世界60ヵ国以上に展開の三井物産、セキュリティ施策を3ステップに集約 経営層の理解を得ながら推進
連結で500社超──専任のIT担当者不在のグループ企業向けに講じるWin-Winな対策とは?

日本だけでなく、海外にも支店やグループ企業を持つ巨大企業では、どのようにセキュリティ対策に取り組んでいるのか?──そんな疑問に答えるのが、世界62ヵ国と500の地域[1]を超える連結グループ企業を持つ三井物産の取り組みである。同社では、「セキュリティは終わりのない戦い」と考え、セキュリティを予防、実践するための鍛錬、インシデントが起こった際の対処を処置として3ステップのセキュリティ対策を構築しているという。
スコープを広げ、グループ全体の対策に着手
「Security Online Day 2024 春の陣」に登壇した三井物産 デジタル総合戦略部 デジタルインフラ室 マネージャーの奥原嵩大氏は、同社およびグループ会社のITインフラとサイバーセキュリティを担当している。セキュリティベンダーで社会人生活をスタートした奥原氏は、金融業界を中心にWebやプラットフォームの脆弱性診断、ペネトレーションテストやコンサルティングなどを経験した。その後、三井物産に入社し、当初はセキュリティとは関連しないプロジェクトに関わったが、2019年から現在の担当業務に就いているという。
周知の通り、奥原氏が所属する三井物産は巨大商社。「グローバル62ヵ国・地域に126拠点[1]があり、世界中でビジネスを行っております。連結グループ会社が500社超、連結従業員数は約4万7000名となっております」と奥原氏。

本社をはじめ、海外現地法人や一部のグループ会社に「三井物産ネットワーク」という名の独自ITインフラを提供している。これらには、ネットワークデバイス、クラウドおよびセキュリティも含んでいるという。
「三井物産ネットワークは、当部で企画、構築、管理、運用を行っており、何かインシデントが発生した場合も当部を中心に対応します。一方で、グループ会社の多くは三井物産ネットワークを利用しておらず、各社各様のITインフラを運営しています」(奥原氏)
企業をターゲットとしたサイバー攻撃は年々激化しており、被害も拡大している。サイバー攻撃が原因となってビジネスがストップするニュースも次々に報道されている。
「もはやサイバーセキュリティはIT部門だけの問題ではなく、経営課題であることは言うまでもないと思います。こういった状況の中、グループのサイバーセキュリティに対し、我々三井物産のセキュリティチームが担うスコープも広がってきています。少し前までは、三井物産のセキュリティチームの役割は、自分たちが管理する三井物産ネットワークのセキュリティ対策が中心で、三井物産ネットワーク外の関係会社は基本的に各社の取り組みに任せておりました。最近はこれを見直し、スコープを広げ、三井物産ネットワーク外も含むグループとしてのサイバーセキュリティガバナンスを効かせる活動や各種支援に力を入れています」(奥原氏)
NISTの考え方をベースに3つのコンセプトに集約
現在の三井物産ネットワークについて奥原氏は、「各領域において導入当時に最適な製品を選定しています。そのため、機能ごとに異なる製品を利用しており、ネットワーク経路や運用体制が分かれてしまっているという課題があります。そこで、これら機能を統合することによる効率化、品質向上を目指し、セキュリティサービスエッジ(SSE)の導入を進めています」と話す。現在ではSSE導入を進め、より効率的で快適なネットワーク環境作りを進めているという。

こうしたシステムと共にセキュリティ整備を進めてきた。
「クラウド、アプリ、デバイス、ネットワークを用いて、いつでもどこでも安全、快適にシステムを利用するためには、セキュリティは欠かせない重要な要素です。従来からのセキュリティ対策を高度化しつつ、グローバルで24時間365日を実現するセキュリティ監視、運用体制を確立しています。さらにゼロトラストに向けた取り組みと、サイバー攻撃を受けた場合の対応の高度化、サイバーレジリエンスの強化にも取り組んでいます。これらITインフラに関する取り組みは、グループ会社である三井情報と、セキュリティに関しては三井物産セキュアディレクション(MBSD)とともに進めています」(奥原氏)
同社がセキュリティ対策の基本としているのは、NISTのCybersecurity Framework(CSF)だ。CSFは、ITやセキュリティの専門家には理解しやすいものだが、経営層やIT部門以外の社員には伝わりにくい部分もある。
「NISTの考え方をベースに、病気対策に例え、予防・鍛錬・処置という3つのコンセプトで説明し、各種対策に取り組んでいます。当社だけで行うのは難しいので、三井物産セキュアディレクションとともに戦略を立て、企画、実行しています」(奥原氏)

[1] 2023年3月時点の数字
この記事は参考になりましたか?
- Security Online Day 2024 春の陣レポート連載記事一覧
-
- 黒井文太郎氏と考える「イスラエル・パレスチナ紛争のサイバー戦から日本の組織が学ぶべきこと」...
- 世界60ヵ国以上に展開の三井物産、セキュリティ施策を3ステップに集約 経営層の理解を得なが...
- 防衛省が語る「防衛産業サイバーセキュリティ基準」4つのポイント 企業が“保護すべき情報”を...
- この記事の著者
-
三浦 優子(ミウラ ユウコ)
日本大学芸術学部映画学科卒業後、2年間同校に勤務。1990年、コンピュータ・ニュース社(現・BCN)に記者として勤務。2003年、同社を退社し、フリーランスライターに。IT系Web媒体等で取材、執筆活動を行なっている。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア