「なんとかしなくては」危機感からリーダーに立候補
酒井真弓(以下、酒井):ヤマハ発動機が、サイバーセキュリティに注力するようになったきっかけは何だったのでしょうか。
蔦木加代子(以下、蔦木):大きな転機は、2017年に世界中で流行したランサムウェア「WannaCry」です。ヤマハ発動機もグループ会社を発端に、10ヵ所以上で感染が確認されました。当時はまだ、サイバーセキュリティの専門チームがなく、技術的に尖ったメンバー数人で対応に当たりました。
すぐにマイクロソフトから緊急パッチが出て、日本国内は即対応できました。でも海外拠点は、パッチを当てたかを聞くしかない。結局、すべて確認し終わるまでに半年ほどかかりました。当時インフラ担当だった私は、この状況をそばで見て「どうにかしなければ」と考えていました。その後、海外拠点を含めたサイバーセキュリティ対応状況や対策を、より本社主導で進める必要があると考え、自分で手を挙げて、リーダーになりました。それが、2018年のことです。
経営層から、何をやるべきで、いくらかかるのかを問われましたが、その当時は対応状況を把握できておらず、はっきりと答えられませんでした。そこで、まずはNIST(米国国立標準技術研究所)のサイバーセキュリティフレームワークを参考に現状把握を開始。国内から始めて、徐々にグローバルにも視野を広げ、各国の対策状況をマッピングしていきました。
すると、資産管理やパッチ管理など、「できている」と思われていた基本的な部分に課題があることが分かりました。そこで、当社の実情に合わせて、独自のグローバル共通セキュリティフレームワークを作り、「ここまでは本社が担当、ここからは各拠点」という役割分担を明確にしたガイドラインを策定しました。
ヤマハ発動機株式会社 IT本部 プロセス・IT部
サイバーセキュリティ戦略グループ グループリーダー 蔦木加代子さん
酒井:ヤマハ発動機は、世界38ヵ国5万3000人を超える社員がいます。本社と各エリアの役割分担を決めていくことも大変だったのではないかと想像します。
蔦木:これには、2010年から運用されている「GIGC(グローバルITガバナンスコミッティ)」という、グローバルITガバナンス体制が活きました。日本から全拠点に個別に展開するのではなく、日本と各リージョンのヘッドクオーターとの間で認識を合わせ、各国に展開してもらうという体制を作っているんです。
GIGCでは年に一度、グローバル会議を開催します。本会議は2日間ですが、前後1週間かけて各地域との個別ミーティングも実施しています。サイバーセキュリティは各国共通の課題なので、この場で相談やリクエストがたくさん出てきます。
酒井:ガバナンス体制の構築とリアルなコミュニケーションを重ね、グローバル全体でサイバーセキュリティの強化を図っているんですね。
蔦木:ただ、本社が言っているからといって、全リージョンが素直に聞いてくれるような社風ではありません。でも、明らかな間違いには気づいてほしいので、昨年はインシデント対応のワークショップも実施しました。
酒井:どんな内容だったんですか?
蔦木:トヨタ自動車から許可をいただき、同社が実施しているワークショップを英語版にアレンジしました。ランサムウェア・インシデントのモデルケースについて、対応手順をカードで並べ替えてもらうんです。その中に、やってはいけない対応も混ぜておく。たとえば「ランサムウェアに感染したらすぐにPCを初期化」とか。
酒井:なるほど、ひっかけがあるということですね。
蔦木:テーブルごとに見比べると、国や地域で少しずつ答えが違ってくるんです。日本人の言うことはあまり聞かないような人も、他の国の人が言うと「そうなの?」と聞いてくれたりすることもあります。国や人によっては遠慮して発言できない場合もあるので、「ヨーロッパの答えについてどう思う?」と振ってあげたり。そうやって、みんなで気づきを共有し合っています。
