バンダイナムコ ホールディングス 様
グループ主要6社で同時に開催。経営層の意識醸成を促すサイバー演習
バンダイナムコホールディングス様は、トイホビー、
この度のサイバー攻撃対応・演習支援サービスのご利用に際し、取締役 グループ管理本部長 大津 修二 様をはじめ、ご担当者様にお話を伺いました。
―これまでの貴グループにおけるサイバー関連のセキュリティに向けた取り組みをお聞かせください。
暉:2010年度にグループの情報セキュリティ体制の維持・強化を目的に「グループ情報セキュリティ委員会」を設置しました。また、同時にグループCISOを任命し、グループ各社にもCISOの設置を義務付けています。こういった取り組みは日本企業においては比較的早いほうではないかと考えます。この体制をベースに、情報セキュリティポリシーの策定及び定着活動やポリシーの遵守状況のモニタリングを定期的に実施してきています。
また、当グループはネットゲームやそれに付随するeコマースやプロモーション、またスマートフォンでのサービス提供など、インターネットを利用した事業の売上が高いこともあり、webサービスの脆弱性診断や対策は定期的に実施しています。
―サイバー演習を実施しようと考えたきっかけを教えてください。
大津:危機管理という観点からは、様々な訓練・演習をグループ全体でも個社毎でも実施してきました。従業員の安全・安心を確保するような取り組みは日本全国に事業所を持ち、グローバルに事業展開している当グループとしては、必要不可欠と考えています。また、サイバーセキュリティについても事業遂行上必要とされるインシデント対応については、一部のインターネットにドメインを置く事業会社を中心に実施していました。
今回サイバー演習を実施しようと考えた直接のきっかけは、昨年、経済産業省が発行しているサイバーセキュリティ経営ガイドラインが改訂され、その中でCISOの役割や演習の重要性が強調されたことです。
今回のガイドライン改訂は、私は今の日本におけるセキュリティを含めたIT経営全般について、良い影響を与える非常に時宜を得た内容だと考えています。私も含めて、やはり日本の経営者はITリテラシーが低い。IT部門のことをまだ「電算部」と呼んでしまうような、ただシステムを作っている部門、という認識の経営者が多いのではないでしょうか。
今、ITにどのような利用価値があるのか、逆にどのようなリスクがあるのか等、経営層がリテラシーとして持たなければいけないし、今後はそれが経営の根幹そのものに関わってきます。ITに関わる問題は「電算部」が現場で対応すれば済むこと、ではなく、会社全体として対応しなくてはならない経営課題である、という認識を当グループでも高めたい、と考え、今回の取り組みとなりました。
それを実現するうえで、ハイレベルな次元でのサイバー演習は非常に有効であると考えます。
決め手は柔軟な提案とコンサルタントの人柄
―取り組みにあたってコンサルティング会社を利用した理由を教えてください。
暉:当グループではホールディングスのグループ管理本部に情報セキュリティ委員会の事務局を置き、グループの情報セキュリティ対策全般にかかわる計画を統括しています。一部のポリシーの作成は 専門性が高い部分のみ外部のコンサルティング会社を利用し、世の中のベストプラクティスと言われるものと常に比較検討を重ねています。
今回、先ほど大津の方から話がありましたサイバーセキュリティ経営ガイドライン改訂にあたり、我々の取り組みや組織の体制の現状を照らし合わせ棚卸をしたところ、サイバー演習とインシデント対応のマニュアル化については改善の余地があると判断しました。
この辺りは、実際にインシデントが起こった時の正しい行動とはどういったものなのかや、グローバルにはどのような対応がされているのか、他企業ではどのような取り組みがされているか等、専門家の知見をお借りして一気に対応したほうがいいという判断をし、コンサルティング会社にお願いすることにしました。
―何社かご検討されていた中で弊社に決定した理由を教えてください。
土川:今回当社が希望していたのは、グループ各社のCISOの意識醸成を狙いとしたサイバー演習の実現でした。初めての取り組みだということと、今回は対象がCISOだということで、ITではありつつも技術的なところに特化するのではなく、ハイレベルな経営判断を求められるような演習を実施したいと考えていました。そういった希望を相談しながら複数社にご提案いただきましたが、御社は非常に柔軟で、違った角度からの提案やスコープを変更するようなご提案を頂いたので、当社の希望を加味しつつ目的を達成できると感じました。
まぁ本音を言うと、ご提案いただいたコンサルタントの内海さんの人柄と熱意が一番の決め手です(笑)。
演習を通して気づきを得る
―プロジェクトの内容を教えてください。
大津:今回のプロジェクトの目的は、前述のとおり、グループ企業におけるCISOの役割の明確化、意識向上とサイバーインシデントに対するハイレベルでの対応力の向上です。それをサイバー演習という形で実施し、洗い出した課題を元にグループのセキュリティガイドラインの改訂をおこなうところまでをスコープとしました。
最初はグループ内から数十社を集めて合同で演習をおこなう、ということを考えていました。色々と検討を重ねていくうちに、達成したい目的を実現するためには、まずは主要6社に限定し、各社CISOと現場責任者および現場担当者が参加するサイバー演習の方が効果的である、ということになりました。
私はホールディングスでグループCISOを担当しており、事業会社の各CISOに権限を委譲しています。その権限移譲がうまく機能しているか、ホールディングスへの連携もできるかということを確認することを優先としました。
―訓練を行ってみて、手ごたえを感じたこと、見えた課題などはありましたか?
