティ対策の“落とし穴”から考える、IT戦略の3つの要点

創業120年の老舗企業がDXコンサルの子会社を設立

寺岡篤志氏：そして次のケース。太田油脂さん、グローカルビジネスソリューションズさんにお話を移したいと思います。太田油脂さんは、創業120年ぐらいの非常に老舗の油脂製品の製造販売で、他にも食品なんかもいくつかやっていらっしゃいます。売上高、従業員数はご覧のとおりです。

太田油脂さんが2021年に子会社として設立したのが、グローカルビジネスソリューションズ、通称GBSですね。事業内容としては、DXやセキュリティのコンサルタントと、非常に珍しいパターンではないかなと思います。

太田油脂さんでDXやセキュリティの改革をしていく中で、「この知見をローカルに広めていこう」ということで、もちろん（従業員は）兼務なんですが、コンサルタントも始めようという、非常に珍しいケースかなと思っております。

取り組みの経緯です。2019年から2020年にかけて、太田油脂さんの中で「DX推進室」というものが設立されます。やはりDXを進めないといけないなということで、社長さんが危機感を持って進められました。

これは非常にいいタイミングと言ってはなんですが、元大手コンサルのITの担当者で、かなりご経験のある方に事情があって、愛知県の田舎のほうに戻られてお仕事をされるというきっかけがあったんです。

この時に太田油脂さんが「じゃあ、この人に来てもらおう」ということで、どうもかなりお給料を奮発したということなんですが、意思と危機感を持って、こういった方を獲得して、ここからかなり大きな改革が始まりました。

DX推進室を設立後、まずは人材育成に注力

テーマとしては、まず人材教育です。ソーシャルエンジニアリング対策ですね。だいたい7割から8割は、ソーシャルエンジニアリング、つまりメールなどを通して人を騙してIDを取ったり、マルウェアを展開させたりする（ケースです）。そういった技術の対策をやることがまずは大事だろうと。

それから、プラスセキュリティ人材。つまり事業部とセキュリティチームの橋渡しをして、例えばセキュリティポリシーをちゃんと理解してもらうとか、何か起きた時に情報のチャネルとなる人材を「プラスセキュリティ人材」と言いますが、そういった人たちを育成していこうということで、人材教育に熱心に取り組まれていらっしゃいます。

IT関係の初級の資格なんかも、社員さんがみなさん取っていらっしゃったりするようです。それから、IT予算自体はかなり組み直しまして、端末には基本的に全部EDRを導入していらっしゃいます。

こういったセキュリティ改革を、先ほど言ったようにローカルのコミュニティで広めようと。GBSさんの取り組み以外にも、こういった人材教育の場を他の会社さんにタダで開放したり。

それからTTX、テーブルトップエクササイズですね。「机上演習」と言ったりしますが、攻撃が起きた時に迅速な経営判断ができるようにする、防災訓練みたいなものですね。こういったものを地域の自治体さんや行政と連携して展開したり、今後は自社でもやっていかれるということでした。

1億円以上の予算をかけた業務改善がうまくいかなかった事例

GBSのあるクライアントさんの改革に関して、かなり詳しい話を聞いたものがおもしろかったです。かなりディープな話も聞いたので、匿名でということなんですが、まさに太田油脂さんの改革の中で培った知見がそのまま活かされている事例ということで、非常にわかりやすいので紹介をさせていただきたいなと思います。

まず、GBSさんが改革の上で1つの指標として掲げていらっしゃるのは、1人当たりのIT予算なんですね。このクライアントさんでは平均の倍程度もあったそうなんです。その理由として、年間50件以上も基盤システムの改修をしていたからだと。

改善をしようと企業としても奨励をしていたんですが、そのために年間1億円以上の出費があった。これをGBSさんは「カイゼンの呪い」とおっしゃっていました。このクライアントさんは製造業なんですが、（製造業）らしいエピソードかなと思います。

