セキュリティ従事者の祭典「Security Innovators Summit by Macnica」に見るセキュリティ総力戦の力
3行でわかる本記事のサマリ
- 「Security Innovators Summit by Macnica」は、セキュリティの理想と現実をテーマに、業界内の課題解決策を参加者全員でディスカッションするイベント
- 日清食品はサイバーセキュリティ強化のため、専門組織を設立し、ランサムウェア対策やセキュリティリスクアセスメントを進め、全社的なセキュリティ意識向上に取り組んでいる
- イベントでは、各企業の先進的な取り組みや実践的なアドバイスが共有され、参加者同士の意見交換や人脈形成が活発に行われた
はじめに
2024年9月13(金)に東京ポートホール竹芝にて、セキュリティ従事者の方を対象とした、参加者交流型招待制イベント「Security Innovators Summit by Macnica」を開催しました。
セキュリティ対策の理想論は、挙げればきりがありません。そして終わりもありません。
日々の膨大な業務やタスクに追われ、その理想論に打ちのめされてないでしょうか?
本イベントでは、「セキュリティ実装の理想と現実」をテーマに、セキュリティの「理想」と「現実」の間に立ちふさがる人や組織、予算確保などの個社固有の課題に焦点を当て、課題を解決するための具体的なアクションを "参加者全員" で徹底的にディスカッションしました。
企画当初は、どれくらいの方が集まってくれるか未知数でしたが、当日は103名が浜松町に大集結!企業のセキュリティ強化に情熱をもったパネラー陣の成功や失敗の物語から、リアルな知見を学び、同じ使命を持つ仲間との対話によって、参加者一人一人の想いに火をつけるような1日となりました。
本記事では、大盛況のうちに幕を閉じた「Security Innovators Summit by Macnica」の熱気をお届けします。
目次
- 日清食品CIOが語る生成AI時代のサイバーセキュリティ対策
- マクニカが考えるセキュリティ総力戦の価値と可能性
1. 日清食品CIOが語る生成AI時代のサイバーセキュリティ対策
本イベントでは、日清食品ホールディングス株式会社の執行役員 CIO グループ情報責任者である成田 敏博氏による講演が行われました。その一部をご紹介します。
DXを進めるにはまず守りから
日清食品は非IT企業ですが、「全社を挙げてデジタルを最大限活用する」という非常に強い熱量が社内にあります。しかし、守りが崩れてしまえば、いかにAIを活用していようが、データドリブンな取り組みをしていてもまったく意味がありません。セキュリティを整え、システムがちゃんと動いている状態を担保してはじめて取り組みが評価されるのです。
これまでの日清食品はお客様の個人情報をあまり保有していなかったために、数年前まではセキュリティの優先度は高くありませんでした。しかし、2030年に向けた中長期成長戦略のなかでは、5つのデジタル施策の強化を掲げ、このうちもっとも優先度が高いものがサイバーセキュリティであり、その強化のために「サイバーセキュリティ戦略室」という専門組織を3年前に設立しました。日清食品のなかにはもともとセキュリティの専門家など1人もいなかったため、外部から専門家を招いて組織を整えていきました。
サイバーセキュリティ戦略室は初めに経済産業省が掲げているフレームワークを使い、現在の自社の状況と、今後は何年でどこまでを目指すべきかなどについて、関係者間での合意を図りました。自社ができていることを可視化した結果、最初はまだまだと言わざるを得ませんでしたが、2025年の目標とすべき水準に向けて取り組みを進めていきました。
ランサムウェア対策を優先的に着手
世の中でもさまざまな事案が起きていますが、ランサムウェアによる被害は経営に極めて大きな影響を及ぼします。そのため、日清食品ではランサムウェアの対策を固めるところから取り組みを始めました。
ただ、サイバー攻撃の手法は複雑化しているうえ、テレワークなどで守るべき社内外の境界があいまいになったり、システムの範囲が拡大していたりと、抜本的な対策は非常に難しくなっています。さまざまな問題があるものの、サイバー脅威は待ってくれないため、優先順位を決めたうえでの対応が必要です。そこで同社では、対策強化のために「外部侵入検知の仕組みの構築」と、「セキュリティリスクアセスメントの実施」という大きな2つのステップを設けました。
1つ目の外部侵入検知は、非常に重要です。たとえば、ランサムウェアの場合は脅迫文をターゲットに突きつけることで目的が達成されますが、そこに到達するまでにはそれなりの時間がかかります。そこで攻撃者の侵入を即時に検知し、60分以内に封じ込めるためのEDR・XDR+SOCといった体制を数年前に構築しました。この仕組みは2023年7月までにグループ会社のすべてに適用し、以降は24時間365日の監視体制を維持しています。
少し前にいくつかのサーバーでEDRが動いていなかったこともありましたが、この体制を敷いていたおかげで、いずれも侵入された当日に完全な潰しこみができました。もしこの芽を摘むことができなければ、日清食品グループとしてマスコミを騒がせるような被害に遭っていた可能性は否めないでしょう。IT部門はこうした取り組みに全力を尽くしていますが、それと同時に、セキュリティの担当者以外の意識を高めることも重要です。
