リスク管理Navi
リスク管理Naviは、リスクマネジメント(Risk Management)に関しての情報サイトです。
商船三井システムズ 様
お客様 |
商船三井システムズ株式会社 代表取締役社長 吉田 毅 様 商船三井システムズ株式会社 執行役員兼インフラアーキテクチャ部長 石渡 浩 様 商船三井システムズ株式会社 インフラアーキテクチャ部 ネットワーク・セキュリティチーム 小島 智明 様、小菅 兼二郎 様、有坂 周 様、佐藤 俊彦 様 |
---|---|
ニュートン・コンサルティング |
執行役員 兼 プリンシパルコンサルタント 内海 良 シニアコンサルタント 高橋 篤史 エグゼクティブコンサルタント 星野 靖 |
商船三井システムズ株式会社様は、1973年の設立以来、株式会社商船三井様の情報システム部門として、商船三井様とそのグループ会社様のシステムの開発・保守などを中心に、ICTを通じてグローバルで幅広いビジネスを支えていらっしゃいます。またICT戦略の構築やセキュリティリスクへの対処ならびにグループ従業員のICTリテラシーの向上などを幅広く担っています。この度、商船三井グループを対象としたグローバル規模でのCSIRT構築支援、及びサイバー演習サービスのご利用に際し、代表取締役社長吉田 毅氏、執行役員兼インフラアーキテクチャ部長石渡 浩氏、インフラアーキテクチャ部ネットワーク・セキュリティチーム副長小菅 兼二郎氏にお話を伺いました。
吉田:当社は商船三井のユーザー系IT企業で創業46年になります。以前は外部のお客様向けサービスも提供しておりましたが、2009年に商船三井の情報システム部門と統合し、現在商船三井とそのグループ企業へのICTサービスの提供に特化しています。商船三井のICT戦略策定からガバナンス規程やセキュリティ規程の策定、システム構築、日々の保守など幅広い業務を担っております。
吉田:当社グループは海運事業を行っている企業として、日々の事故や危機対応 などは当然のこととしておこなってきました。しかしながら、ここ何年かの間に大規模な情報漏洩やICTを悪用した詐欺被害がニュースで発表されることが増えています。これに伴い、商船三井グループにおいても、セキュリティ対策の必要性を再認識し、ネットワークや重要システム、PCなどへの対策を強化してきました。
さらに2019年9月からはクラウド上で基幹システムのディザスターリカバリーサイト(災害復旧サイト)を構築しています。商船三井グループの情報システム部門は当社の他にも香港とインドで展開する別会社(MOL-IT)があり、そちらと技術的なことを協調しながらいくつかプロジェクトを進めています。
CSIRT(Computer Security Incident Response Team)については、当社グループでは段階的な設置の計画を立て、2017年にまずは当社内にCSIRTを構築し、本社、グループ企業へと連携を広げていく方針でした。
先ほど海運事業における事故や危機対応については知見と経験があるということをお話ししましたが、ICTインシデントは発生するとその影響が局所的ではなくグループ全体に及ぶため、当社グループとしても初の試みを進めております。
小菅:CSIRT構築は社内で行っていましたが、それを商船三井本体やグループ企業まで広げることや、その仕組みを検証するための演習の実施については外部の知見が欲しいと考えていました。その際、当社が加盟している日本シーサート協議会でニュートンさんが他社で支援された演習が評判となっており、お声がけをさせていただきました。
小菅:元々はCSIRT構築とそれにともなう演習の実施を主眼においた支援を想定していたので、複数社に問い合わせをしていました。当初は段階的にまずは本社へ、翌年はグループ企業へとCSIRTの仕組みを拡大していくことを想定していたのですが、各社からのご提案を受け社内で検討を重ねる間に、プロジェクトのスコープが拡大していきました。
石渡:グループの情報システムの主管は商船三井のCIOである高橋静夫副社長執行役員なのですが、高橋に「サイバーセキュリティだけではなく、システム障害も含めた重大ICTインシデント全般に対応できる仕組みつくりをしたい」という熱い思いがあり、検討の幅が一気に広がりました。
