全2734文字
PR

 アサヒグループホールディングス(アサヒGHD)のCSIRT「ASAHI-CSIRT」は、同社のCIOが統括する仮想的な組織である。所属するメンバーは同社のIT部門や総務部門、アサヒグループの財務や人事、総務、情報システムなど各種の管理・間接機能を一手に引き受けるアサヒプロマネジメントのITイノベーション戦略部、システム子会社であるアサヒビジネスソリューションズのメンバーが中心となって運営する。

取り組みは4点満点中「1点」

 「東京オリンピック・パラリンピックの影響が大きい」。ASAHICSIRTでリーダーのサポートに当たるアサヒプロマネジメント ITイノベーション戦略部インフラグループグループリーダーの北浦 靖司氏は、アサヒGHDがASAHICSIRTを2016年8月に立ち上げたきっかけをこう振り返る(写真6)。当時、アサヒGHDは東京オリンピック・パラリンピックのゴールドパートナーに決まり、欧州企業を相次ぎ買収。欧州連合(EU)の一般データ保護規則(GDPR)の順守も必須となった。

写真6●アサヒグループホールディングスのCSIRT「ASAHI-CSIRT」のメンバー
写真6●アサヒグループホールディングスのCSIRT「ASAHI-CSIRT」のメンバー
アサヒプロマネジメント ITイノベーション戦略部インフラグループ グループリーダーの北浦 靖司氏(左)とインフラ戦略チームリーダーの北島 輝子氏。ASAHI-CSIRTは同社のIT部門や総務部門、アサヒプロマネジメントのITイノベーション戦略部、アサヒビジネスソリューションズのメンバーが中心となって運営する。
[画像のクリックで拡大表示]

 一層のセキュリティー対策が欠かせない─。アサヒGHDはまず2016年3月から約3カ月かけて社内アセスメントを実施した。「サイバーセキュリティ経営ガイドライン」にある「サイバーセキュリティ経営の重要10項目」に照らし合わせて、自社の体制をチェック。協力を仰いだ外部のセキュリティーコンサルティング会社が独自に10項目それぞれについて4点満点で0.1点刻みに採点し、全体の平均点を出した。

 結果は「1.0点」。8項目が平均の2点に満たず、全体としてはセキュリティー対策を「実施しているが、課題がある」という評価だった。まさかの落第点に「社内に衝撃が走った」。北浦氏は当時をこう振り返る。自社でセキュリティールールを定め、システム子会社を中心にしっかりと取り組んでいるという自負があったからだ。

 政府基準に照らし合わせると足りない点がある。金融機関のように全項目で4点満点を取るのは難しいが、4点に可能な限り近づけなければならない。そう痛感したアサヒGHDの経営陣はセキュリティーに注力すると表明。「会社の重要な情報をITで徹底的に守ってほしい」という経営陣の指示の下、現場は急ピッチでセキュリティー対策の強化に取り組み始めた。

CSIRTを立ち上げて対策を推進

 アセスメント結果を分析すると「特に運用のスコアが低かった」(北浦氏)。アサヒGHDはリスク管理委員会が顧客の個人情報対応などを担っていたものの、情報システムのセキュリティーは後手に回りがちだった。誰がインシデントを判断し、広報部などの他部署とどう連携して対応に当たるのか、「頭では分かっているが文書として残っていない抜けがいくつかあった」(同)。

 アサヒGHDはセキュリティー関連文書の整備を急ぐとともにASAHI-CSIRTを立ち上げた。文書にはインシデント発生時の対応フローやサイバーリスクに対しての目標や計画などを明記し、社内に徹底することにした。さらに社内外とのセキュリティー情報を共有するため、食品メーカーとして初めて日本コンピュータセキュリティインシデント対応チーム協議会(日本シーサート協議会、NCA)に参加した。

 急ピッチで一連の取り組みを進めた結果、「社内の意識は変わった」(北浦氏)。2016年に1.0点だったスコアは、1年後には3.2点まで高まった。