ただ、もちろん改善自体はいいんですが、工数が削減されたところで生産性のある仕事が新たに生まれたかというと、「ちょっと手が空いた分、書類整理をします」とか、事業自体の成長につながる部分が非常に少なかったということでした。

せっかくツールを入れても有効活用されずに形骸化

改善に使うIT予算は各事業部に割り振られていて、基本的にはある程度自由に、良い面も悪い面もあるかと思うんですが、裁量を持って使えていた。それからオフィススイート、つまりWordやExcelなんかも事業部ごとに単発で購入して、バージョンもバラバラ。

ふせんを貼って「これをインストールした人は貼ってください」というような、最低限「誰が入れているか」という管理はしていたんですが、かなりアナログな管理で、なかなかバージョン管理ができていなかった。

それからリアルタイムの資産管理ですね。例えばUSBを挿してしまったとか、ホワイトリストにないアプリケーションを入れてしまうと、アラートが鳴るようなリアルタイムの資産管理を入れていたんですが、実際にこのアラートをちゃんとリアルタイムに見ている人がいたかと言ったら、いなかった。

それから、この時期にリモートワークをやろうとしてたんですが、シンクライアントを導入しようと。（社内のサーバーと端末を）つないで、外部にはデータを一切出さない。

こういった、リアルタイムな資産管理やシンクライアントというのは、果たしてここまでやる必要はあったのか？　この部分を削って他に回せるんじゃないの？　といった部分を見ていったわけですね。

外注に頼りすぎず、できることは社内で改善

改修案件は情シスの体制を強化して、一括で管理できるようにしようと。もちろん提案は出してもらうけれども、「ワークロードが減ります」というだけじゃなくて、その先にしっかりした事業効果や、何があるかまで見込めないものは取り下げるようにしました。

その代わりRPA、簡単にノーコードで書ける改善ツールみたいなものを導入しました。「お金をかけずに、SIerさんに外注せずに、改善できるものはどんどんやりましょう」と。

それから基幹システムは、減価償却終了次第クラウドに移行して、あまり管理に手間を掛からないようにする。オフィススイート365もクラウドのほうに移行しましょう、バージョン管理もちゃんとしましょうと。

そして資産管理は、リアルタイムアラートは要らないので、あとでログだけ見られるようにして、その分EDRを入れようということでセキュリティソフトを入れました。

資産管理のところを少し緩めた分、お金の掛からない部分で対策をしようということで、「内部不正をして、何か損害が起きたら損害金の一部を負担してもらいますよ」というのを就業規則に導入することで、社員の教育にもつながったということです。

そして、シンクライアントもやりすぎだろうということで、IDS／IPS、ネットワークとの入り口のところで、ある程度監視するツールとVPNを使う。これならできるんじゃないかということで、このようにIT予算を組み替えていって、セキュリティ予算も確保していったという取り組みでございます。

セキュリティは「コスト」ではなく「戦略投資」

じゃあ、こういった2つのケースから何が言えるのか。これがまさに、今回の私の副題である「セキュリティはコストではなく戦略投資」という部分だと考えております。これは私が昨年やっていた企画の中で、当時の経済安保担当大臣の高市早苗大臣にインタビューさせていただく機会がありまして、その時におっしゃっていた言葉です。

こういった言葉自体は、他の方でもけっこう言ってらっしゃる方はいるんじゃないかなと思うので、それなりに広まっている気はするんですけれども。私の感覚では、実はかなり大企業さんでも、本当にこれが根づいている会社は、そこまでないんじゃないかなと思っております。

では、戦略投資を実践するために何が重要か。たくさんあると思うんですが、今回の2つのケースから言えるところとして、3つお話しさせていただきたいなと思います。

まずは「セキュリティ・バイ・デザイン」ですね。これは、本来は通常プロダクトの開発の時なんかに使う言葉でして、開発の最初の段階、デザインの段階からセキュリティを志向しましょうと。

プロダクトを開発した後にセキュリティを入れると、やはり手戻りが起きる。あるいは、早くローンチしたい開発部門と、慎重にいきたいセキュリティ部門の間でコンフリクトが起きるから、それだったら最初から入ってもらってうまくやっていこうというのが「セキュリティ・バイ・デザイン」ですね。

