攻撃者に“侵入の隙”を与えない──三井不動産が「グローバルIPを守る」ためにしていること

経営層がセキュリティの重要さを理解

──西下さんが所属するDX本部（DX一部）のサイバーセキュリティチームは具体的にはどんな業務を担当されているのでしょうか。

　サイバーセキュリティチーム全体は15名ほどで、さらに3つの小チームに分かれています。1つ目はガバナンス担当チームで、各部門やグループ各社が定められたセキュリティルールを遵守できているかを点検しており、年度末にはグループ全体の対策状況を経営層に報告しています。2つ目はセキュリティインフラを構築/運用するチームで、SIEM（セキュリティ情報イベント管理）やEDRの展開もこのチームの担当です。そして3つ目がインシデント対応を統括するチームで、私はここの業務がメインです。一般的にCSIRT（Computer Security Incident Response Team）と呼ばれる組織が担当する業務、たとえばサイバーセキュリティに関連する脅威／脆弱性情報の収集、セキュリティツールの評価や導入や管理、運用などを日々行っています。

　経営層から明示的に言われているわけではないのですが、我々インシデント対応チームが目指しているゴールは「三井不動産グループのセキュリティインシデントをゼロにすること」。もちろん、完全にゼロにすることは難しく、ときには対策漏れなどが生じてしまうケースもなくはありません。しかしチームとしては常にゼロを目指さないといけないと思っています。そして何かインシデントが起こった場合でも迅速に動ける体制を維持しておくことを心掛けています。

──サイバーセキュリティチームがDX本部に含まれていることからも、御社の経営層がセキュリティにコミットしている姿勢がうかがえます。

　そうですね。経営層がセキュリティへの投資に理解があるので、組織的にコミットしやすいということもあると思います。ただ、サイバーセキュリティは効果が見えにくい活動であり、経営層にとって投資の判断が難しい分野であることは変わりません。そのため我々は攻撃やリスクの可視化をなるべく行い、経営層が判断しやすい材料を提供するようにしています。たとえば「当社に対してどのくらいの数の攻撃が毎日来ているのか」「それに対してどの程度の対策ができているのか」「現在どんなリスクを抱えているのか」「それに対してどのくらいコストをかけているのか」といったこと。できるだけ見える化し、経営層の投資判断をサポートすることは、サイバーセキュリティチームにとっての重要な仕事の一つです。

　もちろん、可視化さえすれば経営層の理解を得られるわけではありません。ただ、当社の場合、DXやIT以前に、サービスの提供には信頼関係が重要という考えが深く根付いています。サイバーセキュリティチームは「三井不動産グループ全体を守る」というミッションのもとで動いており、当然ながらそのことは経営層も理解しています。だからセキュリティチームがセキュリティに関する活動を展開しようとしているなら、その担当者の声をまずは聞いてもらえるんです。既にこうした土壌があるので、動きやすいというのはありますね。私は2018年3月に中途入社したのですが、正直、入社前は「三井不動産はDXに関してはいろいろ取り組んでいるが、セキュリティはあまりやってないだろうな」と思っていました。でも実際に入ってみると、人数はそれほど多くないけれど必要な分野にはきちんとセキュリティリソースを割いていて、トップのセキュリティに対する感度も高いことを実感しました。