サイバーセキュリティのPDCA体制を構築 コープきんきの包括的セキュリティ強化
生活協同組合連合会コープきんき事業連合
本事例記事のサマリ
抱えていた課題
PDCAサイクルを回す体制がない。
- セキュリティの「できていないこと」が把握できていない。
- サイバー攻撃に対するBCP体制が整備されていない。
- 自社のセキュリティポリシーと最新規格とのギャップや、ポリシーの実際の対応状況がわからない。
- システムの状態を確認してセキュリティインシデントを予防したい。
ご支援の効果
- 脆弱性診断&システム監査で「できていないこと」を洗い出し。結果から対策方針を練ることができた。
- CSIRT構築によりBCPを整備。有事の際に被害を最小化できる組織へ。
- セキュリティ監査により最新規格に沿ったポリシーに改訂。さらに対応状況のチェックにより、改善のための気づきを得られた。
- 「セキュサポ」活用により定期的にシステムの状態を確認。PDCA体制構築後「サイバーハイジーン」を実現。
1
包括的セキュリティ強化を網屋で。
決め手は、セキュリティの専門性
今回、網屋の支援により包括的セキュリティ強化を実現した生活協同組合連合会コープきんき事業連合。近畿2府3県(滋賀・京都・奈良・大阪・和歌山)の7つの生協が集まった事業連合だ。230万人を超える生協組合員の「まとまりの力」を活かし、1生協だけでは実現が難しい商品開発や低価格の実現、宅配サービスの改善を通じて、「組合員のふだんのくらし」「会員生協の事業への貢献」をめざし活動している。
網屋の支援で、同会はどのようにセキュリティ強化を実現したのだろうか。強化の実態に迫ろう。同会で常務理事を務める本多氏と、情報システム部システム管理グループにてマネージャーを務める上野氏は、包括的セキュリティ強化のきっかけについてこう語る。
「コープきんきとしては、ある程度の対策はしていました。ただ、昨今サイバーセキュリティ情勢が目まぐるしく変化している中で、今実施している対応で事が足りているのか、っていう不安がずっとついて回っていたんです。そんな中で、全国の生協の中でもインシデントが発生したことで、その不安がより濃くなりました。」(本多氏)
「やっていることは分かるんですけど、やれていないことが分からない怖さがあって。これでいいんだろうかという漠然とした不安。そこで、とりあえず網屋さんと一緒に、広く浅くできていないところを洗い出そう、ということになりました。」(上野氏)
なぜ、セキュリティ強化を網屋で実施することにしたのだろうか。決め手は、セキュリティの専門性だったという。
「システム構築がメイン事業である他社と比べて、網屋さんはセキュリティを専門に扱っている、という信頼感があったので、もうセキュリティ強化は網屋さんで実施しようと。網屋さんとは普段からセキュサポ※でお付き合いが深いので、他のベンダーさんで実施しようとは思わなかったですね。」(上野氏)
※セキュサポ:SOCの構築・運用やインシデント発生時の分析など、予防・検知・対応の各フェーズで必須なセキュリティ運用を月額固定料金で提供し、セキュリティ担当者に伴走する支援で組織のセキュリティレベル向上に共に取り組むサービス。コープきんき様には2021年からご契約いただいていた。
2
サイバーセキュリティのPDCA
「現状把握」→「対応・復旧体制の整備」→「振り返り」
セキュリティ強化を網屋で実施することにした同会。強化の軸となったのが、「サイバーセキュリティのPDCAサイクルを回すこと」であった。同会では、ISO9001(品質マネジメントシステム)を模範にして、普段の業務においては常にPDCAを回す文化があったという。
「コープきんきは、7つの生協から人が集まっているということもあり、仕事の質を合わせるために、ISO9001の手順に従いPDCAを回し、業務を行ってきました。ただ、そのPDCAの中にはサイバーセキュリティの観点は漏れていたんです。そのため、まずはその文化に則って、サイバーセキュリティ分野においても、自らPDCAサイクルを回していきたい、というぼんやりとした思いがありました。
そこで網屋さんに相談したところ、まずは網羅的にできていないところを洗い出す『現状把握』を行った上で、万が一インシデントが起こった際に被害を最小化するための『対応・復旧体制の整備』を実施し、その後取り組みを見直す『振り返り』をする、というPDCA体制を構築しよう、というご提案をいただきました。3年がかりで、自分たちでPDCAサイクルを回すことができるストーリーを綺麗に組み立ててくださり、具体的なイメージも湧きましたね。」(本多氏)
