スコープを広げ、グループ全体の対策に着手
「Security Online Day 2024 春の陣」に登壇した三井物産 デジタル総合戦略部 デジタルインフラ室 マネージャーの奥原嵩大氏は、同社およびグループ会社のITインフラとサイバーセキュリティを担当している。セキュリティベンダーで社会人生活をスタートした奥原氏は、金融業界を中心にWebやプラットフォームの脆弱性診断、ペネトレーションテストやコンサルティングなどを経験した。その後、三井物産に入社し、当初はセキュリティとは関連しないプロジェクトに関わったが、2019年から現在の担当業務に就いているという。
周知の通り、奥原氏が所属する三井物産は巨大商社。「グローバル62ヵ国・地域に126拠点[1]があり、世界中でビジネスを行っております。連結グループ会社が500社超、連結従業員数は約4万7000名となっております」と奥原氏。
本社をはじめ、海外現地法人や一部のグループ会社に「三井物産ネットワーク」という名の独自ITインフラを提供している。これらには、ネットワークデバイス、クラウドおよびセキュリティも含んでいるという。
「三井物産ネットワークは、当部で企画、構築、管理、運用を行っており、何かインシデントが発生した場合も当部を中心に対応します。一方で、グループ会社の多くは三井物産ネットワークを利用しておらず、各社各様のITインフラを運営しています」(奥原氏)
企業をターゲットとしたサイバー攻撃は年々激化しており、被害も拡大している。サイバー攻撃が原因となってビジネスがストップするニュースも次々に報道されている。
「もはやサイバーセキュリティはIT部門だけの問題ではなく、経営課題であることは言うまでもないと思います。こういった状況の中、グループのサイバーセキュリティに対し、我々三井物産のセキュリティチームが担うスコープも広がってきています。少し前までは、三井物産のセキュリティチームの役割は、自分たちが管理する三井物産ネットワークのセキュリティ対策が中心で、三井物産ネットワーク外の関係会社は基本的に各社の取り組みに任せておりました。最近はこれを見直し、スコープを広げ、三井物産ネットワーク外も含むグループとしてのサイバーセキュリティガバナンスを効かせる活動や各種支援に力を入れています」(奥原氏)
NISTの考え方をベースに3つのコンセプトに集約
現在の三井物産ネットワークについて奥原氏は、「各領域において導入当時に最適な製品を選定しています。そのため、機能ごとに異なる製品を利用しており、ネットワーク経路や運用体制が分かれてしまっているという課題があります。そこで、これら機能を統合することによる効率化、品質向上を目指し、セキュリティサービスエッジ(SSE)の導入を進めています」と話す。現在ではSSE導入を進め、より効率的で快適なネットワーク環境作りを進めているという。
こうしたシステムと共にセキュリティ整備を進めてきた。
「クラウド、アプリ、デバイス、ネットワークを用いて、いつでもどこでも安全、快適にシステムを利用するためには、セキュリティは欠かせない重要な要素です。従来からのセキュリティ対策を高度化しつつ、グローバルで24時間365日を実現するセキュリティ監視、運用体制を確立しています。さらにゼロトラストに向けた取り組みと、サイバー攻撃を受けた場合の対応の高度化、サイバーレジリエンスの強化にも取り組んでいます。これらITインフラに関する取り組みは、グループ会社である三井情報と、セキュリティに関しては三井物産セキュアディレクション(MBSD)とともに進めています」(奥原氏)
同社がセキュリティ対策の基本としているのは、NISTのCybersecurity Framework(CSF)だ。CSFは、ITやセキュリティの専門家には理解しやすいものだが、経営層やIT部門以外の社員には伝わりにくい部分もある。
「NISTの考え方をベースに、病気対策に例え、予防・鍛錬・処置という3つのコンセプトで説明し、各種対策に取り組んでいます。当社だけで行うのは難しいので、三井物産セキュアディレクションとともに戦略を立て、企画、実行しています」(奥原氏)
[1] 2023年3月時点の数字
