EN

SBSリコーロジスティクス株式会社 様

導入事例

ロードマップを描き、やるべきことを可視化。Secure SketCHとアドバイザリー支援の活用により、ベンダー依存を回避し「自立・自走」を目指す

SBSリコーロジスティクス株式会社

グローバルに広がる物流ネットワークを背景に、3PLソリューションと物流サービスを提供するSBSリコーロジスティクス株式会社。「私たちは、グローバル物流企業としてすべてのお客様から信頼され続けるプロ集団を目指します」を経営理念に掲げ、さまざまな物流のニーズに最適な手段を提案しています。

同社は2018年、総合物流企業であるSBSグループに参入。独自にセキュリティ担当組織を立ち上げる必要が生じました。この組織の自立・自走をサポートしているのが、Secure SketCH(セキュアスケッチ)です。

case_shimizu_1

デジタル推進部
部長

清水健一 氏

case_yamamoto_1

セキュリティ推進課
課長

山本佑美 氏

case_okada_1

セキュリティ推進課
 

岡田昌浩 氏

課題

  • 継続的なセキュリティ評価を、ベンダー任せではなく、自分たちの力で実施したかった

解決策

  • 自社で必要な時にセキュリティ評価を更新・確認できる、Secure SketCH(セキュアスケッチ)を導入した

効果

  • セキュリティ対応状況を同業他社で簡単に比較できるようになり、経営層に評価結果を定量的に説明できるようになった。
  • セキュリティ対応のロードマップを描いて全体を俯瞰しつつ、優先度に基づいたアクションを自ら主体的にとれるようになった。
  • 継続的なセキュリティ運用が回るようになってきたので、今後の対策範囲の拡大やグループ会社への横展開など、新たなチャレンジに目を向けられるようになった。

導入の背景

継続的なセキュリティ評価を、ベンダー任せではなく、自社で回せるようにしたい

2017年までは、当時所属していた企業グループの会社共通ITサービスを使用していた同社。セキュリティに関しては決められたルールがあり、ルールに沿った対応ができていたので、特に問題はありませんでした。

状況が変わったのは2018年。当時の様子を、経営企画本部情報システムセンターデジタル推進部部長の清水氏と、セキュリティ推進課課長の山本氏が振り返ります。

case_shimizu

SBSリコーロジスティクス株式会社 デジタル推進部 部長 清水健一 氏

清水氏 2018年、当社がSBSグループに参入するのに合わせて、国内外に存在する90拠点以上のITインフラを刷新したため、自社で独自にITインフラを企画・運用する必要が生じました。

そこで20204月に、社内で初めてのセキュリティ専門組織である「セキュリティ推進課」を設立したのですが、やるべきことや選択肢が多数想定される中で、当初は何を頼りにどのように進めてよいか、手探りの状態でした。

case_yamamoto

SBSリコーロジスティクス株式会社 セキュリティ推進課 課長 山本佑美 氏

山本氏 最初は別のベンダーが提供しているスポット支援型の診断サービスを使って、必要なセキュリティ対策を洗い出して進めましたが、うまくいきませんでした。

ベンダーに自社環境を説明し、理解してもらうのに手間がかかること、あくまでもスポットのサービスなので継続的なセキュリティ評価ができなかったこと、出てくるのがワンショットな診断結果のみで必要な対策まで見えなかったことなどから、有効に活用できなかったのです。

継続的なセキュリティ評価を、ベンダー任せではなく、自社で回せるようになることが課題でした。

導入の決め手

自社で評価を更新・確認できる、対策状況を同業他社と簡単に比較ができること

そのような課題のもと、セキュリティ評価サービスを探していた時に出会ったのがSecure SketCHの自社評価向けのプラン(SINGLE PREMIUMプラン)でした。

