SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

EnterpriseZine Day 2024 Summer

2024年6月25日(火)オンライン開催

予期せぬ事態に備えよ! クラウドで実現するIT-BCP対策 powered by EnterpriseZine

2024年7月10日(水)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

Security Online Press

攻撃者に“侵入の隙”を与えない──三井不動産が「グローバルIPを守る」ためにしていること

資産として把握していないものにスポットライトを当てる

 三井不動産は長期経営方針「VISION 2025」において、3つの基本ストラテジーの一つとして、「テクノロジーを活用し、不動産業そのものをイノベーション」を掲げています。その実現のため、事業本部とイノベーション部門が連携し、街づくりにおいて新たな価値創造に取り組んでいます。同社内の各事業本部はもちろん、グループ各社やパートナー企業とも協業しながら同社におけるDXの推進基盤を整備する役割を担うのが、3つの部門(DX一部、DX二部、DX三部)から構成されるDX本部です。ここで注目したいのは、サイバーセキュリティを担当するチームがITインフラ全般をカバーするDX一部に含まれていること。三井不動産という国内トップシェアを誇る巨大企業グループのDX推進において、セキュリティチームはどのような役割を果たしているのか。同社 DX一部 DXグループ サイバーセキュリティチーム 技術主事の西下宗志氏に話を伺いました。

経営層がセキュリティの重要さを理解

──西下さんが所属するDX本部(DX一部)のサイバーセキュリティチームは具体的にはどんな業務を担当されているのでしょうか。

 サイバーセキュリティチーム全体は15名ほどで、さらに3つの小チームに分かれています。1つ目はガバナンス担当チームで、各部門やグループ各社が定められたセキュリティルールを遵守できているかを点検しており、年度末にはグループ全体の対策状況を経営層に報告しています。2つ目はセキュリティインフラを構築/運用するチームで、SIEM(セキュリティ情報イベント管理)やEDRの展開もこのチームの担当です。そして3つ目がインシデント対応を統括するチームで、私はここの業務がメインです。一般的にCSIRT(Computer Security Incident Response Team)と呼ばれる組織が担当する業務、たとえばサイバーセキュリティに関連する脅威/脆弱性情報の収集、セキュリティツールの評価や導入や管理、運用などを日々行っています。

画像を説明するテキストなくても可

引用:「DX白書2023」(PDF)

[クリックすると拡大します]

 経営層から明示的に言われているわけではないのですが、我々インシデント対応チームが目指しているゴールは「三井不動産グループのセキュリティインシデントをゼロにすること」。もちろん、完全にゼロにすることは難しく、ときには対策漏れなどが生じてしまうケースもなくはありません。しかしチームとしては常にゼロを目指さないといけないと思っています。そして何かインシデントが起こった場合でも迅速に動ける体制を維持しておくことを心掛けています。

──サイバーセキュリティチームがDX本部に含まれていることからも、御社の経営層がセキュリティにコミットしている姿勢がうかがえます。

 そうですね。経営層がセキュリティへの投資に理解があるので、組織的にコミットしやすいということもあると思います。ただ、サイバーセキュリティは効果が見えにくい活動であり、経営層にとって投資の判断が難しい分野であることは変わりません。そのため我々は攻撃やリスクの可視化をなるべく行い、経営層が判断しやすい材料を提供するようにしています。たとえば「当社に対してどのくらいの数の攻撃が毎日来ているのか」「それに対してどの程度の対策ができているのか」「現在どんなリスクを抱えているのか」「それに対してどのくらいコストをかけているのか」といったこと。できるだけ見える化し、経営層の投資判断をサポートすることは、サイバーセキュリティチームにとっての重要な仕事の一つです。

画像を説明するテキストなくても可
三井不動産 DX一部 DXグループ サイバーセキュリティチーム 技術主事 西下宗志氏

 もちろん、可視化さえすれば経営層の理解を得られるわけではありません。ただ、当社の場合、DXやIT以前に、サービスの提供には信頼関係が重要という考えが深く根付いています。サイバーセキュリティチームは「三井不動産グループ全体を守る」というミッションのもとで動いており、当然ながらそのことは経営層も理解しています。だからセキュリティチームがセキュリティに関する活動を展開しようとしているなら、その担当者の声をまずは聞いてもらえるんです。既にこうした土壌があるので、動きやすいというのはありますね。私は2018年3月に中途入社したのですが、正直、入社前は「三井不動産はDXに関してはいろいろ取り組んでいるが、セキュリティはあまりやってないだろうな」と思っていました。でも実際に入ってみると、人数はそれほど多くないけれど必要な分野にはきちんとセキュリティリソースを割いていて、トップのセキュリティに対する感度も高いことを実感しました。

次のページ
攻撃は高度化しているものの“入口”は変わっていない

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
Security Online Press連載記事一覧

もっと読む

この記事の著者

五味明子(ゴミ アキコ)

IT系出版社で編集者としてキャリアを積んだのち、2011年からフリーランスライターとして活動中。フィールドワークはオープンソース、クラウドコンピューティング、データアナリティクスなどエンタープライズITが中心で海外カンファレンスの取材が多い。
Twitter(@g3akk)や自身のブログでITニュース...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

小山 奨太(編集部)(コヤマ ショウタ)

EnterpriseZine編集部所属。製造小売業の情報システム部門で運用保守、DX推進などを経験。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/18795 2023/12/22 08:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング