デジタルトラストの構築に向けたPwCのアクション：巨大流通コングロマリットのセキュリティ戦略と実践的なサイバーリスク対策（セブン&アイ）

2つの組織を軸にインシデントの再発防止に取り組む

村上：
最初にセブン&アイ・ホールディングスの組織概要と、廣畑さんの業務内容を教えてください。

廣畑：
セブン&アイ・ホールディングスは、国内外でコンビニエンスストアやスーパーマーケット、百貨店、金融などの事業を手掛けており、傘下には約150社の企業があります。

私はセキュリティ基盤部に所属しており、グループ企業全体のリスク管理を主眼として各社のサイバーセキュリティ担当部門とも連携しながら日々のセキュリティ対策に取り組んでいます。

村上：
早速で恐縮ですが、セブン&アイ・ホールディングスのセキュリティ対策を伺う上で避けて通れないのが、2019年に発生した、グループ内企業が提供するバーコード決済サービスにおける、一部アカウントへの不正アクセスです。インシデント発生前後で、社内にどのような変化がありましたか。

廣畑：
インシデントを教訓に、まず初めに取り組んだのが、組織構造の変革です。組織構造や意思決定プロセスにおける課題認識から、2019年10月に「セキュリティ統括室」と「セキュリティ基盤部」を新たに設立しました。急速にセキュリティ強化を図るため、それぞれの役割を明確にして、多くの施策を並行して進めています。

村上：
セキュリティ統括室とセキュリティ基盤部は、それぞれどのような役割を担っているのでしょうか。

廣畑：
セキュリティ統括室は社長直下の組織で、グループ全体の情報セキュリティガバナンスを担っています。インシデント発生前は、各社がそれぞれのリスク認識に基づいてセキュリティ対策を行っているような、比較的緩やかなガバナンス体系を採用していました。インシデント発生後は組織横断的にセキュリティガバナンスを強化する役割をセキュリティ統括室が担い、セキュリティポリシーの策定や情報セキュリティ全般に関するリスクアセスメント、セキュリティ教育などを実施しています。

一方、私が所属するセキュリティ基盤部は、ITセキュリティやサイバーセキュリティに関するリスク評価、セキュリティ監視などの運用業務、テクニカル面の相談窓口などを担当しています。CSIRT（Computer Security Incident Response Team）やSOC（Security Operation Center）といった組織も当部署になります。また、脆弱性診断やプラットフォーム診断といった各種テストのほか、開発案件のセキュリティレビューなども担当しています。インシデントの反省をもとに、セキュリティレビューに特に注力しています。

村上：
セキュリティガバナンス態勢の構築はセキュリティ統括室、技術的な部分はセキュリティ基盤部といった役割分担ですね。

廣畑：
はい。もちろん課題の共有や施策の推進にあたっては相互に連携していて、例えばセキュリティ統括室が主管するセキュリティポリシー群についても、テクニカル分野については私たちがベースラインを設定しており、グループ各社へのアドバイスなども行っています。各社のセキュリティ担当者が求めているのは「具体的に何をすべきか」という指針です。上位ポリシーに書かれているセキュリティ対策の内容が伝わりきっていないと判断した場合は、ベストプラクティスなども参照しながら各社のセキュリティ担当者がすぐに現場で活用できるガイドラインまで落とし込んで説明するような活動もしています。

物理空間とサイバー空間の安全を守り抜く使命と共に

村上：
2020年初頭から新型コロナウイルス感染症（COVID-19）が拡大し、多くの企業が働き方の変化を余儀なくされました。セブン&アイ・ホールディングスにおける影響はいかがでしたか。

廣畑：
多くの企業がそうであったように、セブン&アイのグループ各社でも積極的にリモートワークを導入しました。実際のところリモートワークの導入自体は、想像していたよりもスムーズでした。しかし、VPN（Virtual Private Network）やウェブ会議システム利用の急増など、これまでよりもインターネットを多様に利用するようになったことでサイバーセキュリティ面ではリスクポイントは増加していると感じています。

例えば、ウェブ会議を行う時にどのシステムを使用しているかを社内で調査したところ、グループ全体でさまざまなソリューションが使われていました。CSIRTの立場からすると、これは見過ごせない問題です。なぜなら、使用する以上は全てのウェブ会議システムの脆弱性を管理する必要がありますが、さまざまなシステムを使用し続けることはセキュリティ管理上においては非効率で、人的リソースの観点からも現実的ではありません。ですから、標準的に使用するシステムを2製品に限定し、また管理者向けにセキュリティ設定方法のガイドラインを配布するなどして標準化を推進しました。

今後もリモートワークの導入は加速・多様化するでしょう。従業員は自宅や公共のネットワークを当たり前のように利用するかもしれませんし、新たなクラウドサービスの利用を検討するかもしれません。利便性とセキュリティのバランスを取るためには、さまざまな可能性を考慮してセキュリティガバナンスを強化していかなければなりません。

村上：
セブン&アイ・ホールディングスは小売や外食など、実店舗での顧客接点も多いですよね。物理的なセキュリティ対策にも力を入れていらっしゃるのではないでしょうか。

廣畑：
おっしゃるとおり、当社はグループ全体で見れば実店舗は何万件とあり、さまざまな形態での顧客接点があります。当然、物理セキュリティの徹底も重要であり、セキュリティ統括室とも連携しているところですが、サイバーセキュリティと物理セキュリティが大きく関連しているのも当社におけるリスクの特徴であると考えています。

例えば、実店舗の端末が物理的に盗取される、脆弱なネットワークセグメントを悪用されるなどして、そこから社内ネットワークに侵入されれば、主要システムや機密性の高いデータが危険にさらされます。簡易的な事務所の物理セキュリティ対策を怠ったがゆえに本部のシステムに障害が発生すれば、ビジネスダメージだけでなく、お客様や取引先にも甚大な被害を与えかねません。

村上：
多様な業種から構成され、消費者情報をはじめとする多様なデータを取り扱うコングロマリットだからこそ、物理環境とサイバー空間の両方に一層強固なセキュリティ対策を講じる必要があることがよく分かりました。最後に、今後のセキュリティ対策の展望を教えてください。

廣畑：
前述したとおり、COVID-19によって働き方が変化した環境において、「ゼロトラスト」の考えに基づいたセキュリティアプローチは急務になっていると考えています。ECやOAなど環境ごとにリスクを再評価し、これまで低リスクと見なされていた部分においてもセキュリティ対策を見直す必要があります。そのためには、ITアセットやネットワーク環境の可視化が不可欠です。Shadow ITのような、「管理者主導で運用していないシステムが存在する」という前提で、社内システムを監視する必要があると考えています。

村上：
今後、リモートワークが当たり前になることに鑑みれば、Shadow ITの可視化は不可欠ですね。対策として、自動化によるモニタリングの仕組みが有効だと考えますが、SOCやCSIRTではどのようにお考えですか。

廣畑：
インシデントレスポンスやモニタリングを高度化していく上で、人手が足りない部分をテクノロジーで補うアプローチは理にかなっています。セキュリティ人材が圧倒的に不足していると言われる中、限られた人的リソースを有効に活用するためには人工知能（AI）や自動化といった分野に投資する価値があると考えていて、私たちも実証実験などを始めているところです。

村上：
テクノロジーを導入することで省力化を図り、高度な判断が必要な部分に高い能力を持った人材を配置し、企業としてのケイパビリティを高めていく。そうしたアプローチが、今後はますます大切になりますね。PwCも、テクノロジーを活用したセキュリティ対策や体制構築の支援に、一層注力していく所存です。本日はありがとうございました。