ここから、「現状把握」→「対応・復旧体制の整備」→「振り返り」という、サイバーセキュリティのPDCA体制を構築する取り組みが始まった。
3
現状把握:脆弱性診断・システム監査
まず、「現状把握」として行ったのが、脆弱性診断とシステム監査だ。脆弱性診断では、公開セグメントと業務セグメントの脆弱性を調査し、システム監査ではUTMやサーバ等のネットワーク機器の設定状況を調査し、セキュリティの穴を洗い出した。
「現状把握によって、『やれていないこと』が見えてきました。報告会がとてもわかりやすくて。単に脆弱性や設定漏れに関して指摘をもらっても、我々としてはそのリスクの度合いとか、緊急度とか、よくわからない部分があると思うんです。でも、網屋さんには一つひとつのリスクを丁寧にご説明いただいて、優先度をわかりやすく示していただけたので、本当に助かりました。提示いただいた情報をもとに精査を行い、対策方針を定めて対応スケジュールを決めることができました。現在は、スケジュールに沿って各対策を実施している段階です。」(上野氏)
「一通りの対応が終わったら、本当に対応できたかどうかの確認を行う、というサイクルを回すことが必要だと感じました。攻撃者も日進月歩ですし、防御する側も日進月歩なので。定期的な診断を繰り返すことで、進歩についていきたいです。」(本多氏)
4
対応・復旧体制の整備:CSIRT構築支援
次に「対応・復旧体制の整備」として行ったのが、CSIRT構築だ。同会では数年前から、サイバー攻撃を地震や風水害に並ぶ事業継続を脅かすリスクとして捉え、サイバー攻撃に関するBCP制定を検討していた。そこで、網屋がBCPの観点で提案をしたのが、CSIRTである。提案について、両氏はこう振り返る。
「サイバー攻撃のBCPを策定しようとしても、自分たちが持っている情報が少なすぎるし、策定のための時間が割けるメンバーもいません。しかも、地震や風水害は目に見えるものだからイメージしやすいですけど、サイバー攻撃って見えないじゃないですか。だから、どこからどう手をつければよいかわからなかったんです。そこで、今回の強化にあたりBCP策定の相談をしたら、CSIRT構築をBCPの第一歩としてご提案いただきました。CSIRTはセキュリティ上の消防署で、火事=インシデントが起きたら火が拡大しないような対応を行い、早急に鎮火できるようにする、さらに普段から火事が起きないように活動を行う組織であるから、『対応・復旧体制を整備』するという点でCSIRT構築はBCP対策となると。さらに、CSIRT構築だけではなく、BCP対策全体としても網屋さんにコンサルティングいただきました。自分たちでBCPを策定しようと思ったらおそらく二年以上かかったものを実質3か月程度で作り上げることができましたし、コストパフォーマンスという点でもとても満足しています。」(本多氏)
「あとは、我々のレベルに翻訳してくれたのがよかったですね。CSIRTを構築しても実際に動くことができなければ意味がないので、まずは実際のサイバー攻撃を疑似体験し、訓練をしておかないと、という思いで、インシデント対応のトレーニングも網屋さんで実施したんです。その際に、我々一ユーザー企業の情報システム部門としてのレベル感に合わせたトレーニング内容に、カスタマイズして実施いただきました。おかげで、インシデント被害の大きさを決める初動対応について、何をすべきか、何をしてはいけないかを明確に理解することができました。」(上野氏)
5
振り返り:セキュリティ監査
「振り返り」として実施したのが、セキュリティ監査だ。同会ではISO9001の内部監査として、部署間で互いに監査を行う「相互監査」を行っていた。しかし、自社のセキュリティポリシーそのものに関しては、部署間の相互監査では妥当性の確認ができていなかったため、生協グループ内で情報システム部門どうしの相互監査ができないかを考えていたという。そこで網屋は、同会のセキュリティポリシーに対する生協間の相互監査を支援した。
「セキュリティポリシーの対応状況をチェックしようとしても、内部で行うにはやはり知識が足りないんですよね。なので、最初に専門家に見てもらったうえで、ゆくゆくは生協グループ内だけで監査を自走できるように教えていただこうと考えました。まず、ポリシーと最新のISO/IEC27001とのギャップを評価いただき、ポリシーを規格に則ったものに改訂して頂いた上で、こういう観点で対応実態をチェックしましょうというチェックシートを作成いただき、それに基づく相互監査をフォローいただきました。」(上野氏)
