グループ社員25,000人の鴻池運輸におけるセキュリティ意識浸透術──AI活用と並行した統制のとり方

対策は海外グループ会社が先行、続いて国内グループ会社も着手

　グループ全体のIT・セキュリティを牽引する佐藤氏だが、特に注力している取り組みとして「国内グループ関係会社のセキュリティ基盤の底上げ」を挙げる。2018年以降、本社および海外グループ会社についてはセキュリティ対策と教育を浸透させてきたが、29の国内グループ関係会社については、IT専任者が不在で、他部門が兼務でITとセキュリティを担当しているケースも多く、本社主導の強固な対策が未整備な状態にあった。これらの関係会社の末端にまでリテラシーを浸透させ、グループ全体のセキュリティレベルを均質化することが急務だったという。

　この課題に対し、佐藤氏らはまず実態把握から着手。アタックサーフェスマネジメント（ASM）ツールを用いて、外部から把握できる企業ドメインレベルの脆弱性を可視化するとともに、内部に対しても30〜40項目ほどの情報セキュリティサーベイ（アンケート）を実施し、経営層のコミットメントや組織体制を確認した。

　「実際に調査を行い、国内関係会社のシステムから多くの脆弱性が見つかったのですが、『お使いのCMSが古いバージョンで危険なので更新してください』などと伝えても、担当者は話が理解できない。さらに、理解できるように話を進めても『前任者がやったことで自分は詳細がわからない』『ベンダーに任せているからベンダーと直接話してほしい』などと言われ、対策が前進しないことに気づきました」（佐藤氏）

　そこで同社は、クリティカルな脆弱性については優先的に対応を促し、具体的な修正手順を示したガイドを提供するなどしてサポートを行った。さらに、調査や対策の要求などを「情報セキュリティ監査」という制度に組み込み、強制力を行使しながら実施したという。

　グループ会社の中で内部統制の評価対象となった会社は、IT統制においてセキュリティ教育の実施やIT機器の資産管理といった具体的な対応に動きはじめた。内部統制評価対象外の企業に対しても、セキュリティコミュニティの場で各社の状況を共有し、啓発を続けることでグループ全体のガバナンスを徐々に効かせているという。

　なお、物流の前後工程まで広く請け負う同社は、サプライチェーンにおいて「受託側」に立つことが多いが、自社内に入りこんで開発や運用を担う外部のITパートナーに対しても、自社従業員と同じセキュリティ教育の受講を義務づけており、社内外を問わず一貫したセキュリティ基準を適用している。