出光興産株式会社 様

出光興産では近年、潤滑油、石油化学事業の海外展開を積極的に進めてきましたが、これをきっかけに海外の関連会社が急速に増えています。

海外の関連会社は、それぞれがWebサイトを持って情報を発信しているものの、Webサイトの管理は基本的に関連会社に任せる方針で、厳密に管理できていませんでした。こうした状況下、2013年に海外のある関連会社のWebサイトでセキュリティの問題が発生。これを機会に、世界各国に分散する出光グループ全体のWebサイトの洗い出しが必要と判断されました。情報システム部 システム品質グループの菅原昭伸氏は次のように振り返ります。

「当時、本社で認識しているグループのWebサイトは40近く存在していました。今後、M＆Aによって海外の関連会社が拡大し、Webサイトが世界中に増え続けていく中、高いセキュリティレベルを維持し、ガバナンスを効かせるためには、本社がWebサイトを網羅的に把握して、適切なルールを設定すべきと考えました」。

昨今は大手企業の海外のグループ会社がターゲットとなり、Webサイトの改ざんや個人情報漏洩などのインシデントが発生するケースは少なくありません。その原因は、現地の担当者に管理を任せきりにしてしまい、セキュリティ対策や運用ルールの策定を厳密化してこなかったことや、管理すべき対象の棚卸しが煩雑で手間がかかってしまうことにもあるとも言われています。

出光興産では、GR360サービスを実施後、提出されたレポートとWebサイトのチェックリストをもとに、NRIセキュアの「セキュリティ診断サービス」を実施。サービスメニューの「プラットフォーム診断」によってサーバーのセキュリティパッチの適用状況を把握し、Webサイトの管理者に対して対策を促しました。さらに「Webアプリケーション診断」によって、一部サイトに外部からの不正アクセスに対するリスクがあることを確認し、速やかにセキュリティ対策を行っています。

また、2013年10月1日付けで、出光グループ全体でWebサイトのセキュリティ管理要領を定め、運用ルールの統一を図りました。その結果、国内、海外含めてWebサイトは統一されたルールに基づいて運用される体制に改善されています。
「具体的には、Webサイトの種類をセキュリティレベルに応じて3つに分けました。1つは会社情報など、閲覧を中心としたサイトで、セキュリティレベルを低位に設定しています。
2つめは、サイト検索や商品検索など、検索機能を持つサイトで、セキュリティレベルは中位に設定。3つめは個人情報を扱うサイトで、セキュリティレベルは最高位として、各グループ会社がWebサイトを新規で作成する際は、セキュリティ診断サービスのプラットフォーム診断とWebアプリケーション診断の実施を義務付けています」（菅原氏）。

グローバル企業にとって、Webサイトのセキュリティを含めて、経理、人事など、統一されたルールで運用することが必要不可欠になっています。
出光興産においても、海外進出を本格化していく中で、グループ全体の共通ルールを総合的に定めたもので、その中にWebサイトの運用ルールが設定されたことは画期的と言えます。
「海外に進出する場合、国や企業によって文化が異なるのは当たり前で、Webサイトの場合も、日本とまったく異なる基準で作成されることが往々にして起こります。だからこそ、共通のルールを作成しておくことが重要と判断しました」（菅原氏）。

出光興産では、社内アンケートの情報をもとに自社で作成したWebサイトリストだけでは把握できなかったWebサイトをGR360によって発見し、改めてセキュリティ管理のポリシーや、Webサイト管理の方向性を決定することができました。
NRIセキュアのコンサルタントに対しても「重大なセキュリティの脆弱性についてスピーディに連絡をいただき、早期に対応することができました」と菅原氏は語っています。

今後は、今回定めたWebサイトの運用ルールに基づき、継続的に安全性を確保していく考えです。
海外を含めて関連会社が増え続けていく中で、機会を見ながらGR360を実施し、Webサイトの棚卸しをしていくことも検討していくと言います。菅原氏はNRIセキュアに対して「今までスポット的にセキュリティサービスの提案をお願いしてきましたが、今後は中長期のセキュリティ戦略を見据えた包括的な提案に期待しています」と述べています。

※本文中の組織名、職名、概要図は公開当時のものです。（2014年）