「相互監査の生協同士の一対一のところに、網屋さんという第三者が入ってフォローする、という枠組みを作ることで、監査を受け身ではなく主体となって実施できたので、相手の事例が参考になって自分たちの不足部分に気づくことができたと感じています。今回PDCまでできたことを今年中にアクションを起こして、また来年チェックをするイメージもつきましたし、内部で実施するノウハウが溜まったと思います。」(本多氏)
6
「セキュサポ」で平時のサイバーハイジーンを実現
さらに同会では、「セキュサポ」を活用している。「セキュサポ」で、ログからセキュリティ状況を把握することで、PDCA体制整備後のサイバーハイジーン運用を可能にした。
「ログからシステム状況を定期的にチェックすることで、セキュリティインシデントを予防し、早期発見できるようにしたい、との思いで導入しました。『セキュサポ』を導入して一番良かった点は、セキュリティの専門家にセキュリティに関しての質疑ができることですね。ニュースとかWeb検索とかである程度の情報収集はしますが、それだけでは自分の中で咀嚼しきれない情報を、『セキュサポ』に聞けるのが嬉しいです。何かあれば『セキュサポ』に相談すれば大丈夫、という安心感があります。」(上野氏)
「経営者目線では、『セキュサポ』の月一のレポートが役立っています。レポートの中で、システムのセキュリティ状況を信号に見立てて赤青黄色で示してくれるので、経営者からしても自社の状況が分かりやすくて。しかも、レポートとして形が残ることで、外部の専門家にセキュリティ状況をチェックしてもらっている、というお墨付きにもなります。」(本多氏)
有事の際の対応の速さも、「セキュサポ」の魅力だという。一度、監視システムが誤検知を起こし、インシデント疑いが発生したことがあった。その際、真っ先に対応を行ったのが、「セキュサポ」だった。
「アラートが発報されてすぐ、何が起きているのか、すぐに『セキュサポ』がログから調査してくれて。何社かに問い合わせましたが、どこよりもリアクションが速かったですね。調査して、誤検知の可能性が高いと早急に見極めてくださったので、本当にほっとしました。」(上野氏)
「自社内での対応にも今回のセキュリティ強化の効果を感じましたね。初動の手順が明確にわかったので、パソコンの電源は切らず、ネットワークを遮断するという被害を拡大させないための対応を落ち着いて実施した上で、ウイルスチェックで影響範囲を調査し、誤検知であることを素早く判断することができました。」(本多氏)
セキュリティの属人的な部分を解消できたのが一番の効果です。
常務理事 本多 敬 氏
今なにができていて、何ができていないか、
まずは現状を知ることが大事ですって言うのを一番に伝えたいです。
情報システム部 システム管理グループ マネージャー 上野 大輔 氏
7
さらなるセキュリティ強化も網屋で
今回、網屋の支援によりサイバーセキュリティのPDCA体制の構築に成功し、包括的セキュリティ強化を実現した同会。支援の効果と今後のセキュリティの展望について、両氏は次のように述べた。
「セキュリティの属人的な部分を解消できたのが一番の効果です。何がどうなっているのか属人化してよくわからなかったところから、網羅的に現状を見える化した上で、有事の組織的な対応・復旧体制を明文化して、組織全体で振り返りができる枠組みも整備できました。そういった組織としての体制が完成したことが、なによりの成果だと思います。」(本多氏)
「まずは、現状把握と振り返りにより判明したことを、一つひとつ潰し込みをすることが最優先事項です。将来的には、網屋さんに今導入しているシステムを俯瞰的に見ていただいた上で、セキュリティの観点も加味したネットワーク最適化のご提案をいただきたいです。網屋さんってもともとネットワークが強いので。」(上野氏)
最後に、セキュリティ強化に取り組む企業様へのメッセージをいただいた。
「今なにができていて、何ができていないか、まずは現状を知ることが大事ですって言うのを一番に伝えたいです。それが見えてから、対策方針を練ることができるので。」(上野氏)
「インシデントが起こってからの被害額のことを考えたら、投資してでも、現状を見える化して、被害を最小化する体制を整備して、振り返りをして、対策を計画的に実施する。これが絶対に必要だと思います。」(本多氏)
設立 | 2003年9月 |
---|---|
事業内容 | 宅配食品事業、宅配家庭用品事業、店舗事業等 |
URL | https://www.kinki.coop/csr/outline.html |