セブン＆アイが語る、セキュリティリスクへの経営理解を得る秘訣

ハイブリッドSOC成功の鍵は「信頼できる協力会社」

廣畑氏は、2024年のセキュリティインシデントの傾向を振り返るところから講演をスタートしました。2024年は公表されたインシデント件数が前年比で約1.5倍 ¹ になっていることに加え、自社組織に起因しない「巻き込まれ事故」が非常に多くなっていることを踏まえ、廣畑氏は、従来型の対策の有効性に懸念を示しました。

また年末年始には、DDoS攻撃に関連したインシデントが相次いで発生したことに触れ、「対価をもらって組織的に攻撃を実行するエコシステムが構築されている。根本的な対策は難しく、ディフェンスサイドが非常に不利な戦いになっている。リスクの兆候を観測したら即座に対応すること、そしてタイムリーに顧客や自社の経営層とのコミュニケーションをとることがますます重要になってきている」と語りました。

量・質ともに変化しているセキュリティリスクに対し、セブン＆アイ・ホールディングスではどのようなセキュリティ体制を敷いているのでしょうか。同社は５年ほど前から、外部SOC（マネージドサービス）と社内で運営するプライベートSOCの「いいとこどり」を目指したハイブリッドSOCを構築・運用しています。特に、外部SOCだけに任せるのでなく、ハイブリッド型としてプライベートSOCを運用する強みは、攻撃に関連する痕跡や情報を自社で分析し、プロアクティブに対応を検討できることだといいます。

「プライベートSOCを持つことで、どんな時期に、どんな領域への攻撃の兆候が増えていたかが把握でき、それを分析してプロアクティブな打ち手を考えられる。たとえば2024年、当社のSOCでは、アナリストによる調査が必要な事案が非常に増加した。これは、複雑性の高い事案が増えているということであり、背景にはAIの進化もあるかもしれないと考えている」（廣畑氏）

こうした同社のハイブリッドSOCの仕組みについては概ね上手くいっているといいます。ただし、ヒト・カネといったリソースをかけるべき領域の見極めを誤ると、とたんに効率が落ちることもあるといい、「この体制を支えてくれているパートナー、協力会社の存在が非常に大きいことを実感している」と、廣畑氏は語ります。

「信頼できるパートナーとの協力関係を作っておくということは、セキュリティマネジメントにおいて何より重要だと考えている」（廣畑氏）

セキュリティガバナンスの推進方法とISMSの取得効果

また廣畑氏は、ここ数年、ISO27001やNIST CSF ² をはじめとしたベストプラクティスの改訂・アップデートが行われたことをとりあげました。近年の改訂では、「ガバナンスの強化」と「サプライチェーンリスク管理」がキーワードになっており、特に「セキュリティ文脈におけるガバナンスと、コーポレートガバナンスとの整合性が非常に重要になってきている」といいます。

セブン＆アイ・ホールディングスでも、グループのガバナンス方針に基づいてセキュリティガバナンスの在り方を定義し、その強化に注力しています。同社は多種多様なビジネスを展開する複合型企業であることから、グループ共通の考え方とビジネス単位での仕組みとの調整に難しさがあるといいますが、「コーポレートガバナンスを出発点として考えることでブレのない体制をつくろうとしている」と廣畑氏は説明。そうしたベースのうえで、事業セグメントごとでのガバナンス推進や、ビジネス単位でのセキュリティ向上をテーマとして施策を推進していると語りました。

このように、全社のガバナンス方針を前提としつつ、事業ごとのガバナンスやセキュリティの体制を整備するなかで、気付きがあったのが、ISMS認証の効果だといいます。

「ホールディングスのなかには、ISMS認証を取得している組織とそうでない組織があるが、両者におけるセキュリティ成熟度の違いがそれなりにあると感じている。意外と言うと怒られそうだが、改めて、ISMSの有効性は一定程度あるんだなという気付きがあった」（廣畑氏）

世界の分断がサイバーセキュリティに与える影響

ここで廣畑氏はトークテーマを、グローバルに進行する「分断」とサイバーセキュリティの関係性に移しました。ここでの分断とは、世界各地で発生している紛争や、政治的・民族的な対立などのことです。このような状況下では保護主義に向かう流れを止められず、グローバリゼーションの時代に戻ることは「基本的には考えにくい」と廣畑氏は語ります。