土川:各社CISOは他の役職を兼任している者が殆どで、グループ全体会議などで頻繁に顔を合わせている仲ではあるのですが、CISOとして一同に会し、共通の課題について話し合ったり学習するという機会は多くないので、非常に有意義な機会でした。
今回の演習の目的のひとつに「気づき」を促す、ということがありました。今回は模擬ではありますが、インシデントを想定し各社CISO自らがCISOとして決断を下していくという経験をして頂いたので、CISOとしての役割や自分自身の責任、自社に足りないものなど、様々な気づきや再認識をして頂けたと感じています。
一方で、演習をおこなうことで浮き彫りになった課題もありました。グループセキュリティポリシーやガイドラインは包括的な指針としては機能しているものの、抽象的な部分も多く、実際に判断をする場合においては、もう少し明確な判断基準が必要だということが判明しました。抽象的な部分を詰め切るのは非常に難しいし、100%クリアできるとは思わないですが、より判断に迷わないような記述は必要だと考えています。
現実的なシナリオで参加者にも活気
―今回の演習は非常に良い雰囲気だったとのことですが、何が理由として挙げられますか
大津:まずは課題設定がとても良かったと感じています。以前、別のケースの演習をしたことがあるのですが、その時はいわゆる演習のための演習のような感じで、参加者が猛烈に追い込まれたり、非現実的な場面設定であったりして、参加者は気分が悪いし、現実感は乏しいしで参加者のモチベーションが維持できていないと感じました。ですが、今回弊社とニュートンさんで相談して想定したケースや事例は現実的で、参加者全員が直感的に議論できるような内容だったので、リラックスしながら参加できたようです。結果、より深く議論ができ、多くの気づきや学びにつながり、弊社の問題・課題認識もできたという印象です。
暉:演習策定にあたって、どのようにしたら最大の成果が得られるかということは当初から意識していました。多忙な方々を拘束するので最大3時間以内では収めたいということ、今回は初回なので、グループ企業間の密接なやり取りまでは範囲を広げず、個社内でクローズする課題解決を原則とすること、ただし、他社の対応策なども聞けることで横の学びにつなげることなど、です。
シナリオ策定にあたっては、事前に何度もシミュレーションをおこない、調整を繰り返しました。参加する全企業が「自社でもあり得る」と感じる共通の課題にするのと同時にあまりにも一般的な内容まで落とすことのないようにすることで議論が活発にできたのだと思います。
あとは、こういう演習を実施する際に一番難しいのが参加者の納得感や満足感を得ることだと思っています。でもそれがないと次につながらないし、その後各社での取り組みが自主的に促進されるようにはなりません。演習において正解を提示することはできないのですが、正解に近い解説をすることで参加者に腹落ちさせ、今後の取り組みにつなげるようにしたいと、これについても直前に内海さんにお願いしたのですが、非常にうまく対応して頂き感謝しています。
―今後の予定をお聞かせください。
土川:今回は初回ということもあり、個社内での対応を中心としたケースの検証にとどまりました。今後は今回参加していないグループ企業に取り組みを広げることと、グループ内で危機管理を統括しているホールディングスと事業会社の縦の連携について、取り組みを発展させていきたいと考えています。
また、今回の演習の結果を元にグループセキュリティガイドラインを改訂しているので、それをグループ内で共有・教育していくことも進めて参ります。
一方で、今回の演習は非常にハイレベルな経営判断に近いレイヤーの事象を中心に展開しており、本来サイバーセキュリティにおいてはもっと現場レベルのテクニカルな演習も必須であると考えます。今後は事業会社のそうした取り組みをいかに推進していくかも課題となってきます。
―この度のサービスの感想を教えてください。
土川:演習計画策定からシナリオ策定、先ほど話に出ていた事前シミュレーションまで含めて頻繁にやり取りしていましたが、振り返るとお互いに大変だったと思います。でも、私どもにじっくり付き合って下さり、要望に合うように熟慮して提案してもらったという印象があります。クライアントに寄り添うコンサルティングを標榜しているニュートンさんならでは、という印象でした。
―本日はありがとうございました。
利用サービス
プロジェクトメンバー
お客様 |
---|
取締役 グループ管理本部長 大津 修二 様 |
グループ管理本部 情報システム部 ゼネラルマネージャー 暉 由紀 様 |
情報システム部 グループITガバナンスチーム マネージャー BN-CSIRT 土川 三千夫 様 |
情報システム部 グループITガバナンスチーム アシスタントマネージャー BN-CSIRT 大月 拓 様 |
情報システム部 グループITガバナンスチーム BN-CSIRT 小池 結城子様 |
ニュートン・コンサルティング |
---|
執行役員 兼 プリンシパルコンサルタント 内海 良 |
担当の声
執行役員 兼 プリンシパルコンサルタント 内海 良
複雑なお客様事情を踏まえた支援とは
当然難易度は高く、ありきたりの進め方では太刀打ちできない、徹底的に要件を訊き、読み解き、期待に応えよう、と強く思ったのを覚えています。
そして、いろいろな要件を訊き支援しながら、クリアすべきポイントは以下の4点に収斂されました。
1)CISO向けの演習であり、経営判断が盛り込まれること
2)現場の技術者も参画するため、技術的な検証も含むこと
3)グループを統括するCISOを含む計6社のCISOやセキュリティ担当者が一堂に会する演習であり、横並びで実施できるシナリオと評価手法を確立すること
4)グループ共通でもっておくべき判断基準を明らかにし、グループ全体のガイドラインに反映すること
まさに現在のわが国のサイバー事情が抱える課題「経営陣のサイバーへの参画」「人材育成」「複数組織の連携」などを一気に解決する試みであり、演習後の分析・評価も含め、このような画期的な取組に携わる機会を頂けて本当に感謝しています。
また、今回のサイバー演習が満足する形で終えられたのは、各社の事業内容や特徴、システム構成や演習参加者の知識レベルなど、事細かに示唆頂いた事務局の皆様のおかげです。この場を借りて、深く、感謝申し上げます。