そこで2つ目に実施しているのが、セキュリティリスクアセスメントです。各法人でのセキュリティ対応状況はそれぞれ異なるため、外部の方々にもご協力いただきながら、現在の水準や今後の目標についてアセスメントを行なっています。
また、これに合わせてセキュリティ意識の啓発も実施しています。次の画像は2024年の2月~3月に社内サイバーセキュリティ月間をした際に、ポスター・デジタルサイネージ・ポータルなどに掲示されたものです。
日清食品では、以前はメール訓練も外部のベンダーに依頼していたのですが、現在ではサイバーセキュリティ戦略室の従業員が抜き打ちで年に1~2回の訓練をしています。
標的型メールの訓練を始めた頃(2022年)は、11人に1人が攻撃メールを開いてしまっている状況でした。この話を聞いたCEOの安藤氏は、ラーメン記念日という全社朝礼の際に「会社として非常にリスクが高い、セキュリティの意識を高くもつように」と、トップ自ら注意喚起を行ったそうです。セキュリティ意識が十分でない従業員にも重要性を理解してもらうためには、経営層からの発信も強化していく必要があります。
日清食品の生成AI活用
日清食品では、「NISSIN AI-chat powered by GPT-4o(以下、NISSIN AI-chat)」を自社で開発し、2023年の4月から全社で利用しています。
「ChatGPTでは何ができて何ができないか、どのような制約があるのかといったことを、できる限り早いタイミングで従業員たちが知っておく必要があると思いました。それも誰かに聞いた話ではなく、それぞれが自分の手を動かして肌感としてもっておく、ということが重要です。」成田氏はこのように語り、同社では希望者を募るかたちでChatGPTの利用に関するプロジェクトが立ち上がりました。
2023年の4月時点ではChatGPTは新しい技術であるがゆえのリスクが非常に多いと言われていましたが、リスクを「セキュリティ」と「コンプライアンス」の2つに集約し、法務部・内部監査室・リスクマネジメント室・セキュリティ戦略室といった守りの部門を巻き込んでいったことが成功の鍵とも言えるでしょう。
次の画像はNISSIN AI-chatの初回ログイン画面で、最初にCEOのメッセージが表示されています。メッセージの内容はPC版とスマートフォン版で同じですが、後者はチキンラーメンのキャラクターであるひよこちゃんが最低限把握しておいてもらいたいコンプライアンスのレクチャーをしてくれます。書かれた内容のすべてを把握すると、利用を開始できる仕組です。
CEOが「従来のやり方を変えることには、フラストレーションが溜まると思う。しかし、今後AIを使わずに業務を行うことはあり得ない世の中になっていく。少し立ち止まり、NISSIN AI-chatを使って業務のあり方を変えられないかをぜひみんな考えてみてほしい」といった旨のメッセージを従業員に伝えることで「新しいテクノロジーをちゃんと使っていこう」と意識を変えてくれるきっかけにもなったのではないかと、成田氏はしめくくりました。
2. マクニカが考えるセキュリティ総力戦の価値と可能性
本イベントでは成田氏の講演に続いて、「セキュリティプランニングの理想と現実」や「セキュリティ運用の理想と現実」について、先進的にセキュリティに取り組まれている、ANAシステムズ社、ソフトバンク社、某大手通信業社、リクルート社、Cygames社、ヤンマーホールディングス社、フジテック社がご登壇、リアルな知見を共有しました。
また、締めくくりには佐藤 元彦 氏(伊藤忠サイバー&インテリジェンス株式会社(兼)伊藤忠商事株式会社 CTO / 主席サイバーセキュリティ分析官(IT・デジタル戦略部 技術統括室 ITCCERT)CTO / 主席サイバーセキュリティ分析官(上級サイバーセキュリティ分析官))からの、セキュリティ従事者個人の評価や自己成長に関する問題、経営層との連携、人材不足などの課題に対し、どのようなマインドセットで取り組むべきか、役立つ事例や実践的なアドバイスで閉幕しました。
当日は参加者同士での意見交換も活発に行われ、「有意義な時間だった」「人脈交流が深まった」「十分すぎるほどのリターンがあった」と、挙げればきりがないほどの反響をいただきました。
これまでのセキュリティは「個社でやるもの」という固定観念が存在していたと思います。しかし、セキュリティこそ企業のセキュリティを担う人々の総力戦でアップデートしていくべきだと、私たちは考えています。
そして「守る仕事はかっこいい」「守る仕事に感動を」のようなウェーブを巻き起こしたい。
そんな想いをもって日々活動しています。
悩みを共有し合い、自分では思いつかなかった解決策を見つけることができ、全セキュリティ従事者の知識やスキルの底上げができる場所の提供を志しておりますので、ぜひ次回の開催も楽しみにお待ちください。
▼マクニカが主催するセキュリティセミナー一覧
https://www.macnica.co.jp/business/security/manufacturers/mpressioncss/asm.html