全2628文字
PR

 アサヒグループホールディングス(アサヒGHD)のCSIRT(コンピューター・セキュリティー・インシデント・レスポンス・チーム)「ASAHI-CSIRT(ASAHI Cyber Security Incident Response Team)」は、同社のCIO(最高情報責任者)が統括する仮想的な組織である。所属するメンバーは同社のIT部門や総務部門、アサヒグループの財務や人事、総務、情報システムなど各種の管理・間接機能を一手に引き受けるアサヒプロマネジメントのITイノベーション戦略部、システム子会社であるアサヒビジネスソリューションズのメンバーが中心となって運営する。

取り組みは政府基準で4点満点中「1点」

 「東京オリンピック・パラリンピックの影響が大きい」。ASAHI-CSIRTでリーダーのサポートに当たるアサヒプロマネジメントの北浦靖司ITイノベーション戦略部インフラグループグループリーダーは、アサヒGHD がASAHI-CSIRTを2016年8月に立ち上げたきっかけをこう振り返る。当時、アサヒGHDは東京オリパラのゴールドパートナーに決まり、欧州企業を相次ぎ買収。欧州連合(EU)の一般データ保護規則(GDPR)の順守も必須となった。

アサヒプロマネジメントのITイノベーション戦略部インフラグループの北浦靖司グループリーダー(左)と北島輝子インフラ戦略チームリーダー
アサヒプロマネジメントのITイノベーション戦略部インフラグループの北浦靖司グループリーダー(左)と北島輝子インフラ戦略チームリーダー
[画像のクリックで拡大表示]

 一層のセキュリティー対策が欠かせない――。アサヒGHDはまず2016年3月から約3カ月間をかけて、社内アセスメントを実施した。「サイバーセキュリティ経営ガイドライン」にある「サイバーセキュリティ経営の重要10項目」に照らし合わせて、自社の体制をチェック。協力を仰いだ外部のセキュリティーコンサルティング会社が独自に10項目それぞれについて4点満点で0.1点刻みに採点し、全体の平均点を出した。

 結果は「1.0点」。8項目が平均の2点に満たず、全体としてはセキュリティー対策を「実施しているが、課題がある」という評価だった。「社内に衝撃が走った」。北浦グループリーダーは当時をこう振り返る。自社でセキュリティールールを定め、システム子会社を中心にしっかりと取り組んでいるという自負があったからだ。

 政府基準に照らし合わせると足りない点がある。金融機関のように全項目で4点満点を取るのは難しいが、4点に可能な限り近づけなければならない。そう痛感したアサヒGHDの経営陣はセキュリティーに注力すると表明。「ITで会社の重要な情報を徹底的に守ってほしい」という経営陣の指示の下、現場は急ピッチでセキュリティー対策の強化に取り組み始めた。

この記事は有料会員限定です

日経クロステック有料会員になると…

専門雑誌8誌の記事が読み放題
注目テーマのデジタルムックが読める
雑誌PDFを月100pダウンロード

日経電子版セット今なら2カ月無料