「たとえばESG投資が実際に減少に転じていたり、多様性ある社会への反対運動もグローバルレベルになってきたりしている。経営層の頭には、こうした世界の潮流が具体的な懸念として存在しているので、それらとセキュリティとの関係性を紐づけてインプットしていくことも、私たちセキュリティ部門の重要な役割になる」（廣畑氏）

保護主義や地政学リスクなどにより、国レベルでの機密情報の窃取が行われており、DDoS攻撃などもそれに関連して発生していると廣畑氏はいいます。たとえば、2024年のアメリカ大統領選の時期には、セブン＆アイ・ホールディングスにも外部からのサイバー攻撃が増加しました。しかし、どこから攻撃が来るのかは予測しづらく、「ますますディフェンス側が不利な状況になっている」と廣畑氏は語ります。

加えて、セキュリティ技術をリードする国々における政治的な不安定さによるリスクも生じていると廣畑氏は分析します。たとえば、ロシア、ウクライナ、イスラエルなどに開発拠点を持つセキュリティベンダーは少なくありません。そうしたベンダーのソリューションが地政学的リスクによりどう影響を受けるか、たとえば技術の一次的な停滞や情報の囲い込みなどがあるかどうかなどについて、ユーザー企業が連携して把握に努めるべきだと廣畑氏は提言しました。

経営理解を得るためには「自分なりのインサイト」を語ること

こうした社会環境のなかで、セキュリティリーダーにはどういった役割が求められるのでしょうか。廣畑氏は、「セキュリティという特殊な領域そのものについて経営層にわかってもらうという発想は、私自身はだいぶ昔に捨てている」と割り切ります。

「成長戦略をはじめとする経営管理が上手く回るためには、適切なリスクマネジメントが必要であること。そして世の中の潮流として、リスクマネジメントのなかでも特に重要になっているのがサイバーセキュリティなのだと経営層に理解してもらうことが、セキュリティ活動の出発点になると考えている」（廣畑氏）

そうした経営層の理解を得るためにも、リスクマネジメントに必要な情報を精査して、現場と経営をしっかりと繋げるようなコミュニケーションをとること、それこそがセキュリティリーダーのなすべきことだと廣畑氏は説明しました。

具体的には、セキュリティリスクに関する様々なレポートを有効に活用して、経営層にリスクを理解してもらうこと、さらにそうした外部データから読み解いた、自分なりのインサイトを語ることが大切だといいます。

「経営層との対話のなかでは、セキュリティリスクの背景にあるものや、自社が置かれている状況の説明に時間を使うようにしている。セキュリティという特殊な領域についての理解を求めることは、経営層に我々の思考のレイヤーまで降りてきてもらうという発想。そうではなく、我々が経営層の思考のレイヤーに合わせていく工夫や努力が必要」（廣畑氏）

分断時代にセキュリティリーダーが果たすべき役割

さらに、世界が分断されつつある時代においてセキュリティリーダーが果たすべき最も大きな役割が、「組織を超えたコミュニケーションの推進」「業種・業界を超えた相互協力」だと廣畑氏はいいます。

「セキュリティはビジネスの差別化要因ではなく、各社共通の目的であるべきだと思っている。そうした共通善が、持続的な連携のモチベーションになるのではないかと期待している」（廣畑氏）

セキュリティ関連のトレンドは変化が速いため、垣根を超えたコミュニケーションをとって、情報・ノウハウを共有するメリットは大きいと、廣畑氏はいいます。組織を超えたコミュニケーションによって効果的にセキュリティを強化していけるテーマの具体例として、廣畑氏は「Best of Breed vs Best of Suite（※）」「セキュリティオペレーションの自動化」「IDベースのセキュリティ対策」「量子暗号などの技術進展を踏まえた対策」などをあげ、産学官で連携していけるような場が重要になると語りました。

（※）Best of Breed：分野ごとに、最も優れた機能を持つ情報システム製品を選定・利用すること
Best of Suite：同一ベンダーが提供する情報システム製品を選定・利用すること

最後に廣畑氏は、「我々一人ひとりが相互協力のための役割を果たしていく、そこにモチベーションを感じられるような世の中になっていけばと願っている」と語り、講演を締めくくりました。

（文：渡邊智則）