キリングループにおけるCSIRT構築をはじめとしたセキュリティ強化支援
食から医にわたる領域を支えるセキュリティ強化施策
キリンビジネスシステム株式会社
システム基盤統轄部
統轄部長 縣 聖二 氏
キリンビジネスシステムは、キリングループのIT関連業務を担っています。キリングループの戦略に基づいたシステム開発・運用・保守・ユーザー支援などの領域において、グループの情報機能会社として専門性を発揮しITのソリューションを提供しています。
01
導入前の課題
食から医にわたる領域を支えるITが抱えていたセキュリティ課題とは
全国に生産現場である工場を保有し、酒類を含めた国内飲料事業、医薬事業等を展開するキリングループ。それらを支えるIT基盤は非常に大規模かつ複雑であり、事業を加速するための重要な要素として位置づけられています。一方、大規模なIT基盤には、それを維持するためのセキュリティが必要不可欠な要素となっています。
サイバー空間(インターネット)からの脅威をはじめとし、ITを取り巻く複数のセキュリティ脅威を正しくリスク分析し、対策をしていくことはとても重要です。しかし、目まぐるしいスピードで変化する脅威に対応できる社内リソース(人材/設備)を備えることはとても難しく、キリングループでも以下の課題を抱えていました。
セキュリティ脅威に対する監視、対応、予防措置が不十分である
グループ社内においてマルウェアの感染が発生し、運用部門と利用部門に影響が発生していた時期がありました。またインシデント予防対策が不足しているため、本来は未然に防げていたインシデントが発生していた状況でした。
事業部門を支える支援体制が整っていない
キリングループは事業成長を加速させるために、IT導入を推進しています。しかしセキュリティに関する技術的なサポートをおこなう体制が充分でなく、個別にセキュリティに関する要件を整理する必要があり、負担がかかっている状況でした。
そのためセキュリティに関する相談窓口の整備をはじめとした支援体制強化の必要性がありました。
効果的なセキュリティ投資を裏付ける技術力の不足
コンサルタントなどの外部専門会社から提案される対応投資計画を正しく判断するためには、セキュリティに関する正しい知識や技術力が必要不可欠です。今、そのセキュリティ人材は、どこの会社でも不足している状況です。キリングループでも同様に、対応できるセキュリティ人材の確保に課題がありました。
02
選定・導入決定ポイント
セキュリティ領域において当社を採用頂いた理由
当社は、これまでさまざまな業種業態でお客様システム環境の運用を担っており、お客様のビジネス状況やご要件に適した運用支援を実施しています。
キリングループ様においても2009年からネットワーク、サーバのインフラの運用支援をおこなっており、IT技術領域の強み、折衝力を活かした顧客目線でのサービス提供に注力してまいりました。その運用支援での実績をご評価いただき、今回のセキュリティ支援に対する参画要望をいただきました。
03
導入決定から本番稼働までのプロセス
技術的対策と組織的対策の実施
セキュリティ脅威に対する技術的対策
技術的対策はセキュリティ脅威対策に直結するため、迅速な対応が求められます。優先順位の高い対策から早期に実施することで、効率的にセキュリティ脅威への対応能力を向上できるよう支援させていただきました。
- セキュリティアラートの監視とセキュリティ製品の運用
既存のセキュリティ製品であるアンチウイルスソフトや新規導入したサンドボックスの運用を整備し、各セキュリティアラートに対応できるように監視体制を強化しました。またセキュリティ製品の運用維持管理業務も当社が担当し、IT領域の技術力を活かしたセキュリティ運用監視基盤を構築しました。 - 予防対策の実施
インシデントは事前の予防対策がとても重要です。脅威情報の早期収集をおこない、分析した上で、対応策の検討をおこないます。その中でも最も効果が高い手法として、セキュリティ製品のチューニングやセキュリティパッチの適用等、影響と効果を判断し、対策を決定、実施していきました。
事業部門を支える支援体制
- CSIRT構築及び運営
セキュリティインシデントを適切に対処することはとても重要ですが、複雑な対応が要求されます。そこでインシデント対応能力向上のため、お客様と一緒にCSIRTの構築を支援させて頂きました。また短期的な構築支援に留まらず、継続的なCSIRT運営も支援しています。
- 対応・相談窓口の強化
セキュリティの重要性を社内に浸透させるため、プロモーション活動に力を入れました。まず当社IT構築部門と連携し、セキュリティポータルサイトを構築、セキュリティに関する情報窓口を一本化し、連絡窓口の強化や情報発信基盤を整備しました。また実際の問合せ対応も実施しており、運用フェーズにおいても継続的な支援を実施しています。 - 社員教育支援
標的型メール訓練といった教育支援や、ポータルサイトなどを活用したセキュリティ注意喚起情報を発信することで、社員の注意力を強化しています。また新しい脅威に備え、不足している規定の作成支援を実施しています。
効果的なセキュリティ投資を実現する意思決定支援