ICTインシデントの発生は、日本国内よりもむしろ海外発の方が多いと予想できましたので、海外グループ会社まで含め、グローバルに対応することも重視しました。我々が重視した3つのポイント ――
―― を取り扱うところまで視野に入れたルール作りに対応できるコンサルティング会社は結果としてニュートンさんしかいませんでした。
吉田:特に御社は英語対応が得意というのも決め手の一つになりました。リスクマネジメントについて、商船三井グループには古くから「重大海難事故」のマニュアルがグローバル対応であります。ICTのリスク対策についても同じレベルで実現したいと考えました。
吉田:商船三井を筆頭に国内外のグループ会社を対象にした重大ICTインシデント対応体制を構築し、演習を通じて検証を行いました。インシデントはセキュリティだけでなく、システム障害も含みます。CSIRTは主にセキュリティ対応を実施する部隊ですが、当社に限らず現在のあらゆる事業はICTの利活用が基盤となっており、リスクはセキュリティだけでなく、設計や構築、運用における人的ミス、あるいはシステム故障などに伴う障害なども含まれると考えました。
具体的には、重大インシデントが発生した際には速やかに情報が商船三井に集まり、対策本部を設置してシステムの復旧や対外説明、法的な対応などを遂行できる体制を目指しました。そのためにまず、対象となるグループ会社の範囲を精査し、情報連携窓口になる担当者を選出し、連絡体制を構築しました。
次にインシデントのレベルを判断する基準を定めました。グループ全体で共通する基準を作り、あるレベル以上のものだけが商船三井本社に報告が上がるフローにしました。ただ、グループ会社の規模がまちまちで、被害規模の深刻さが一様でなく、判断基準の策定には苦労しました。最終的には、過去の実績と商船三井がどの程度のレベルの情報を収集すべきなのかという観点で判断しました。そして、対策本部を設置する際の判断基準と、その構成や役割を定義し、規程化しました。ルール化したこれらは「重大ICTインシデント対応ガイドライン」として全対象グループ会社へ配布しました。
吉田:まず、グローバルレベルでガイドライン等を策定できたことですね。商船三井グループは拠点の数でいうと100を超え、約半分が海外にあります。実施している事業も異なれば地理的な要件も違うので、今までは本社から原則的なルールを周知し、あとは、これに準拠するものを各自策定し運用してください、というスタイルでした。ただ、その運用では形骸化が避けられませんでした。今回は全グループ統一基準を策定できたことで、実践で役に立つ、実効性の高いものになったと自負しています。
また、海外ネットワークは当社とMOL-ITの2社でカバーしていますが、以前は直接コミュニケーションのなかったところもありました。このプロジェクトを通して全ての拠点と直接のコミュニケーションラインが確立できたことも評価しています。
石渡:ガイドラインの普及によって得られた一番大きな成果は、商船三井とそのグループ会社全てに通じる基準で同じオペレーションが出来るようになったことです。これまではインシデント対応は事業部ごとに方針が決定されており、やる・やらないのレベル感もばらばらでした。今回、CIOを始めとする本社がプロジェクトの中核で旗振りをすることで、全社一丸となって同じ土俵で遂行できるようになったと感じています。実務レベルにおいては“同じ用語で通じる”だけでもスピード感が増します。これにより問題を解決するポイントが早期に分かり、短期間での収束が期待できます。
これを後押ししたのが社内でのリスクに対する共通認識の醸成活動です。商船三井、各管理部門とグループ会社は事業形態が違えば組織体も違います。まずはリスクに対する理解度を高めるために、内海さんに講演をして頂きました。なかでもオリンピックなど具体的な事例は参加者に深く響きました。日頃、当方からICT周りのリスクの啓蒙活動をしていますが、リスクに対して理解度が低いままだと我々の指摘は流されてしまいます。内海さんの講演と地道な広報活動との相乗効果で、従業員が己のリスクとして事象を捉えられるように開眼していったと手応えを感じています。
