グローバルを含めたグループWebサイトの管理強化を目指した出光興産では、2013年5月、具体的なセキュリティ対策を実施する前段階として、海外でのWebサイトの運用環境や、セキュリティレベルの状況を調べることにしました。
そして、いくつかのサービスを検討した中から、NRIセキュアテクノロジーズのWebサイト群探索棚卸しサービス「GR360」の実施を決定します。
GR360とは、関連企業、海外のグループ会社などのWebサイトを探索して棚卸しを行い、簡易チェックによって基本的なセキュリティ状況を把握するサービスです。そこで得られた情報をもとにNRIセキュアがシステム管理者向け、経営層向けのレポートを作成し、報告します。
GR360を採用した理由を菅原氏は「スピード、コスト、品質の高さ」の3つを挙げて次のように語ります。
「短期間に結果がわかるGR360のスピードに期待しました。また、以前にNRIセキュアのセキュリティ診断テストを実施したことがあり、その時の品質の高さに満足していたこともGR360を採用した理由です」。
GR360を実施する際、お客様が事前の調整作業などを行うことはほとんどありません。出光興産の場合も、同社が把握しているWebサイトのリストをNRIセキュアに提出し、Webサイトの管理者に対して情報システム部が「いつからいつまで、Webサイトの棚卸しを実施します」とアナウンスして、NRIセキュアが作成した資料を渡しただけで済みました。
出光興産におけるWebサイトの棚卸し簡易チェックの作業は、2013年の6月から7月にかけて行われました。NRIセキュアでは、出光興産から提出されたWebサイトのリストをもとに、独自アルゴリズムを用いて、関連するWebサイトを洗い出しています。そして、棚卸しをしたリストをもとに、Webサイト群のセキュリティレベルを確認し、外部の攻撃者からどのように見えているかを一括チェックして、その結果をもとに報告書を作成しました。
「GR360で洗い出した結果、自社で認識していなかったWebサイトも見つかり、本社の責任で管理しなければならないWebサイトは、全部で42あることが確認できました。そのうち海外の関連会社のWebサイトは、アジアから北米、南米、欧州まで15にのぼっています。今回、GR360の結果をもとにセキュリティ診断まで実施した海外の関連会社向けのレポートは、現地のWeb管理者にも見せるため、英語と日本語の両方での作成を依頼し、海外には英語のレポートを送りました」(菅原氏)。
「GR360で世界中にあるグループ会社のWebサイトの棚卸しを行ったところ、予想していなかったWebサイトが存在していたり、セキュリティの脆弱性が発見されたりするのは意外な結果でした。しかし、そのおかげでグループ全体のセキュリティレベルを高めることができたと思います。GR360は、海外拠点のWebサイトに対して、レポートも英語と日本語の両方で作成が可能なため、海外でビジネスを展開する当社にとって非常にありがたいサービスです」
出光興産では、GR360サービスを実施後、提出されたレポートとWebサイトのチェックリストをもとに、NRIセキュアの「セキュリティ診断サービス」を実施。サービスメニューの「プラットフォーム診断」によってサーバーのセキュリティパッチの適用状況を把握し、Webサイトの管理者に対して対策を促しました。さらに「Webアプリケーション診断」によって、一部サイトに外部からの不正アクセスに対するリスクがあることを確認し、速やかにセキュリティ対策を行っています。
また、2013年10月1日付けで、出光グループ全体でWebサイトのセキュリティ管理要領を定め、運用ルールの統一を図りました。その結果、国内、海外含めてWebサイトは統一されたルールに基づいて運用される体制に改善されています。
「具体的には、Webサイトの種類をセキュリティレベルに応じて3つに分けました。1つは会社情報など、閲覧を中心としたサイトで、セキュリティレベルを低位に設定しています。2つめは、サイト検索や商品検索など、検索機能を持つサイトで、セキュリティレベルは中位に設定。3つめは個人情報を扱うサイトで、セキュリティレベルは最高位として、各グループ会社がWebサイトを新規で作成する際は、セキュリティ診断サービスのプラットフォーム診断とWebアプリケーション診断の実施を義務付けています」(菅原氏)。
グローバル企業にとって、Webサイトのセキュリティを含めて、経理、人事など、統一されたルールで運用することが必要不可欠になっています。
出光興産においても、海外進出を本格化していく中で、グループ全体の共通ルールを総合的に定めたもので、その中にWebサイトの運用ルールが設定されたことは画期的と言えます。
「海外に進出する場合、国や企業によって文化が異なるのは当たり前で、Webサイトの場合も、日本とまったく異なる基準で作成されることが往々にして起こります。だからこそ、共通のルールを作成しておくことが重要と判断しました」(菅原氏)。
出光興産では、社内アンケートの情報をもとに自社で作成したWebサイトリストだけでは把握できなかったWebサイトをGR360によって発見し、改めてセキュリティ管理のポリシーや、Webサイト管理の方向性を決定することができました。NRIセキュアのコンサルタントに対しても「重大なセキュリティの脆弱性についてスピーディに連絡をいただき、早期に対応することができました」と菅原氏は語っています。
今後は、今回定めたWebサイトの運用ルールに基づき、継続的に安全性を確保していく考えです。海外を含めて関連会社が増え続けていく中で、機会を見ながらGR360を実施し、Webサイトの棚卸しをしていくことも検討していくと言います。菅原氏はNRIセキュアに対して「今までスポット的にセキュリティサービスの提案をお願いしてきましたが、今後は中長期のセキュリティ戦略を見据えた包括的な提案に期待しています」と述べています。
出光興産株式会社
1911年に北九州門司で出光商会として創業。
「人間尊重」の考えを経営理念とし、事業を通じて実践し、広く社会で期待され信頼される企業となることを目指している。事業領域は、燃料油や基礎化学品を中心とした基盤事業に加え、コア技術を発展させた潤滑油や機能化学品、機能性樹脂、有機ELなどの電子材料に至る高機能材事業、石油開発をはじめ石炭、ウラン、地熱など資源事業をグローバルに展開する。
http://www.idemitsu.co.jp/
※本文中の組織名、職名、概要図は公開当時のものです。(2014年)
