インシデント発生で“自前主義”にメスを入れたニトリCISO──セキュリティをグローバル展開の推進力に

“自前主義”貫くニトリのビジネスとIT戦略

　「お、ねだん以上。」のキャッチコピーで広く知られ、家具・インテリア用品を提供する国内大手小売企業のニトリグループ。手ごろな価格帯で高品質の商品を提供し続ける秘訣は、独自のビジネスモデル「製造物流IT小売業」にある。商品の企画から原材料の調達、製造、物流、販売までを一気通貫で担うこのモデルは、外部委託では見えにくい原価や運用コストを可視化することで、コスト管理と品質向上を両立させている。ニトリホールディングスのCISO兼 情報セキュリティ室室長の鈴木一史氏は、その根底にある理念を「自前主義」と説明する。

　この自前主義はIT分野でも健在だ。同グループは1996年にシステムの内製化に着手し、汎用機から脱却してPCベースの基幹システムを稼働させた。現在では、システムの8割超を内製で手掛けている。さらに2022年には、デジタル戦略を担う子会社として「ニトリデジタルベース」を設立。IT・デジタル分野のプロフェッショナルを積極的に採用し、革新的な技術を取り入れることで、グループ全体のDXを加速させている。

　ニトリデジタルベースの設立と時期を同じくして設置されたのが、CISOと情報セキュリティ室だ。CISOは、ニトリグループ全体のロマンとビジョンを実現するため、経営計画に基づいてセキュリティ戦略を立案し、関連部署と連携して実行する旗振り役を担う。そのもとで、情報セキュリティ室はグループ全体のセキュリティ中長期計画の策定、セキュリティ教育や啓蒙活動、訓練の推進、規程や運用ルールの整備といったガバナンス活動の推進、セキュリティリスクの最新動向の収集とリスクアセスメントや監査の実施、CSIRT活動の統括とセキュリティインシデント発生時の指揮を実施する。鈴木氏は、2025年春に退任した初代CISOに次ぐ2代目のCISOとして、グループ全体を取り巻くセキュリティの指揮を執る。

インシデントを機に第三者評価を導入

　情報セキュリティ室の設立から半年後の2022年9月、ニトリの提供する「ニトリアプリ」がリスト型攻撃による不正ログインを受けた際には、同室が司令塔となって個人情報保護委員会や経産省、警察といった関係機関へ速やかに報告。ニトリホールディングス公式サイトにリリースを公開し、状況の説明など丁寧な対応を実施した。当時は他にも、一歩間違えれば事業に甚大な被害を及ぼす、いわゆる“ヒヤリハット事例”が何件か発生したが、関係各所との連携で大事には至らなかった。

　しかし、急増するサイバー攻撃に“自前体制”だけで対処し続けることは限界がある。鈴木氏は経営層と協議し、外部のセキュリティ専門機関による第三者評価を実施して、リスクの洗い出しと体制の強化を図ることとなった。

　こうしてインシデントが発生した翌年の2023年、同社はセキュリティ専門機関と協力して国内外の全グループ会社を対象としたセキュリティ成熟度のヒアリング調査とアタックサーフェスの調査、および攻撃者視点でシステム検証するレッドチームテストを実施。その結果、NISTのサイバーセキュリティフレームワーク（CSF）において、ニトリ本体に比べて国内外グループ会社の成熟度が低いことが判明したという。また、速やかに応急措置すべきシステムの弱点なども明らかになった。