導入の背景

世界各国に分散するWebサイトのガバナンス強化が全社的な課題に

出光興産では近年、潤滑油、石油化学事業の海外展開を積極的に進めてきましたが、これをきっかけに海外の関連会社が急速に増えています。

海外の関連会社は、それぞれがWebサイトを持って情報を発信しているものの、Webサイトの管理は基本的に関連会社に任せる方針で、厳密に管理できていませんでした。こうした状況下、2013年に海外のある関連会社のWebサイトでセキュリティの問題が発生。これを機会に、世界各国に分散する出光グループ全体のWebサイトの洗い出しが必要と判断されました。情報システム部 システム品質グループの菅原昭伸氏は次のように振り返ります。

「当時、本社で認識しているグループのWebサイトは40近く存在していました。今後、M＆Aによって海外の関連会社が拡大し、Webサイトが世界中に増え続けていく中、高いセキュリティレベルを維持し、ガバナンスを効かせるためには、本社がWebサイトを網羅的に把握して、適切なルールを設定すべきと考えました」（菅原氏）

昨今は大手企業の海外のグループ会社がターゲットとなり、Webサイトの改ざんや個人情報漏洩などのインシデントが発生するケースは少なくありません。その原因は、現地の担当者に管理を任せきりにしてしまい、セキュリティ対策や運用ルールの策定を厳密化してこなかったことや、管理すべき対象の棚卸しが煩雑で手間がかかってしまうことにもあるとも言われています。

導入の経緯

スピードとコストを評価してGR360を実施思いもよらなかったWebサイトを発見

グローバルを含めたグループWebサイトの管理強化を目指した出光興産では、2013年5月、具体的なセキュリティ対策を実施する前段階として、海外でのWebサイトの運用環境や、セキュリティレベルの状況を調べることにしました。

そして、いくつかのサービスを検討した中から、NRIセキュアテクノロジーズのWebサイト群探索棚卸しサービス「GR360」の実施を決定します。
GR360とは、関連企業、海外のグループ会社などのWebサイトを探索して棚卸しを行い、簡易チェックによって基本的なセキュリティ状況を把握するサービスです。そこで得られた情報をもとにNRIセキュアがシステム管理者向け、経営層向けのレポートを作成し、報告します。

GR360を採用した理由を菅原氏は「スピード、コスト、品質の高さ」の3つを挙げて次のように語ります。

「短期間に結果がわかるGR360のスピードに期待しました。また、以前にNRIセキュアのセキュリティ診断テストを実施したことがあり、その時の品質の高さに満足していたこともGR360を採用した理由です」（菅原氏）

GR360を実施する際、お客様が事前の調整作業などを行うことはほとんどありません。出光興産の場合も、同社が把握しているWebサイトのリストをNRIセキュアに提出し、Webサイトの管理者に対して情報システム部が「いつからいつまで、Webサイトの棚卸しを実施します」とアナウンスして、NRIセキュアが作成した資料を渡しただけで済みました。

出光興産におけるWebサイトの棚卸し簡易チェックの作業は、2013年の6月から7月にかけて行われました。
NRIセキュアでは、出光興産から提出されたWebサイトのリストをもとに、独自アルゴリズムを用いて、関連するWebサイトを洗い出しています。

そして、棚卸しをしたリストをもとに、Webサイト群のセキュリティレベルを確認し、外部の攻撃者からどのように見えているかを一括チェックして、その結果をもとに報告書を作成しました。

「GR360で洗い出した結果、自社で認識していなかったWebサイトも見つかり、本社の責任で管理しなければならないWebサイトは、全部で42あることが確認できました。そのうち海外の関連会社のWebサイトは、アジアから北米、南米、欧州まで15にのぼっています。今回、GR360の結果をもとにセキュリティ診断まで実施した海外の関連会社向けのレポートは、現地のWeb管理者にも見せるため、英語と日本語の両方での作成を依頼し、海外には英語のレポートを送りました」（菅原氏）

システムの概要図

導入の効果

Webサイトをセキュリティレベルに応じて3種類に分類する運用ルールを策定

出光興産では、GR360サービスを実施後、提出されたレポートとWebサイトのチェックリストをもとに、NRIセキュアの「セキュリティ診断サービス」を実施。サービスメニューの「プラットフォーム診断」によってサーバーのセキュリティパッチの適用状況を把握し、Webサイトの管理者に対して対策を促しました。さらに「Webアプリケーション診断」によって、一部サイトに外部からの不正アクセスに対するリスクがあることを確認し、速やかにセキュリティ対策を行っています。

また、2013年10月1日付けで、出光グループ全体でWebサイトのセキュリティ管理要領を定め、運用ルールの統一を図りました。その結果、国内、海外含めてWebサイトは統一されたルールに基づいて運用される体制に改善されています。

「具体的には、Webサイトの種類をセキュリティレベルに応じて3つに分けました。1つは会社情報など、閲覧を中心としたサイトで、セキュリティレベルを低位に設定しています。2つめは、サイト検索や商品検索など、検索機能を持つサイトで、セキュリティレベルは中位に設定。3つめは個人情報を扱うサイトで、セキュリティレベルは最高位として、各グループ会社がWebサイトを新規で作成する際は、セキュリティ診断サービスのプラットフォーム診断とWebアプリケーション診断の実施を義務付けています」（菅原氏）

グローバル企業にとって、Webサイトのセキュリティを含めて、経理、人事など、統一されたルールで運用することが必要不可欠になっています。出光興産においても、海外進出を本格化していく中で、グループ全体の共通ルールを総合的に定めたもので、その中にWebサイトの運用ルールが設定されたことは画期的と言えます。

「海外に進出する場合、国や企業によって文化が異なるのは当たり前で、Webサイトの場合も、日本とまったく異なる基準で作成されることが往々にして起こります。だからこそ、共通のルールを作成しておくことが重要と判断しました」（菅原氏）

今後の展望

グループ共通の運用ルールに則り継続的にWebサイトの安全性を確保

出光興産では、社内アンケートの情報をもとに自社で作成したWebサイトリストだけでは把握できなかったWebサイトをGR360によって発見し、改めてセキュリティ管理のポリシーや、Webサイト管理の方向性を決定することができました。
NRIセキュアのコンサルタントに対しても「重大なセキュリティの脆弱性についてスピーディに連絡をいただき、早期に対応することができました」と菅原氏は語っています。

今後は、今回定めたWebサイトの運用ルールに基づき、継続的に安全性を確保していく考えです。海外を含めて関連会社が増え続けていく中で、機会を見ながらGR360を実施し、Webサイトの棚卸しをしていくことも検討していくと言います。

菅原氏はNRIセキュアに対して「今までスポット的にセキュリティサービスの提案をお願いしてきましたが、今後は中長期のセキュリティ戦略を見据えた包括的な提案に期待しています」と述べています。

※本文中の組織名、職名、概要図は公開当時のものです。（2014年）