日本化薬 様
| お客様 |
特別顧問 石田 由次 様(取材当時 代表取締役 副社長執行役員) 内部統制推進部 リスクマネジメント担当 石月 紀男 様 内部統制推進部 リスクマネジメント担当 金子 亜矢子 様 内部統制推進部 リスクマネジメント担当 山下 俊雄 様 |
|---|---|
| ニュートン・コンサルティング |
執行役員 兼 プリンシパルコンサルタント 内海 良 コンサルタント 黒川 楓 |
日本化薬様は1916年に「日本火薬製造」として設立し、日本初の産業用火薬メーカーとして事業をスタート。以来100年以上にわたって事業のすそ野を広げられ、現在はモビリティ&イメージング、ファインケミカルズ、ライフサイエンスの3つの事業領域を軸に、暮らしを支える製品を生み出し続け、社会を支えています。
この度、ニュートン・コンサルティングの支援で、経営層向けのサイバーセキュリティ対応能力向上研修を実施された経緯やご感想について、特別顧問(取材当時、代表取締役 副社長執行役員) 石田 由次 様、内部統制推進部 リスクマネジメント担当 石月 紀男 様、金子 亜矢子 様、山下 俊雄 様にお話をうかがいました。
石田:「世界的すきま発想。」をコーポレート・スローガンに掲げる当社は、ニッチ市場におけるNo.1を目指して、社会に欠かせない製品を独自の技術で生み出しています。
当社の事業は3つの事業領域に分かれています。1つ目はモビリティ&イメージング事業で、自動車安全部品や偏光フィルムなどを製造しています。2つ目はファインケミカルズ事業です。半導体封止用に使われるエポキシ樹脂や、インクジェット用の色素などを製造しています。3つ目はライフサイエンス事業で、抗がん薬を中心とした医薬品、そして農薬を製造しています。
マイクロガスジェネレータ(ガス発生装置で、自動車衝突時にシートベルトを巻き上げる「シートベルトプリテンショナー」に使用される)や、環境対応型半導体封止用エポキシ樹脂はそれぞれ世界トップシェアを誇り、がん関連製品ラインアップ数は国内トップで、3つすべての事業領域に強みがあります。また、当社は全国各地に研究所や工場、事業所を有しています。国内に6社、海外に20社の関連会社もあり、12の国や地域でグローバルに事業を展開。海外売上比率が56.7%と高いことも当社グループの特徴です。
石田:当社は、システム強化・社内教育・体制整備という3つの柱でセキュリティ対策を実施しています。システム強化はすでに進んでおり、現在は社員教育や、体制整備について一層の強化を図っているところです。
社内教育についてはこれまで、従業員向けに、情報漏洩を主なテーマとしてe-learningや教育研修を実施してきました。しかし、世界中でサイバー攻撃が多発している今、私は「サイバー攻撃を受けた時に、いかにして事業を復旧させるか」という視点での教育、それも役員を対象としたものが必要だと考えました。というのも、セキュリティ対策強化のためには積極的な予算投入も必要であり、その最終判断を下すのは役員だからです。また、有事の際は役員が会社の対応方針を決めることになります。つまり、当社のサイバーセキュリティ能力を高めるためには、会社のトップに立つ役員一人ひとりがサイバーセキュリティについての正しい知識と危機意識をもつことがカギとなるのです。こうした背景から、このたび役員全員を対象としたサイバーセキュリティ研修を実施することにしました。
石月:私はもともとニュートン・コンサルティングがホームページで発信しているコラムや冊子を参考にしていましたので、実力はよく知っていましたし、サイバーセキュリティのコンサルティングサービスにも強みがあることを把握していました。そのため、当社でサイバーセキュリティ研修を実施すると聞いたとき、「ぜひニュートンさんに協力いただきたい」と思いました。
他社とも比較・検討した上で、ニュートンさんに決めたのは、個別のサイバーリスクへの対策をただ並べるのではなく、サイバーセキュリティに関する根本的な考え方や、企業としての心構えからアプローチするような研修内容を提案いただいたからです。
金子:今回の役員向けのサイバーセキュリティ研修は、サイバー攻撃を受けた際に想定される影響を学び、当社で意思決定すべき事項を把握することを目的として、コンサルタントの内海さんを講師に迎えて実施しました。
私たちが準備段階から重視していたのは、リアリティのある研修を設計することです。サイバーインシデントに対する経営層の危機感・緊張感を醸成し、一人ひとりに自分事として捉えてもらいたかったのです。そこで、研修前半は、サイバーセキュリティの動向について解説いただくだけでなく、ダークウェブ上で個人情報がやり取りされる様子や、メールアドレスが流出する過程などを実際に画面で示していただきながら、サイバー攻撃のデモンストレーションを行っていただきました。その後、経営層が理解しておくべきセキュリティ対応について解説いただきました。
研修後半は、当社がサイバー攻撃を受けた場合を想定した簡易訓練を行いました。当社の実際の状況に基づき設計されたシナリオが付与され、役員たちはタイムラインごとの対応をA案・B案から選ぶ形式で進行。互いに意見を交わしながら会社としての意思決定をシミュレーションしました。