山本氏 Secure SketCH導入の決め手としては、複数あります。例えば

  • 自社で必要な時に、複数人でセキュリティ評価を実施でき、自由に評価を更新・確認できること
  • 約3700社と比較した、自社のセキュリティ対応状況の定量的な評価が簡単に行えること (※ 2023年4月時点)
  • 脅威動向や最新の技術トレンドに合わせて評価項目自体がタイムリーに更新され、古くならないこと
  • 自社が実施した対策状況の履歴が、Secure SketCHの画面上に残ること
  • ベンダーによるワンショットの診断費用に比べて、導入しやすい金額であったこと

などでした。

まさに「欲しかったものはこれだ」と感じましたね。

加えて、Secure SketCHのコンセプトとして、ベンダーに依存せず、最終的には自社だけでセキュリティ対策を行えるようになることを想定したツールであることにも共感し、採用することに決めました。

case_fig01.jpg図. 約3700社と比較した、自社のセキュリティ対応状況の定量的な評価が簡単に行える。同業他社比較も可能

また導入したSecure SketCHをより活用するために、同社はNRIセキュアテクノロジーズによるアドバイザリー支援を受けることを決めました。

山本氏 『評価ツールを導入しただけでは、具体的なアクションに繋がらないのではないか。攻撃や対策のトレンド、他社事例などの情報を広く持っている専門家からのアドバイスが必要ではないか』弊社のセキュリティ推進課の設立当初からそのように考えていました。

『自社で行うべきと考えたセキュリティ対策が、妥当なのかどうか。他社と比較した場合に進んでいるのか、それとも遅れているのか。』こうした点について、セキュリティ専門家からオピニオンをもらったり、自分たちの判断の後ろ盾や拠りどころが必要だと思い、アドバイザリーという形で継続的に支援を頂くことになりました。

導入の成果1

対策のベストプラクティスの提案により、自立・自走できるようになった

導入の成果として感じているのが、セキュリティ担当組織として自立・自走する力がついてきたということです。

「なぜその対策を行わないといけないのか」、アドバイザリー支援をつうじて、その「Why」の部分まで共有してもらえるからであると、山本氏は語ります。

山本氏 Secure SketCHでは、いま行うべき対策の概要だけではなく、その対策のベストプラクティスまでしっかり知ることができ、こうした情報を日々まさに参考書的に使っています

NRIセキュア様のアドバイザリー支援では、毎月よく悩みやモヤモヤを相談しています。弊社の現状を根気よく聞いて頂き、課題をくみ取って適切なアドバイスを提供頂いていると感じています。自分たちでセキュリティ対策を推進する上で、NRIセキュア様からいつも背中を押してもらっていますね。

また結論に至るまでの思考や根拠なども一緒に共有していただけるので、自立・自走する力の形成にも繋がっているのではと感じています。今はセキュリティ対策において「元々当社がやりたかったこと」がしっかりできています。

導入の成果2

どこを対策すればいいのかわかるようになり、ロードマップを立てやすくなった

さらに山本氏は、Secure SketCH導入により、セキュリティ対策のロードマップを立てやすくなったと語ります。

山本氏 当初は何から、どのような順番で手を付ければ良いのかを思い悩む状態でしたが、Secure SketCHの導入後、「出来ているところ・出来ていないところ」を明確にすることができました。また、優先的に対応すべき項目が分かったことで、対策のロードマップを立てやすくなりました。

セキュリティ対応状況を数値で評価できるようになり、その数値を継続的に追っていくことができるようになったのも大きな成長だと思います。目標値として社内で共有しやすく、理解もしやすい。対策を行うと数値が上がっていきますので、モチベーションの維持・向上にも繋がっています。

個人の知見に依存せず計画が立てられる。そのメリットを語るのは、実務担当者でもある岡田氏です。

case_okada

SBSリコーロジスティクス株式会社 セキュリティ推進課 岡田昌浩 氏

岡田氏 私はセキュリティ対策のコンセプト立案から技術検証、対策の実務まで、テクニカルな側面を担当しています。一般的にセキュリティ対策のアクションを検討する際、どうしても担当者がすでに知見を持っている分野、経験済みの分野に専門性が偏りがちなのではないでしょうか。

