最新セキュリティトピックや最適な運用改善アドバイスを提供
継続的なセキュリティ改善やシステム監視体制の強化へ
企業情報
- 会社名
- 象印マホービン株式会社
- 従業員数
- 1,308名(2022年11月20日現在)
- 事業内容
- 調理家電製品、生活家電製品、リビング製品などの製造・販売
取材にご協力いただいた方
経営企画部システムグループ長 松浦 潤様
-
目的
- 社内IT環境、顧客接点となるWebサイトのセキュリティを高めたい
- インシデント発生時に迅速に調査や対応できる運用管理体制にしたい
-
課題
- セキュリティ対策に不備がないか確認する必要がある
- 社内にセキュリティ専門家が不足している
-
効果
- 診断結果を踏まえてセキュリティ運用体制を継続的に改善している
- 経験豊富な専門家が日々の相談に応じ、セキュリティ人材不足を補う
プロフェッショナルの視点でセキュリティ対策に不備がないかチェックが必要だった
経営企画部システムグループ長 松浦 潤様
象印の製品や取り組みについて教えてください
象印マホービン 松浦 潤様(以下、松浦)象印マホービン(以下、象印)は、創業以来の企業理念である「暮らしをつくる」に基づき、多くのみなさまに共感していただける、快適で便利な暮らしの品々をお届けすることを使命として企業活動を展開しています。製品には炊飯ジャーやホットプレートなどの調理家電製品、ガラスマホービンやステンレスボトルなどのリビング製品、空気清浄機やふとん乾燥機などの生活家電製品があり、皆さまの日常生活に安心と満足を与えるものを開発しています。
20年前から電気ポットに無線通信機を内蔵することで、離れて暮らす家族の生活をさりげなく見守ることができる安否確認サービスも展開しています。象印が培ってきた真空断熱技術は家庭用にとどまらず、産業分野でのエネルギー資源の効率利用など、地球環境保護につなげる取り組みにも力を入れています。
当初セキュリティではどのような課題がありましたか?
松浦象印では、過去に発生したインシデントにより 、お客様並びに当社関係者の方々に多大なご迷惑をお掛けしたことがありました。二度と同じことを繰り返さないために、今まで以上のセキュリティ対策を行う必要がありました。象印には製品販売サイト「象印ダイレクト」、部品販売サイト「象印パーツダイレクト」や、購入者向けサービス提供サイト「ZOJIRUSHIオーナーサービス」など、顧客接点となるWebサイトがあります。外部公開しているため、サイバー攻撃を受けるリスクがありました。今後は様々な形でお客様との接点を増やしていこうと考えています。しかし、もしこうしたWebサイトを足がかりに侵害が生じたら、情報漏えいなど再び深刻なインシデントにつながりかねないと懸念していました。
そのためにはWebサイトに脆弱性がない状態にしておくことがセキュリティでは優先度の高い課題でした。自分たちでは対策をしているつもりでしたが、プロフェッショナルの視点でセキュリティ対策に不備がないかチェックしておく必要があると考えました。
そこでS&Jに対しては、以下のセキュリティ対策を依頼しました。
- Webサイトをリリースするたびに脆弱性がないか診断を実施
- 社内IT環境に対して、客観的な目線で脆弱性が存在しないかを確認するために、セキュリティ評価を実施
- ADは攻撃されたら被害が甚大になるためAD(Active Directory)監視サービスを利用
自社で実施してきたセキュリティ対策の評価を受けた後に見えてきた課題
Webサイトの脆弱性診断ではどのような指摘がありましたか?
松浦いくつか指摘がありました。世間一般に公開されているようなガイドライン 等で記載されている内容以外のことについて、指摘を受けました。自分たちだけで運用していたら、このようなリスクには気づかなかったと思います。指摘された部分は直ちに作り替え、類似の機能にも応用するなど対策を横展開しました。
セキュリティ評価ではどのような課題が見えてきましたか?
松浦マルウェア対策などエンドポイント保護はおおむねできていたものの、インシデント発生時の対応手順や訓練はまだ改善の余地があると指摘されました。
S&J 山崎Webサイトの脆弱性では細かな指摘もありましたが、全般的に見てパソコンのマルウェア感染対策を中心に、サイバー攻撃全般で既に対策が施されているのを確認しました。これまで多くのお客様の環境を拝見させていただいてきましたが、象印さんはIT環境構成管理や拠点間ネットワーク構成などのドキュメントがきちんと揃っており、我々のような第三者が見ても分かりやすかったです。
一通り調査と対策を終えて、新たに見えた課題は?