最後に、今後のサイバーセキュリティ対策のヒントとなるよう、同業他社がサイバー攻撃を受けた際の事例についても解説いただきました。
石田:プロジェクト以前は「サイバー攻撃の脅威は理解できているものの、当社が攻撃された場合に実際どのような影響が起きて、システム復旧までどのように対応したらよいのかわからない」という役員も多かったと思います。具体的にイメージできないために、サイバー攻撃をどこか遠いものと捉えていたかもしれません。しかし、今回の研修を通して、「サイバーインシデントは身近に起こりうるものであり、当社の事業が停止するリスクもあるのだ」ということを役員一人ひとりが理解することができたと思います。参加者が役員のみだったからこそ、部下たちの目を気にせずざっくばらんに議論することができて、よい機会となりましたね。
金子:準備期間が短く、ニュートンさんとの打ち合わせの回数も限られていた中で、いかに理想の研修を作り上げるかというところに苦労しました。
今回の研修設計には、経営企画部、情報システム部、法務部、内部統制推進部が携わりましたが、「これも盛り込みたい、あれもやってみたい」と多様な意見が出てきました。各部門が今回の研修に対して積極的で、熱い思いを持っていたからこそ…ではあるものの、すり合わせが大変でした。
今回は2時間という短い時間の中で最大限の効果を発揮するために、ニュートンさんにご相談し、内容を詰めていきました。
石月:法律や私たちの業界の特徴まで幅広く把握されていて、とにかく知見が深いコンサルティング会社だと感じました。過去にサイバー攻撃を受けた同業他社の事例についても、ニュースでは詳しく報じられていない専門的なポイントまで解説していただき、勉強になりました。
また、プロジェクトの最初に石田へのトップインタビューを実施し、当社が目指す方向性を明確にするというのも、ニュートン・コンサルティングならではの進め方だと思います。社内の話し合いだけでは掘り下げられていなかったことも、第三者の立場からヒアリングしていただき大変有意義な機会となりました。
金子:短い準備期間の中で、私たちの「サイバーセキュリティを自分事としてとらえられるような、リアリティのある研修内容にしてほしい」という要望を叶えるべく最大限準備していただき、感謝しています。打ち合わせだけではなくメールでもたくさんやり取りしましたし、研修の開始直前まで、内海さんが投影資料の内容を微調整してくださいました。よりよい研修になるよう、最後の最後まで尽力していただきました。
石田:今回の研修を経て、今後具体的に取り組むべき対策が明確になってきたので、今後はサイバーインシデントマニュアルの整備や訓練を進めていきます。
当社は異なる3つの事業領域を手掛けているため、インシデントが発生した際の影響も領域ごとに異なってきます。例えば、自動車部品分野の生産が止まると自動車メーカーさんへの納品が止まってしまいますし、医薬品は在庫を多めに備えているものの、システム停止が中長期的に継続した場合への備えも必要です。各事業の影響範囲を勘案した訓練や、そのほか、例えば「サイバー攻撃を受けて、唯一使えるものがメールだけとなった場合、メールだけでどのように事業が継続できるのか」など、リソースごとの制限なども加味した具体的な想定・訓練を行っていきたいと思います。
※インタビュー内容および所属先は取材当時のものです。
| 名称 | 日本化薬株式会社 |
|---|---|
| 所在地 | 東京都千代田区丸の内二丁目1番1号 明治安田生命ビル (19階、20階) |
| 設立 | 1916年6月5日 |
| 事業内容 | モビリティ&イメージング事業領域、ファインケミカルズ事業領域、ライフサイエンス事業領域における各種製造 |
| 利用サービス | 経営層向けサイバーセキュリティ対応能力向上研修 |
執行役員 兼 プリンシパルコンサルタント
内海 良
考える時間と自分事化は比例する~「座学だけ」からの脱却を~
経営層向けの研修は、さまざまな企業の皆様から多数ご依頼をいただいていますが、経営層が自ら起案なさるケースは稀です。今回はまず、研修の必要性を感じたという副社長にインタビューさせていただき、「どのような内容にすべきか」「研修終了後に、経営層の皆様にはどのような状態になっていただきたいか」というイメージのすり合わせから行いました。
また、「演習要素も取り入れたい」というご要望は、弊社が持つ「考える時間と自分事化は比例する」という哲学とも合致していましたので、ゴールのイメージとプロジェクトの推進プロセスはトントン拍子に決まりました。
ただ、準備の過程においては、事業領域ごとにシステム構成が異なることなど、考慮すべき点がたくさんありました。また、生産停止と情報漏洩のどちらを重視したシナリオにするかということも検討事項となりました。事務局の皆様と最後まで考え抜き、なんとか当日を迎えることができたのは、今となってはとても良い思い出です。結果的には役員の皆様に大変満足いただき、大成功に終わりました。
現在、経営層がサイバーセキュリティに取り組む必要性は社会的にも認識されつつありますが、勉強の機会を設ける際には、座学のみで終わるケースが少なくありません。「考える」要素を加えることが極めて重要であり、その意味で日本化薬様のプロジェクトは模範的な事例と言えるでしょう。
03-3239-9209
