インシデント発生で“自前主義”にメスを入れたニトリCISO──セキュリティをグローバル展開の推進力に

売上3兆円に向けたセキュリティ施策、CISOが掲げた戦略とは

　ニトリグループは「暮らしの豊かさを世界の人々に提供する。」というロマン（志）を叶えるために、3,000店舗・売上3兆円という目標を掲げており、「これを達成する上で海外展開は必須だ」と鈴木氏は述べる。現地拠点などを新規に立ち上げるとき、現地社員が安心して働ける環境を速やかに構築したい。そのためにも、グローバルで統一されたセキュリティ施策を策定する必要がある。

　こうして、同社は「2026年までにNIST CSFの各項目で3.0以上を達成する」という目標を設定した。鈴木氏は「新たな国や地域に事業を展開する際、既存のセキュリティ施策を迅速に適用できることが条件」として、ゼロトラストを基盤とした統一施策を組み立てた。中心には「インターネット上の関所」となるSASEを配置して社内外の通信を一元管理する仕組みを整えたほか、従来のファイアウォールごとの個別対応を廃し、統一的なルールと監視体制を整備した。これにより拠点間のセキュリティ強度を均一化し、迅速なビジネス展開を阻害しない体制を整えていった。

　そして、この統一施策をベースに、実施するセキュリティ施策の優先順位付けとおおよその実施予定時期、各施策のメリットやコスト概算などをまとめたセキュリティ中長期3か年計画を立案した。計画は、グループの事業環境や戦略の変化と歩調を合わせて、また技術進化にともなう新たな脅威の台頭などに備えて、リスクの大きさや対策の重要度、緊急性を毎年見直すという。

社員参加でつくる“みんなのセキュリティ”

　このようにしてセキュリティを担保する「枠組み」は整えたが、これをうまく回すためには、従業員一人ひとりが日頃からセキュリティに留意した業務を行う意識が欠かせない。

　鈴木氏が強調するのは「情報セキュリティをみんなのものにする」という視点だ。同氏が情報セキュリティ室の室長に着任した際の挨拶で、こう述べたという。

　「『セキュリティは重要かもしれないけど、むずかしいし、めんどうくさい』と思う方も多いと思います。これを『そうか、これならできる』と思ってもらえるような取り組みを増やして、安心して働ける環境を整えることを目指すことが情報セキュリティ室のミッションだと考えています」（鈴木氏）

　同氏は、情報セキュリティ室の役割を「消防」に例える。「火事が起きたら消火するのも大切ですが、最も重要なのは火事を起こさない“防火活動”です。セキュリティも同じで、インシデントを未然に防ぐ仕組みを作り、社員への教育で意識を高め、怪しい兆候を早期に発見して被害を最小限に抑える”初期消火”が重要です」と語る。

　情報セキュリティ室は2023年、2024年と2年連続で重大インシデントゼロを実現している。これを「最大のKPI」と位置付け、今後も継続することが最大の使命だと鈴木氏は強調する。

　事業会社のセキュリティ部門として重要なのは、禁止を並べることではないという。「なんでもガチガチに禁止するのは簡単ですが、それではビジネスがやりにくくなりますし、抜け穴を探す動きも社内に生まれます。我々の役割は事業部門がやりたいことをどうすれば安全に実現できるかを一緒に考えることです」と鈴木氏。その姿勢を具体化する取り組みが、社内ポータルに設置した相談窓口「おしえて！情報セキュリティ」だ。2024年度には669件、2025年度第1四半期には208件と、年間800件超のペースで国内外から相談が寄せられており、社員が気軽に声を上げられる仕組みが根付きつつある。

　こうした相談の多くがクラウドサービス利用に関するものだという。2025年7月時点で、グループ全体で484種類のクラウドサービスを利用していると明かす鈴木氏。サービスの管理者権限は導入する各社・各部署が持つことになるが、それぞれがセキュリティを意識して選定・利用しなければサイバー攻撃や情報漏えいなどのリスクを増やすばかりだ。そこで、クラウドサービスを利用する際はシステム利用申請するというルールを規定した。これを受けての相談件数の増加だった。

　クラウド利用のリスクを社員に理解してもらうため、鈴木氏はクラウドを「レンタル倉庫のようなもの」と説明したという。「『大切な資料を預けるなら倉庫のセキュリティを確認し、鍵を誰が持つかを決め、余計なものを入れずに正しく管理する必要があります』と説明しています」と語る。

　2025年7月、申請段階でよくある疑問点を整理した「クラウドサービス選定時のセキュリティガイドライン」を公開した。ガイドラインでは、なぜそれが必要かを用語解説とともに分かりやすく説明されているという。たとえば、取り扱う情報の内容に応じて必要なセキュリティ要件が変わることや、要件を満たす上で必要なID/パスワード、SSO、MFAを解説。社員が納得して選択できるような工夫を凝らした。

　ただし、クラウドサービスの機能追加や変更、事業会社側の環境変化などでリスクも変化する。そこで、申請時の審査以降もリスクレベルを把握し、問題発生時に即対応できるよう、クラウドサービスの第三者評価を行うセキュリティ専門業者に依頼したという。また、自社開発の利用システム管理アプリで定期的に棚卸および監査を実施している。

　このほか、生成AIの活用についても2024年に「生成AI利用ガイドライン」を策定。業務利用だけでなく私的利用も含めた全社員を対象に教育を進めている。活用する上で押さえておきたい「入力情報の漏えい」「誤情報（ハルシネーション）」「著作権侵害」の3つのリスクを挙げ、便利さと同時に安全な利用の徹底を求めているとした。