サイバーセキュリティは経営課題
総合化学メーカーの旭化成は、7つの事業会社を中核に、「マテリアル」「住宅」「ヘルスケア」の3つの事業領域を展開。海外の企業の買収も多く、グローバルに事業を展開している。
旭化成では2022年に発表した中期経営計画において、重点テーマの一つに「デジタルトランスフォーメーション(DX)」を掲げ、各方面でDXを推進してきた。松本氏は「2016年以降、デジタル変革のロードマップを描き、デジタル人材の育成などを進めてきました。2024年からはデジタルノーマル期と位置づけ、全従業員4万人をデジタル人材化し、デジタルの力で経営を推進することに積極的にチャレンジしています」とデジタル変革のロードマップを解説した。こうした取り組みは社外からも評価され、3年連続で「DX銘柄」に選定されている。
旭化成 デジタル共創本部 IT統括部 セキュリティセンター センター長 松本直也氏
「当社に限らず、多くの企業にとってサプライチェーンのサイバーセキュリティは大きな課題だと思います」と松本氏。経済産業省とIPAがまとめた「サイバーセキュリティ経営ガイドライン」にも、セキュリティ担当者へ指示すべき項目の一つに「ビジネスパートナーや委託先等を含めたサプライチェーン全体の状況把握及び対策」が挙げられている。旭化成は、ビジネスパートナーのセキュリティ対策をチェックする立場であると同時に、自身もまたサプライチェーンの一部であり、取引先から「セキュリティはどうなっているのか」と問われる立場にもある。
そのためサイバーセキュリティに関するリスクをグループ重大リスクの一つに位置づけ、対策を強化。主な対策として「ゼロトラストの導入」「SOC/CSIRTの運用」「グローバルセキュリティの確保」「制御セキュリティの確立」「セキュリティ教育の実施」に取り組んでいるという。セッションではこのうち最初の3つについて詳述した。
ゼロトラストを実現するSD-WANやSASEをいち早く導入
まずはゼロトラストの導入についてだ。旭化成では、インターネット上で安全かつ便利に業務を行えるIT環境の実現のために、ネットワークを再構築した。その際、従来の境界型防御ではなく、ゼロトラストの考え方を取り入れたという。
具体的にはSD-WAN (Software Defined-WAN)やSASE(Secure Access Service Edge)を導入し、リモートアクセスの仕組みを刷新。さらにエンドポイントセキュリティとして、EPP(Endpoint Protection Platform)やEDR(Endpoint Detection and Response)を導入し、統合ログ管理ツールのSIEM(Security Information and Event Management)での統合監視も取り入れ、全体のセキュリティを強化した。
中でもSD-WANやSASEは2019年からいち早く検討を進めていたと振り返る。松本氏は「以前はインターネットの出入口をデータセンターに限っていましたが、ここがボトルネックになって、今後クラウドの利用が進まない状況になることが予見できました」と話す。そこで各拠点にインターネット回線を引き込み、いわゆるローカルブレークアウトを実現。単純比較は難しいが、インターネット向け通信帯域は約100倍になったという。
また、社内システムへは自社の端末であればクラウド認証基盤と連携したうえでVPN(仮想専用線)に自動接続できるようにし、セキュリティと利便性を両立。一部をインターネット回線へ切り替えたことでコストも抑えられた。こうした早めの準備が功を奏し、コロナ禍にも比較的すぐに対応できたという。松本氏は「事前に検討を始めていなければ、コロナ禍は乗り切れなかったかもしれません」と述べる。