これはプロダクトの開発だけじゃなくて、コーポレートのセキュリティを考える上で非常に重要だと思っております。

IT予算の見直しは、事業投資と合わせて計画

どちらのケースも、「DXをする上でセキュリティも一緒に考えよう」ということで、予算を組みかえて確保できたということなのかなと思います。そのためにはやはり、主体的に社内の状況をわかった上で計画を立てられる人材が、どうしても必要なのかなと思います。

じゃあ、これを中堅・中小の人が雇えるかというと非常に難しい問題なんですが、最初のほうに見ていただいた記事の中に、こういった人材をシェアする事業に関する記事も載っておりますので、もしよかったらあとでご覧いただければなと思います。

それから、あくまでセキュリティのコストだけをオンするという考え方ではなくて、事業投資と合わせて、いわゆる「ムリ・ムダ・ムラ」といったものがないのかを考えて、セキュリティの予算、ITの予算を組み直していくと、戦略投資というかたちでできるんではないか。

戦略なので、他の戦略とバーターで予算を組み合わせていくことが重要なんじゃないかということですね。これを踏まえて、私見を述べさせていただきたい部分にお話を移りたいなと思います。

自社のセキュリティについての取材は「7割」の企業がNG

なぜ、ユーザー企業の記事を重視するのかというところですね。先ほどさわりをお話しましたが、より深くディスカッションをしたいなと思っております。

まず、先ほど言ったとおり非常に取材が大変です。感覚的にはNGがだいたい7割、受け入れてくれるのは3割ぐらいですかね。断られる理由として、だいたい（スライド）左にあるようなかたちで「そもそも（セキュリティの取材は）受け入れません」「なぜですか？」「昔から決まっている」と。

「だから、なぜだかをお聞きしたいんですけど」と言ったら、「もうわかる人はいませんね」みたいなかたちで断られちゃったり、「それ、そもそもうちにメリットありますかね？」と言われたり。

（NG理由の）3つ目は、理屈としてはちょっとわかるんですが、「セキュリティの話をすることで、次の攻撃につながり得るようなことがあるんじゃないかという懸念があります」と言われたりします。

一方で受けてくださるところは、記事が載ったあとに「セキュリティチームが非常に喜んでいます」「士気が上がりました」「いいPRになったので、リクルーティングの時にこういうことを紹介すると、しっかり取り組んでいる会社としてエンジニアが来てくれるんじゃないかなと期待しています」といった、うれしいお言葉をいただいています。

セキュリティ施策も企業のPR要素になりうる

こういったことがあった時に、ふと思ったことがありました。セキュリティが戦略投資なのであれば、（セキュリティ対策を）やっているよという企業さんはPRをしてますか？　というところを、マスコミ視点で意見具申したいなと思っております。

通常の戦略投資なのであれば、PRもその中に含まれるんじゃないかなと思うわけですね。PRすることによって知ってもらえるし、いろんな良い効果もあるので。もちろんセンシティブな話題なので、しゃべってはいけない情報は当然ありますよね。ただ、そこを区分けすること自体も、（通常の）PRの考え方の中でやっていることだと思うんです。

M&Aをする時にも、センシティブなところはしゃべらない。でも、しゃべるべきところはしゃべる。当たり前のことなんですが、これをセキュリティでやっているのかと。「昔から（取材を）受けないことにしてるんです」とシャットダウンしてしまうのは、ものすごい大手企業でも本当にあるんですね。

じゃあ、もうそれはPRの戦略ではないんじゃないですか？　というところです。もちろん、攻撃を惹起するデメリットがゼロだとは思わないんですが、「セキュリティが強固なところに入ってやろう」というような愉快犯は、今はそこまでメインストリームじゃないのではないかなと思います。

むしろ効率性を重視する金銭目的のサイバー犯罪者からすれば、強固なところよりも、同じ規模で弱いところに行ったほうがよっぽどいいわけですから、もしかしたら逆に牽制するメリットもあるんじゃないかなとも思っています。

