伊藤忠商事がサイバーセキュリティー分野で大きな一歩を踏み出した。2023年2月にグループのサイバーセキュリティー底上げに向けて専門子会社の伊藤忠サイバー&インテリジェンス(以下ICI)を設立。外部のセキュリティー企業からトップエンジニアを招いて中核に据えつつ、採用と教育に注力し組織の拡大を狙う。
非IT業界の事業会社がサイバーセキュリティーを専業とする子会社を立ち上げるのは珍しく、ICIは国内では初としている。グループ内のシステム子会社や外部ベンダーに頼る手もあるなか、伊藤忠商事があえてICIを設立したのはなぜか。
グループ200社を守る
ICIの主な役割は3つある。伊藤忠商事がグループ企業約200社のサイバーセキュリティーを確保するために策定したフレームワークを運用することと、各社がサイバーセキュリティーリスク管理の指針であるガイドラインを順守できるように支援すること、セキュリティーを強化するためのIT基盤や各種サービス(総称して「プログラム」と呼ぶ)を提供すること――である。
ガイドラインには、サイバーセキュリティーに関して最低限守るべき40項目を定めた「ミニマムスタンダード」や、より詳細な管理策を600項目列記した「リスク評価シート」などが含まれる。ミニマムスタンダードには例えば「VPN(仮想私設網)装置は独立したセグメントに置いて通信制限をする」「ネットワーク機器の管理ポートを開放しない」「重要なシステムのデータはバックアップを隔離して確保する」といった、サイバーセキュリティーにおける基礎中の基礎ともいえるルールが並ぶ。一方のリスク評価シートはそれらルールを詳細にしたものであり、それぞれの現場で選択する。
グループ会社をどこまで守るかのレベルについて、伊藤忠商事はA、B、Cの3区分を設けた。まず最も管理基準の高いAには約50社を指定した。収益上のインパクトが大きい子会社のほか、所持する情報の重要度やサプライチェーンの大きさ、知名度などの観点で、サイバーセキュリティーのリスクが大きい子会社などが該当する。
Bは約100社。Aに該当しない連結子会社と海外現地法人などだ。Cは残り約50社で、Bに該当しない直接投資先や関連会社などが当てはまる。セキュリティー意識の高まりなどから自主的に上のレベルへの適用を希望するグループ企業もあるという。
一般にサイバーセキュリティーのルールが厳しければ厳しいほど現場の負担が大きくなる。「(セキュリティー維持に必要な作業項目を列記した)チェックリスト(を配って実施を求めるだけ)ではセキュリティーは守れない」(ICIの山田真也サイバーセキュリティ本部長、本記事における取材対象者の肩書は2023年4月以降のもの)。
そこでICIは前述のプログラムを有償で提供する。プログラムにはガバナンスの構築、セキュリティーリスクへの対応、監視などを含む。セキュリティーの共通基盤も、既存のクラウドサービスなどを組み合わせて構築する。共通基盤に関し、定型のオペレーション業務などは外注するが、高度な運用についてはICIの社員が担う。
ICI設立の背景には、2020年以前から続く標的型攻撃や2021年以降に勢いを増したランサムウエア(身代金要求型ウイルス)の脅威がある。これらはグループ企業1社への攻撃がグループ全体、サプライチェーン全体への攻撃へと急速に拡大しやすい。
対策は急務で、例えば防衛省は2023年4月以降、米政府が採用する、サプライチェーンをサイバー攻撃から守るための対策をまとめたガイドライン「NIST SP800-171」を参考にした新たなセキュリティー基準を運用する予定である。グループ企業が様々な業種や地域にまたがる伊藤忠商事にとっても、サプライチェーンの防御は喫緊の課題だったわけだ。
