セキュリティ対策状況可視化サービス 導入事例住友金属鉱山株式会社 様

自社のセキュリティ対策の現状を可視化
業界水準を把握しながら、適切なコストでの対策・運用を目指す

世界の非鉄リーダーを目指す住友金属鉱山株式会社(以下、住友金属鉱山)は、従来からセキュリティ対策に力を入れており、次世代ファイアウォールやSOC(Security Operation Center)なども導入してきました。十分なセキュリティレベルを担保していると感じていた同社が、これまでのセキュリティ対策が適切であったか確かめ、今後のセキュリティ対策の方針策定のために、NRIセキュアテクノロジーズのセキュリティ対策状況可視化サービスの利用を決定。運用や今後のセキュリティレベル向上に役立てています。

導入背景:中期計画に今後のセキュリティ対策を盛り込むためにも現状の可視化が急務

住友金属鉱山の情報システム部は、予算ヒアリング等の場において、経営層から自社のセキュリティ対策は世の中と比べてどのような状況なのかと聞かれ、セキュリティ対策状況を可視化するサービスの検討を始めました。「ここ数年、さまざまなセキュリティ対策機器やサービスを導入し、十分な対策を行えていると考えていましたが、大きな過不足がないかを知りたいと思いました。また、導入した対策が十分な効果を出しているか、コストは適正か確認する必要もありました」と情報システム部 部長の伊藤順一氏は話します。

2019年から2021年までのセキュリティ対策のロードマップを策定するために、現状のセキュリティ対策の可視化が必要だと考えたといいます。住友金属鉱山では、中期計画策定スケジュールに合わせ、短期間で有効な分析を行えるサービスを求めて、3社のサービスを比較検討していました。

case_smm_ito
住友金属鉱山株式会社
情報システム部 部長
伊藤 順一 氏

「このサービスは、セキュリティ対策を最適化する効果があると思います。コストのかけすぎを防ぐとともに、コスト重視で大きなリスクが放置されていることに気づくことができるメリットは大きく、セキュリティに対する予算の必然性を証明してくれます」

導入経緯:体系立ったフレームワークを持っているセキュリティ対策状況可視化サービスを採用

同社がNRIセキュアテクノロジーズのセキュリティ対策状況可視化サービスを採用したのは、コストパフォーマンスが高く、効果の高いフィードバックを得られそうだったためと、情報システム部 担当課長の小川哲史氏は説明します。「各社の提案の中で、NRIセキュアテクノロジーズの提案が自社への負担は高いものの、内容の濃いフィードバックが得られると感じました。NRI Secure Framework(NSF)という体系立てられたフレームワークがあるのも安心でしたし、同じグローバルな製造業の中でどの程度セキュリティ対策ができているかを比較できることもよかった点です。中期計画策定のために7月を1つの区切りとしなければならない中で、タイトなスケジュールにも柔軟に対応してくれました」。

また、以前にもセキュリティ対策状況可視化サービスを利用していたことも、採用の決め手となりました。「3年前に工場の制御系のセキュリティ対策を診てもらったのですが、その報告に満足したことと、同じコンサルタントをアサインしていただけることも決め手でした。深い業務知識を持ち当社の現場のこともわかっている人が担当になり、ヒアリングもスムーズでした」と情報システム部 担当課長の安藤誠敏氏も言います。3年前は、海外の原子力発電所などがStuxnetによる制御系システムへの攻撃を受けていた時期で、住友金属鉱山は、セキュリティ対策状況可視化サービスを、制御系システムのセキュリティ基準の策定に役立てたといいます。

ヒアリングのフェーズは、日程調整がスムーズに行われ、情報システム部だけでなく愛媛県新居浜市にある主力工場のキーパーソンへのヒアリングも含み、短期間でプロジェクトを終えることができました。

case_smm_ogawa
住友金属鉱山株式会社
情報システム部 担当課長
小川 哲史 氏

「セキュリティ対策自己診断テストを行ったことがありますが、やはり先入観があり、客観性に欠けました。第三者の目で見てもらうことで、セキュリティ面の甘さなどに気づくことができ、今後の対策に役立てられます」

