最も重大な脆弱性は“ヒト”、ニトリのセキュリティ教育方法
セキュリティに関してはまだ技術的な課題が残っているものの、「最大の課題はシステムではなく“ヒトの教育”」だと大木氏は断言する。世界各地に現地法人があるものの、日本法人に比べればいずれも規模が小さいためセキュリティ専門人材を数多く雇うことは難しく、IT運用者や管理部門がセキュリティを兼務している状況だという。
攻撃者はセキュリティの守りが手薄なところから侵入してくるため、ニトリグループ全体の防御を固めるためには、海外拠点にいる人材にセキュリティ対策をよく理解した上で実践してもらう必要がある。しかし、「セキュリティポリシーなどの文書が日本語や英語ではうまく通じないことがあります」と大木氏。そもそも日本人でさえ、日本語で書かれたセキュリティに関する文書は専門用語が多く理解しづらいのに、国外のセキュリティ専門人材でもないスタッフに英語または日本語で伝えることは非常に難しい。大木氏は「まずは理解してもらわないと意味がないので、今はAIを用いてセキュリティに関するマニュアルやドキュメントを現地の言語に翻訳して活用しています」と対策について話す。
また、全社員向けにセキュリティのトレーニングも実施。トレーニングの最後にはクイズを出題し、正解率によって理解度を把握できるようにしている。すべてオンラインで実施しているため、誰がいつ受講し、クイズに何問正解したかも可視化できる仕組みだ。「セキュリティで一番弱いのは人です。この部分をいかに守れるかがカギになると思います」と大木氏は主張する。
現場を知る社員×専門知識をもつ社員で強い“守り”を
このようなセキュリティ対策を担っている情報セキュリティ室はまだ創設されて間もない。社内異動メンバーの他に、中途採用によって専門知識を持ったメンバーが多く在籍しており、元セキュリティベンダーやコンサルティングなどの専門家、別の事業会社出身者などが揃う。
ニトリをよく知るメンバーとセキュリティの専門知識を持つメンバーが混在することで、互いの知識を教え合い、補完し合う関係ができているという。たとえば、セキュリティ専門家が新しい取り組みを発案すると、ニトリ店舗の事情をよく知る社内出身者が「それだと店舗ではうまく回らない、このようにした方が良いのではないか」などと建設的な議論が進んでいくと大木氏は語る。
「現場を知っている人がセキュリティ組織にいるのは良いことだと思います。“守るべきもの”について精通している人のほうがより良いディフェンスの仕組みを作ることができますから。実店舗の運営、商品開発、物流現場など、実際に当事者として現場を経験した人がセキュリティを勉強して知識を持つことができれば、とても力強い存在になります」(大木氏)
