丸紅グループでは、グループ全体のセキュリティ対策の継続的な向上・改善を目的に、2012年に「丸紅ITガバナンスルール（以下、ITGR）」を策定し、継続的にアップデートしています。ITGRは全96項目にわたる要件から構成されており、事業規模や社員数に応じて、会社ごとに満たすべきセキュリティ基準を定めています。丸紅グループのすべての企業を対象としていますが、専任のIT部門を持たない会社等ではITGR遵守のための対応が大きな負担となるケースもあります。そこで現場の負担を軽減するため、ITGRに準拠したセキュリティ対策を網羅したグループ共通ITサービス「M-IGS」を整備し展開しています。各社はM-IGSを導入することで「Office365」などのビジネスツールを低コストで利用できると同時に、ITGRをクリアしたセキュアな業務環境が実現できるようになっています。

本社からのITGR遵守の要請に対し、一部の企業からは「すでに自社で十分な対策を行っている」との声が上がることもありました。しかし本社としては、個社ごとのセキュリティレベルがITGRで定める水準に達しているか、また日々高度化するサイバー攻撃に対応した継続的なアップデートがされているかを、確実に把握しておく必要があります。こうした背景からM-IGSを導入していない会社の現状評価を目的に、2019年にリスクアセスメントを開始しました。現在では、すべての企業を対象にM-IGSの導入とアセスメントを実施しています。

アセスメントは1回あたり約120～150社を対象としています。これだけの社数を現地往査でカバーするのは現実的ではないため、Webシステムを活用したリモート型アセスメントを採用しました。対面でやりとりできないからこそ、現場負担をいかに軽減するかを重視したコミュニケーション設計が重要だと考えています。事業内容や社員数、言語・文化、セキュリティに対する理解度は会社ごとに大きく異なるため、定型的な全体メールを一方的に送るだけでは、かえって質疑対応等の負担が増えてしまいます。初回のアセスメントではNRIセキュアの皆さんと連携しながら一社ずつ丁寧にコミュニケーションを重ね、現場の理解と協力を得られる関係性を築いていきました。

アセスメントによって不足が見られた場合にはM-IGSの導入や改善計画を策定したうえで、翌年に再度アセスメントを実施しています。自社だけでの改善が困難と思われる場合には、本社の戦略企画部や海外拠点の情報システム部門から人材を派遣し、現地で改善に向けた取り組みを支援することもあります。

これまでに初回アセスメントと定期アセスメント2回の計3回のアセスメントを実施してきましたが、回数を重ねるごとに評価点の全体平均は着実に向上しています。従来はA～Dの4段階で評価を行っていましたが、全体の取り組みレベルをB以上に底上げ出来たため、現在は従来の最高評価のAを5、4、3と三つに分ける一方、Bは2、C、D、Eはまとめて1とし、より高度な水準を目指した評価を行っています。グループ全体のセキュリティ成熟度が向上しているのは間違いありません。3回のアセスメントを通じて現場の理解も進んでいるため、アセスメント実施にかかるコミュニケーションコストも軽減しました。

あわせて、ペネトレーションテストの実施も予定しています。インシデントを100％防ぐことは不可能であるという前提に立ち、特定の会社で被害が発生したという想定の訓練シナリオを作成し、法務や広報などの関係部門なども巻き込んだ全社的な演習を行う計画です。これまで、NRIセキュアの皆様には、セキュリティアセスメントにとどまらず、各種施策の推進支援やセキュリティポリシー策定の支援、丸紅グループ向け研修での講演、国内外の脅威動向に関する情報提供や調査など、さまざまな場面で支えていただきました。今後もご支援をいただきながら、より実践的で実効性の高いセキュリティ対策に取り組んでいきたいと考えています。