以前でしたら当方から情報提供やアラートを出しても、各社のアドミニストレーターだけが認知して社内に広報せずに終わっていたケースもあり得ました。それが今では「これの影響度合い、深刻度は?」「どんなアクションを求めたらいいの?」と皆が自発的に運用を考えたリアクションが返ってくるようになりました。「ガイドラインがあってマニュアルがあるからそれに沿ってやりましょう」というのは業務ですよね。そのレベルだと当事者意識がないため、リスクは減らないと思います。今回のプロジェクトを通じてグループ全体が主体性を持ち始めたと感じています。
小菅:商船三井の事業と業務を早い段階で理解していただき、こちらの要望もよく聞いてくださいました。また、今回プロジェクトの初めにトップインタビューを実施いただいたことはプロジェクトの成功につながったと思います。高橋副社長からプロジェクト全体の指針について号令がかかり、経営陣の本気度が伝わったと思います。実際、演習にも経営陣が参加し、活発な議論で盛り上がりました。
また、先ほど石渡が触れていた内海さんの講演も社内のリスク感度を一気に上げる契機になったと思っています。ニュートンさんへお願いして良かったと考えています。
石渡:演習に力を入れていきます。定期的にやることはもう決まっていますので、後はシナリオですね。ICTの場合はシステム管理者だけではなく、ユーザーの誰もが事故の当事者となり得ますから、当事者意識を高めるような内容でやりたいと思っています。まずは小規模なインシデントを想定した演習を数多く実施し、ICTインシデントに対応できる人材を増やします。大規模な演習も年に1回程度、実施したいと考えています。
また、このプロジェクトを通じて海外を含むグループ会社とのICT連携窓口を構築できたので、システム障害や脆弱性情報、パッチ情報などをグループ内で共有し、ICTインシデント対策のリテラシー向上と強化を図っていきます。
名称 | 商船三井システムズ株式会社(MOL Information Systems, Ltd.) |
---|---|
所在地 | 東京都港区虎ノ門2丁目1番1号 商船三井ビル2階 |
設立 | 1973年10月1日 |
事業内容 |
物流業におけるシステム監査及びコンサルテーション 全社・部門システムの開発・保守・運用 クライアント・サーバー型システムの構築・保守・運用 グループウエアシステムの構築・運用 ヘルプデスクサービス 機器販売 その他システム関連業務の事務受託 |
利用サービス | CSIRT構築コンサルティングサービス / サイバー攻撃対応演習・訓練コンサルティングサービス |
執行役員 兼 プリンシパルコンサルタント
内海 良
グローバルにセキュリティを根付かせるには
初めこのご支援の声がかかったときに心の底からワクワクしたことを覚えています。
会社の枠を超え、国境を越え、陸と海の境界すら越えて、世界中のグループ拠点や世界の海原を航海する船舶を対象にセキュリティのガバナンスを構築する。
ワクワクしないはずがありません。
以前イギリスのニュートンにいた手前、海外拠点の在り様は肌感覚で理解しているつもりです。
経験上、海外の拠点といえば、業務も違えば規模もバラバラ。地域を統括する大きな拠点から、数名のみが在籍する営業拠点もあったりします。インフラ環境も国や地域によって様々だし、当然ITに対する考え方も変わります。そして何より言語と文化が異なります。
どのように進めるか、こう進めれば間違いないだろう、という確信に近い手ごたえを得たのは、グループのCIOを務める副社長へのインタビューでした。
・世界中からインシデント報告が上がるようにしたい
・常に実践を重視する
・海難事故と違い、ICTインシデントは全員が当事者であり、全員の意識向上がカギ
・業界トップレベルのセキュリティ体制を目指す
他にもこのプロジェクトに対する期待と到達点など具体的な内容を聞かせて頂き、明確なアウトプットイメージを自分のなかで作り上げることができました。
あとは当事者を巻き込んでルールについて合意形成するワークショップ、作成したガイドラインのグローバル展開、総決算としてのサイバー・ICTインシデント演習の実施とアウトプットイメージに向けて進めていくのみでした。
この最初から最後までワクワクしっぱなしの案件をこのタイミングでお手伝いできたのは、自身にとってとても幸運だったと思っています。5年前なら力量が足りずできなかったでしょうし、来年以降はマネジメントの割合が増えて受けることができなかったかもしれません。私にとってコンサルタントの集大成といえるこのような機会をくださったお客様に心より感謝申し上げます。