導入経緯:体系立ったフレームワークを持っているセキュリティ対策状況可視化サービスを採用

導入効果:工場や海外も含めてセキュリティ運用を見直しセキュリティレベルを向上

セキュリティ対策状況可視化サービスの結果は、業界標準以上の対策ができているというもので、これまでの取り組みが間違いではなかったと確信し、グローバルな製造業の中でのポジショニングを確認できました。一方で運用面ではいくつか指摘があり、改善が必要なことがわかりました。「少なからず現場任せにしていた部分があることが判明しました。たとえば、Windows Updateのルールを決めても現場は操業第一であるため、ルール通りにやれない人も出てきます。情報システム部としてしっかりと現場に寄り添っていかなければ、セキュリティの底上げを行うことはできないと感じました」。

工場診断の結果は、現場へのフィードバックに活かされ、工場の中期計画にも反映させたといいます。結果を他工場にも横展開することで、現場レベルでのセキュリティ向上を目指しています。

海外拠点に対しては、情報システム部が積極的に関与できていませんでしたが、改善してグループ全体のセキュリティレベルを上げることを目指します。「海外拠点は規模がさまざまなので、すべての拠点で同じ対策を立てると無駄が多く、費用対効果を考え、メリハリを付けて対策をする必要があります」と伊藤氏は話します。

case_smm_andou
住友金属鉱山株式会社
情報システム部 担当課長
安藤 誠敏 氏

「製造現場は稼働率や操業が最重要課題であるためセキュリティルールが疎かになってしまう場合もがあります。我々がセキュリティ対策の重要性について、現場へ語りかけ続けることが重要です。このサービスで、その基準を示すことができてよかったですね」

今後の展望:IoTやRPAなどの新たな取り組みにもセキュリティ対策を立てていく

住友金属鉱山の情報システム部は、今後も継続してセキュリティ対策を見直す必要があると感じています。「セキュリティを取り巻く状況は、数年で大きく変化しています。新たなテクノロジーも生まれていく中で、改めてセキュリティの専門家に診てもらうタイミングは必ず来ると思いますね」と伊藤氏は話します。同社では、2018年7月にIoTに対するセキュリティ基準を定めており、今後のRPA(Robotic Process Automation)導入やクラウドサービスを利用したコミュニケーション基盤導入などでも、海外も含めた各部署への働きかけやセキュリティの啓蒙を強化していきます。

「優秀な人材が不足しているセキュリティの専門家を社内に置くことは現実的でないため、SOCを外部に依頼していますが、その外部のSOCと会話できる社内人材は不可欠です。セキュリティの専門知識よりも、そのセキュリティリスクが業務に与える影響を見極められる人材が必要ですね。NRIセキュアテクノロジーズには、今後も新たな取り組みを行った際の啓蒙活動やコンサルティングの支援をお願いしたいです。国内外で業務に従事する人たちが安全に使えるシステム・環境を提供することがこれまで以上に求められると考えています」と最後に伊藤氏は話しました。

セキュリティ対策状況可視化サービス製品情報はこちら

会社概要

住友金属鉱山株式会社

住友の銅事業は、1590年に蘇我理右衛門が京都で銅製錬・銅細工を開業したことに始まり、住友金属鉱山は、その源流事業を継ぎ、鉱山開発を行い鉱石を採掘する「資源」、その鉱石から高品質な金属素材を生み出す「製錬」、金属素材に、さらに時代が求める価値を付加する「材料」の3つのコアビジネスを行っています。国内で唯一の商業規模で操業を続ける金属鉱山、菱刈鉱山を保有し、国内唯一の電気ニッケルメーカーであり、近年では、電気自動車用の電池材料としてニッケル酸リチウムのメーカーとしても知られています。

http://www.smm.co.jp/

※本文中の組織名、職名、概要図は公開当時のものです。(2018年)