ニトリで初めてのCISOは弁護士出身
ニトリで最高情報セキュリティ責任者(CISO)を務める大木満氏は法務出身だ。アメリカの大学に留学し、1990年代にニューヨーク州で弁護士資格を取得して法律事務所で働いた経験をもつ。このころ、アメリカの法律事務所ではインターネットに接続して判例検索をするようになり、同時にコンピュータウィルスや情報漏えいが現実的な課題として浮上してきた。
このような経緯を間近で見ていたことから、大木氏はグローバル企業における法務とセキュリティに精通している。いくつかのグローバル企業で法務を歴任し、ニトリにも法務・リスク管理の担当として入社。当初、同社にセキュリティ担当はいたものの、情報セキュリティの専門部署がない状態だった。当時から軽微なセキュリティインシデントの解決に関与することもあり、経営層に「グローバル展開をしていく中で独立したセキュリティ部門がないと、ビジネスを優先してしまいがちでガバナンスが効かなくなる」と進言し、情報セキュリティ室の創設につなげたという。
情報セキュリティ室の室長には、ニトリで長らく開発や運用に携わりセキュリティの素養もある人物が就任した。後に経営会議で「経営とセキュリティ戦略をリンクさせる役割が必要」という指摘があり、CISOのポジションが創設され大木氏が担うことになったという。現在大木氏は経営層に対するセキュリティの現状説明や、セキュリティ戦略の策定と提案を行うことにフォーカスしている。
急速なグローバル化でサプライチェーンは“N対N”の構造に
ニトリのグローバル化に目を向けよう。同社がロマン(志)として掲げる「住まいの豊かさを世界の人々に提供する。」を実現すべく、積極的に事業のグローバル展開を進めている。グローバル化の第一歩は調達先から始まった。1986年から海外商品の直輸入を開始し、1989年にはシンガポールに現地法人を設立して以来、国外で物流センターや工場を広げている。販売店舗のうち、国外第1号店となったのは2007年にオープンした台湾の高雄夢時代店だ。近年はアジアを中心に急ピッチで進出を続け、2024年12月にはインドに初出店した。海外進出先としては11番目の国・地域となる。
当初は日本にしか販売店舗がなかったため、複数の海外調達先から日本へ材料が送られてくる“N対1”のルートだった。しかし、国外の販売店舗が増えると物流は一気に複雑化し、“N対N”の構造に変化する。
「サプライチェーンごとに脆弱性がありますから、守るべきルートが急激に増えたことがここ数年の大きな変化であり、最大の課題です」(大木氏)
事業をグローバル展開していくためには、各国の法規制対応が必須である。大木氏は「法律の中でも、スタンダードな部分で国ごとに内容が違う部分は割と明文化されており、守るべき対象が分かりやすいです。しかし、なかでも対応が難しいものに個人情報があります」と話す。個人情報は国によって対象も異なり、保存できる期間などに微妙な違いが多く存在する。そのため、一律のソリューションや施策をそのままグローバル展開できない難しさがあると大木氏は語る。
グローバル展開を進めるにあたっては、様々なセキュリティ対策を施してきた。かつては国ごとに守りを固める境界型防御にしていたものの、近年はグローバル化が進み、これまで通りの運用を続けるには限界があった。大木氏はこの点について、「国ごとにオンプレミスのサーバーを置いてファイアウォールを設定するといったやり方だとセキュリティ対策がボトルネックになり、事業展開のスピードを損なう懸念が出てきました」と説明する。
そこで新しく導入するシステムは極力SaaSやクラウドネイティブなソリューションにするように舵を切った。ニトリグループの標準的なセッティングを定め、それに準拠するようにクラウドのソリューションを適用していく運用に変えていった。
特に意識していることは、「セキュリティ強化と運用の利便性を両立すること」だと大木氏。「社員に長くて複雑なパスワードを強制したり、頻繁に変更させたりすることは嫌がられますので、もう一切やりません。基本的には多要素認証を使い、パスワードは覚えなくていい方向にしています。ゼロトラストで認証を重視するにしても、パスワードを忘れてリセットに手間がかかるなど使い勝手が悪いと生産性が落ちてしまいます」と言う。
