導入の背景や課題
安全・安心なサービス提供に注力
コンビニエンスストアのセブン-イレブンやスーパーストアのイトーヨーカドーに加え、専門店、外食、銀行に至るまで幅広い事業を展開するセブン&アイグループは、今や生活のさまざまな場面に欠かせないインフラとしての役割を担いつつあります。グループ企業が日本国内に約2万2800店舗を展開し(2023年2月末時点)、1日当たり約2,220万人もの利用者にご利用いただいています(2023年2月末時点)。
同グループはこうしたリアルでのビジネスだけでなく、会員数約3,000万人(2023年7月末時点)に上るグループ共通の会員基盤『7iD』を構築してデータ活用に取り組むなど、デジタル事業にも力を入れてきました。
ここで重視しているのが、安全・安心にサービスを利用できる環境の確保です。サプライチェーンを含めたセキュリティ管理体制の強化に取り組んでいます。
鈴木氏も管理体制を強化する中でセブン&アイグループに加わり、ITサービスの安全確保に取り組んでいます。現在ではグループセキュリティ統括室の元に、次のような3つのUnitを設置し、それぞれの領域で活動を進めています。
- ガバナンス・リスクマネジメント Unit
ルールやポリシー策定を行い、グループ全体のセキュリティガバナンス統制に取り組む - サイバーディフェンスオペレーション Unit
SOCやCSIRTの運営を含めたサイバーセキュリティオペレーション業務に取り組む - サービスセキュリティ推進 Unit
セキュリティインシデントの未然防止のため、システムやサービスの企画・設計段階からレビューなどを通して安全・安心なサービスの提供支援に取り組む
選定のポイント
企画・設計段階における各レビュープロセスに対して、多数の依頼に応える体制を整備
サービスセキュリティ推進Unitは幅広い業務を担っています。ITサービスやアプリの企画・設計や要件定義段階でグループ共通の情報セキュリティ管理規定に基づいたベースラインでのチェックおよびサービス特性に応じたリスクベースでのセキュリティレビューを実施し、どのようなリスクが存在するかを洗い出し、セキュリティインシデントを避けるためにどういった対策や軽減策を講じるべきかなどをアドバイスしています。レビューを通じて必要とされる技術的なセキュリティガイドラインを定め、グループ各社に提供しています。
また、テスト段階では脆弱性診断やペネトレーションテストを実施し、深刻なセキュリティホールが放置されたままリリースされないようインシデントの未然防止に努めています。
「お客様の個人情報を扱うサービスを企画・改修するならば、セキュリティレビューや診断が必須」というルールがグループ内の事業会社に通達されたことで、サービスセキュリティ推進Unitには年間1,000件以上のセキュリティレビューの依頼や相談が押し寄せるようになりました。
これらのニーズに応え、システム全般をレビューして専門的な見地から的確なアドバイスを得るためのパートナーの1つとして、セブン&アイ・ホールディングスはNRIセキュアテクノロジーズ(以下、NRIセキュア)を選びました。「私の入社前から、PCI-DSSの認証取得に必要なセキュリティ診断などで助力をいただいていましたが、『セブンマイルプログラム』を拡張し、『nanacoポイント』への交換を可能にするプロジェクトを機に、NRIセキュアに本格的に参画していただきました」(鈴木氏)
導入の効果
ダメ出しではなく、現場に寄り添った適切な解決策をアドバイス
鈴木氏はさまざまなセキュリティベンダーと仕事をした経験がおありですが、他ベンダーと比べてもNRIセキュアの専門性の高さに頼もしさを感じています。「セキュリティだけでなく、システム開発手法や運用業務、さらには各クラウドサービスに関しても各担当者が非常に高いスキルや知見を備えており、適切なアドバイスが得られました。グループ各社に関係する大規模なプロジェクトでも素晴らしい支援をいただき、高い満足度につながっています」(鈴木氏)
何より満足しているのは、依頼してきた企画者の立場に寄り添って解決策を探る姿勢です。「NRIセキュアではリスク指摘に合わせて、回避策や現実的な解決策も提示してもらえています」(鈴木氏)
もちろん、不正利用やお客様個人情報の漏洩につながるようなリスクの高い脆弱性についてはリリース前の改善を求めるために厳しい対応を行っており、最終的にお客様への影響度やビジネスにおけるリスクをビジネス部門と議論し、適切な解決策を見出せているそうです。
最初の本格的な共同プロジェクトとなった『セブンマイル』の『nanaco』交換プロジェクトでも、具体的にどういった対策が必要なのかについて鈴木氏らと開発担当者、NRIセキュアで何度も議論を重ねて、リリースにこぎ着けました。
この成功例を踏まえて現在では複数のプロジェクトにNRIセキュアが参画しています。たとえば、スピードを重視してアジャイル開発を採用したプロジェクトでは担当者がスプリントごとの会議に参加し、企画の段階からリスク指摘やセキュリティ要件の提示といった対応を行っています。
今後の展望
総合力の高さを生かし、グループ共通システムの技術的ガイドラインの整備も支援
企画開発におけるグループ共通システムのセキュリティガイドラインの整備にも着手し始めており、そこにもNRIセキュアの力を生かしているそうです。「『7iD』のようなグループ共通基盤やそのAPIの利用に当たって、クレジットカードで決済を行う場合はどのような認証を入れるべきか、また追加認証はどのタイミングでどういったものを求めるべきかといったルール整備を進めています。ルール整備にはシステム知見を含めた総合力が求められますが、NRIセキュアは専門性の高さだけでなく総合力にも強みがあると感じています」(鈴木氏)
鈴木氏は「安全・安心なサービスをお客様に提供していく部分において、NRIセキュアには非常に貢献していただいています」と、複数のプロジェクトを共に進めてきたNRIセキュアを評価しています。
セブン&アイグループは引き続き、さまざまなサービスやDXの推進・展開をしていく予定です。それに伴いシステムやサービスの増加が見込まれており、お客様の個人情報を扱うシステムだけでなく、グループ各社の従業員の個人情報を取り扱うシステムや事業を支える重要な基幹システムについてもセキュリティ管理体制を強化していき、組織としてのセキュリティ管理体制を向上していきたいと考えています。こうした取り組みを通して「これからも、安全・安心なサービスをお客様に届けていくことに常に注力していきます」と鈴木氏は述べています。
※本文中の組織名、職名、概要図は2023年7月時点のものです。