もちろんデメリットも考えられるので、そこは天秤にかけて考えるべきところなんですが、天秤に乗せる前に終わっていないですか？

セキュリティ報道に関する、マスメディア側の反省点

ちなみに（スライドの）下に書いたのはNISC（内閣サイバーセキュリティセンター）の記事です。

富士通さんのクラウドのインシデントに関して取材をした時に、政府の公報対応もなっていないんではないかということで、NISCさんともかなり激しいやり取りをして「だめだよ」という記事を書きました。政府機関もなかなかPRができてないんじゃないかなと思ってます。

これは愚痴なんですが、実は逆側から見れば反省なんですね。マスメディアとして、今までセキュリティの報道があるべき姿になっていなかったことは、この状況の大きな原因の1つだと思っています。

例えば、セキュリティの報道がインシデントに偏り過ぎているんじゃないかと思うんですね。何かインシデントが起きた時に、その企業を非常に厳しく書く。必要がないとは申し上げませんが、それだけに偏っていたら、セキュリティの報道自体にネガティブなイメージを持つのは当然かなと思います。

そして、その場その場の場当たり的な記事が多くて、平時からどういうリスク管理をすべきだったのかという記事を書いているかと言ったら、非常にまだ少ないと思っています。

マスコミが果たすべき役割とは

日経の柱の1つたるミクロの経済記事は、通常はたくさんあると思うんですが、それはふだんからしっかりと広報とで信頼関係を築いてきたことで、弊社の強みとなっているわけですね。ただ、こういった（スライド）上2つのような記事ばかり書いていては、そういった信頼関係も築けない。

例えば「日経に書いてもらえれば、ちゃんとした公平な視点から記事を書いてもらえる」という信頼関係も、残念ながら（セキュリティの話題では）まだあまりないんだろうなと思ってます。これは日本経済新聞として大いに反省すべきところだと、社としての意見ではございませんが、私の意見としては大いに抱いております。

（スライドを指しながら）本来あるべき姿ですね。もちろんこれだけじゃないです。ポジティブな記事だけを書くわけではないんですが、仮に事業のポジティブな記事を書く時はこういった循環が起こりうるんですね。

パブリック・リレーションがありまして、それを記事化しますと、それが企業にとっても人材や契約の獲得につながって、新規投資が回って、またパブリック・リレーションをしようというモチベーションが生まれるわけですね。

企業のいいところばかり書くわけじゃないというのは前提で、もちろんそればかりでは良くないんですが、逆にセキュリティはこれをまったくやってなかったからこそ、信頼関係は築けてなかったのかなと思います。そのため、ユーザー視点でしっかりとした戦略投資としての記事を書こうと考えているわけです。

インシデントをチャンスに変えた企業も

その取り組みを1つだけ紹介させてください。私が「どうしてもやりたい」とずっと言っていた企画記事の連載が6月に始まりました。ユーザー企業さんの中で、インシデントが起きた企業さんが、その後どのように対策をがんばっているか。

むしろそういった企業の中に、先進的に対策に取り組んでトップランナーになっている企業があるんじゃないのかという問題意識で、そういった企業を取り上げようと。（インシデントが起きたことで）逆に、参考になる取り組みがたくさんあるんじゃないかというところをテーマにした企画ですね。

「七転八起」と書いて「シチテンバッキ」と読むんですが、まさにアンチフラジャイルですね。ナシーム・ニコラス・タレブさんの言葉ですけれども、簡単に言ってしまえば「ピンチをチャンスに」と言いますか、何かインシデントが起きた時に、それをチャンスに変える企業さんを紹介していこうという企画でございます。

このような取り組みをふだんからしております。というわけで、もしユーザー企業さんの中で「ぜひうちのセキュリティのPRもできるんじゃないか」とご検討がありましたら、信念を持ってやっておりますので、ぜひ寺岡までお声がけいただけるとありがたいなと思います。ご清聴ありがとうございました。