松浦Webサイトの脆弱性診断やIT環境のセキュリティ評価、これらは何度かのやりとりで終わってしまいます。社内にはセキュリティの高度な知識や経験を持つ人材はいませんので、今後、社内でセキュリティ専門人材の育成や、社員のセキュリティ意識をどう高めて行くか、セキュリティ対策の改善をいかに継続していくかが課題でした。
そこで自社でまかなえないところは外部のプロフェッショナルにお手伝いいただこうと考えました。普段からセキュリティについて質問・相談できる相手として、S&Jのセキュリティアドバイザーサービスを選びました。
日々のセキュリティの疑問を解決し、改善へと導くセキュリティアドバイザー
松浦様の手元には象印のタンブラーが
セキュリティアドバイザーサービスで、どのような効果が得られましたか?
松浦普段からセキュリティに関して疑問や相談があれば答えてくれて、加えて月次で定例会を開催してもらっています。いつも課題に対して、身の丈に合う提案、具体的なアドバイスをもらえています。
例えば、セキュリティ運用課題。何らかのソフトウェア脆弱性が発表されると、(自社システムに影響があるなら)パッチを当てるなど対応しなくてはなりません。セキュリティ運用担当者は「この脆弱性は自社にも関係するのか。パッチを当てる必要があるのか」、「どのように作業すると効率的か。他社ではどうしているのだろう」と疑問や迷いが生じることもあります。今ではこうした疑問が生じたら、S&Jの担当コンサルタントに相談することができます。「いつでも困ったら聞ける」というのは安心感につながります。
定例会ではどのようなことをしていますか?
松浦象印からITシステム監視状況を報告し、S&Jのコンサルタントが改善できるポイントをアドバイスしてくれます。加えてS&Jから最新セキュリティトピックを提供してもらっています。セキュリティに関するニュースや話題は豊富にありますが、業界や企業規模、導入しているシステムなど、私たちが知っておくべき情報をピックアップして伝えてくれるので参考になります。
S&Jからのアドバイスにはどのようなものがありましたか?
S&J 山崎ある時はWebプロキシーのログ集計方法についてアドバイスしました。Webプロキシーのエラーログを見ると、ユーザーが不審なサイトやアクセス不許可リストへアクセスした履歴が分かります。当時、象印さんではエラー件数を把握する程度でした。そこで、より詳細に集計するための方法をアドバイスしました。
具体的には、Webプロキシーから集計に必要な項目をCSVでエクスポートして、表計算ソフトで集計します。もちろんログ可視化のツールやサービスを導入することも可能ですが、この時はそれほど複雑な処理ではなかったので表計算ソフトがあれば十分でした。こうして日々の相談や定例会を通じて、セキュリティ対策の改善を続けています。
S&Jは私たちに伴走しながら、身の丈に合う助言をくれているイメージです
「テクニカルな話題であろうとなかろうと、セキュリティのことなら何を聞いても的確な答えをくれるところです。」
S&Jのコンサルタントのどんなところが気に入っていますか?
松浦テクニカルな話題であろうとなかろうと、セキュリティのことなら何を聞いても的確な答えをくれるところです。セキュリティの分野だと、原理主義というのか「こうあるべき」と、徹底した対策を推奨する企業やコンサルタントもいます。確かに理想はそうなのですけど、リソースは限られていますので。
一方S&Jのコンサルタントは課題や疑問に対して、優先順位も考慮して現場レベルでできる解決策を提示してくれます。過去には「これなら(システムで対策しなくても)メールで注意喚起するだけでも効果がありますよ」とテクニカル以外の現実的なアドバイスしてくれたこともありました。
あらためてセキュリティアドバイザーはどんな役割を担っていますか?
松浦いつでもセキュリティについて親身に聞けて、定例会でセキュリティ最新情報を提供してくれます。日々のやりとりから社内のセキュリティ意識を高めることにも寄与していると思います。S&Jは私たちに伴走しながら、身の丈に合う助言をくれているイメージです。これからも頼りにしています。
※ページの内容は2022年11月11日時点の情報です。