セキュリティ対策は、完璧な対応をおこなうことは難しく、また予算も限りがあるため、より効果の高いものから投資していく必要があります。企業によって脅威から守る対象が異なるため、企業ごとの脅威の特定と、最も効果的な対策をおこなう計画は必要不可欠です。それを得意とするセキュリティコンサルタント企業はありますが、提案された計画、製品、コストの妥当性について、正しく理解し、判断するセキュリティ人材が必要です。今回のお客様のケースでは外部専門会社からコンサルティング提案を受けておりましたが、ご提案頂くセキュリティ投資計画を精査し、施策効果や実現性、リスクなどの評価をおこないました。そして評価結果をお客様にご理解いただくことで、最適な投資判断ができるように支援させていただきました。
04
導入効果や製品・サービスの評価
技術対策と組織対策を強化した事業を支えるセキュリティ組織の誕生
セキュリティ脅威に対する技術的対策
セキュリティ監視体制強化により、これまでウイルスに感染し、被害が発生していた事案が、初期の段階で検知、防止できるようになりました。また脅威情報を日々収集し、早期にセキュリティ製品のチューニングや運用製品のメンテナンスを促していくことで、被害を抑止できるようになりました。
事業部門を支える支援体制
CSIRTを設立したことで、各インシデントへの対応速度が向上し、安定したインシデントコントロールができるようになりました。また各グループ会社や他組織などから詳細情報が集まりやすくなり、社内関係部署との連携を強めることができるようになったため、難易度の高い事案にも組織一丸となって取り組めるようになりました。
さらに事業部門を支えるサポート窓口の整備、運営により、新規事業立ち上げ時や新規IT導入時のセキュリティ対策が強化でき、事業成長を加速させることに貢献できました。同時に社員の注意力が強化されたことで、不審なメールへの対応力向上や、インシデント時における早期のエスカレーションが可能になりました。
効果的なセキュリティ投資を実現する意思決定支援
投資の効果や実現性、リスクが可視化されたことで、セキュリティ投資計画に対する意思決定判断が早くなり、効果的な投資判断をいただける環境が整備されました。また最新の脅威状況に対して、臨機応変に計画の軌道修正を提案させていただくことで、目まぐるしい速度で変化する脅威に対しても、対応能力が向上しました。
05
今後の展開
セキュリティ人材不足に悩むお客様に
アークシステムは、コンサルティングやセキュリティツールの導入など一部の領域のみに留まらず、セキュリティを経営課題として悩まれているお客様と同じ目線で考え、網羅的な支援をすることで最大の価値提供ができることを目指しています。 外部のサービス、製品やノウハウなどを必要に応じて効果的に利活用し、お客様にとって最適なご提案、ご支援ができることが私たちの強みです。セキュリティ人材が足りない、セキュリティ課題を解決したい、そのようなお客様の力になれるよう、今後も技術力を磨いて参ります。
06
お客様からの感想、今後の期待
製品運用にとどまらない、キリンの事業を守るセキュリティ支援へ
当初の期待
アークシステムはもともと当社インフラチームにおいてネットワークを始めとしたインフラ運用をおこなっており、その中でセキュリティ製品を扱った実績をもっていた。その後セキュリティ製品の運用が当社インフラ部門から情報セキュリティ部門へ移管することになり、そのままセキュリティ運用をお願いする形となったが、当社風土・環境を熟知し、セキュリティ製品の知見をもつアークシステムが担当することで、今後の運用が円滑におこなえるという期待感があった。
支援に対するご評価
キリングループのセキュリティ運用を担うということは、キリンのお客様とキリンブランドを守るということ。
単に製品導入やインシデント対応をおこなうだけでなく、キリンの事業にどう影響するかを考えてグループ会社との調整や対策をおこなっていく必要がある。そういった意味で、期待以上の成果をあげていただいていると考えている。CSIRTの提案・構築を始めとし、日々の製品運用、インシデント対応はもちろんのこと、当社のセキュリティ計画に沿ったスピーディな提案や、時には将来起きることを予見した計画外の提案・施策実施など、キリンにとって大事なところを押さえて支援していただいている。
技術者集団がシステムの運用・改善を担当してくれることにとどまらず、キリンの現状・将来を踏まえてもう一歩踏み込んだ支援をしていただいていることに価値を感じている。
今後一緒にチャレンジしていきたいこと
引き続き、世の中の変化やキリンの将来を見越した支援をお願いしたい。
また当社グループでは新たな働き方改革として「『働きがい』改革 KIRIN Work Style 3.0」に取り組んでいるが、セキュリティという観点でもそこに貢献していきたいと考えている。さらにグローバルガバナンスや個人情報保護ポリシーの強化など、今後情報セキュリティに関連して考えていかなければならないテーマは数多くある。そういった数多くのテーマに対して、会社の枠を超えた積極的な提案と施策推進に期待している。
事業活動を制限するセキュリティ組織ではなく、事業活動をサポートし、社内外に貢献していけるようなセキュリティ組織を一丸となって作っていきたい。
(キリンビジネスシステム株式会社 システム基盤統轄部 統轄部長 縣 聖二 氏)
※ 掲載内容ならびに社名等の記載は、取材当時のものです。