Secure SketCHを使ってみて良かったのは、セキュリティの全体像を把握することができるため、自分の得意分野に偏ることなく、全体のロードマップを踏まえて、いまやるべきことが見えてくるということです。自分では見えていなかった部分について、気づきを与えてくれますね。

一方、清水氏はセキュリティ評価を数値化することのメリットを、コスト最適化の観点からも語ります。

清水氏 自社のセキュリティ対策状況は他社と比べてどうなのか。それを経営層に対して数字で説明できるようになりました。ただスコアを上げていくこと自体を、ゴールだと考えているわけではありません。

数字で表すことで、例えば許容できるリスクはどこまでなのか等、基準づくりができるのです。基準があるからこそ、費用対効果の観点で「やりすぎ」にならない、適切なセキュリティ対応ができると考えています。

同社はまた、NRIセキュアの総合セキュリティベンダーとしての幅広い対応力も評価しています。

山本氏 当社が現在取り組んでいる、BtoC領域の物流に必要なWebEC系システムとの連携などについても、最新事例や他社事例をアドバイス頂けるのでありがたいです。課題に応じて、豊富な社内の専門家人材をご紹介頂けるのも、総合セキュリティベンダーであるNRIセキュア様ならではだと思います。セキュリティ専門家としての対応の幅の広さも信頼感に繋がっています。

今後の展望

Secure SketCHをベースに、グループ内やサプライチェーンへの展開にチャレンジ

最後にそれぞれの立場から、今後の展望やNRIセキュアに期待することを語って頂きました。

山本氏 NRIセキュア様とのコミュニケーションの中で、行うべき対策の指針や進むべき方向性の気づきを頂いています。それが、自分たちで調査しアクションを検討するきっかけになっています。こうした自立に向けた支援を今後もお願いしたいです。セキュリティ担当組織として、今後もますます体力をつけていきたいと思っています。

岡田氏 1年前に正しかったことも、今日では通用しなくなってしまう可能性がある。今のセキュリティの世界には、そんな危機感を抱いています。外部環境の変化や事業の変革に併せて、SBSリコーロジスティクス株式会社のインフラは毎年ダイナミックに変化しており、その変化に応じてセキュリティ対策もアップデートしていく必要があります。

 インフラとセキュリティの双方を時代の要請に応じたものにし続けるために、脅威・セキュリティ対策の動向変化やトレンドに関する情報を、今後もSecure SketCH上の「情報配信」の中から継続的に取得できるとありがたいです。

今後も弊社のチャレンジに伴走いただき、セキュリティ担当組織としてのさらなる自立・自走を支えてもらうことを期待しています。Secure SketCHをつうじて、セキュリティ評価を回し続けることで、セキュリティ評価のスコアを日々向上していくことも、目指します。

case_fig02

図. Secure SketCH「情報配信」において、セキュリティのトレンド記事や技術動向、業界タイムラインを定期配信

清水氏 Secure SketCHをベースにした当社の継続的なセキュリティ運用は、SBSグループ内でもかなり先行した事例となっています。これを今後グループ内で、どのように展開していくのか。そのようなチャレンジを考えられるようになったこと自体、以前の状況から考えると大きな進化だと思います。

また評価の範囲を、業務委託先や開発パートナー、ベンダー、顧客など、サプライチェーンにも適用していくことにも今後挑戦してみたいと考えています。

こうした新たなチャレンジについてNRIセキュア様とどのような取り組みができるのか。今後も期待したいと思います。

case_all_member上段左から足立、瀬戸(弊社)
下段左から岡田様、山本様、清水様(SBSリコーロジスティクス)

※本文中の組織名、職名、概要図は2023年3月時点のものです。

導入いただいた製品資料はこちら

新規CTA

お問い合わせ