【導入事例】カヤバ株式会社さま~グループ全体のサイバーセキュリティ態勢を向上~(Panorays)
SOMPO CYBER SECURITYがサプライチェーンリスク評価サービス「Panorays」の提供を本格的に開始したのが2019年、その後、サプライチェーンの弱点を悪用した攻撃の増加に伴い、ご利用いただいているお客さまも増加傾向にあります。今回は、Panoraysを導入し、グループ全体のサイバーセキュリティ態勢の向上を目指す油圧システム製品製造大手、カヤバ株式会社さまにお話をうかがいました。
左から 経営企画本部 IT企画部 専任課長 須郷英知氏、経営企画本部 IT企画部 長峰有佐氏
カヤバ株式会社のご紹介
航空機用の油圧緩衝脚(ショックアブソーバ)などの研究、製造のために、萱場資郎氏が萱場発明研究所を創業したのが1919 年、今でもカヤバを支える主要製品は四輪車、二輪車用の油圧緩衝器や産業用の油圧機器であり、世界で走る自動車の約5 台に1 台が同社のショックアブソーバを採用、世界第3位のシェアを誇ります。「一歩先のモノづくり」をミッションに掲げ2022 年、創業以来培ってきた「ものづくり精神」の原点に立ち返り、新たな出発の決意として創業者の名前に因み通称社名をKYB 株式会社から「カヤバ株式会社」へと変更し、「人々の笑顔につながるモノづくりから、豊かな社会づくりに貢献し続ける信頼のブランド」としての成長を目指します。
Bad News 1st
今回のインタビュー中に「Bad News 1st」という社内の合言葉のようなものがあります、とうかがいました。異常に気がついたら、良し悪しに拘わらずいち早く報告を行い、重大危機につながる事案の早期発見や対応を促すということを意味します。「コンプライアンス」や「ガバナンス」といった言葉は、昨今では頻繁に耳にする言葉ですが、コンプライアンスの徹底や、ガバナンスを強化する体制づくりというのは「意識改革」という取り組みが伴って初めて意味を成すものです。これらは、サイバーセキュリティでも求められる要素であり、組織のIT担当者にとっては、IT資産の安全性の担保や社員の意識改革も重要課題です。これに加え、近年では「サプライチェーンリスク」「サードパーティリスク」という言葉もしばしば耳にするようになりました。特に製造業界では、2022年3月、大手自動車メーカーに部品を供給する企業がサイバー攻撃に遭い、このメーカーの生産ラインが丸1日停止するという事態が発生し、そのリスク管理の重要性が再注目されています。
企業経営において、こうした多角的な取り組みが求められる時代に「Bad News 1st」で、マイナス要素から目を背けることなく、プラス転換を図るカヤバ株式会社が、サードパーティのサイバーリスク評価サービスであるPanoraysの導入に至った経緯やその効果などを経営企画本部IT企画部専任課長の須郷 英知氏と長峰 有佐氏にうかがいました。
導入背景・課題
i. ここ10年ほどで製造業を取り巻く環境の変化は?
須郷氏:社会全体の目の厳しさ、それに応える体制の構築、そこは変わってきているという感覚があります。社内では、Bad News 1stという合言葉のようなものもあり、特にここ数年は厳格な教育方針に基づき、会社としても意識改革を推進しています。ルールを厳しくすると自ずと効率が悪い部分が出てきてしまいます。「自分は大丈夫」と思い込み、各自の裁量で解釈を変える部分はあったのかもしれませんが、そこを統制していくのがコンプライアンスの徹底になるわけです。
長峰氏:あるセキュリティ対策製品のベンダーが上場企業100社以上に対し、脆弱性評価を行ったり、経済紙でも安全性が低い企業との取引に関するリスクを取り上げたり、脆弱性評価をしっかり実施すべきという業界全体の意識変化もあります。
ii. 前出の環境変化による日々の業務への影響は?
須郷氏:コンプライアンスの徹底とは別に、サイバーセキュリティもしっかり対策をしていきましょうという方針もあります。SOMPOさんにもお手伝い頂いたCSIRTの体制構築が正にそれです。責任の所在の明確化し、体制をきちんと整備してセキュリティ対策の取り組みを強化しました。
セキュリティ対策ツールの導入も進み、ユーザである従業員からすると、不便も生じているのは知っていますが、セキュリティの為にはこういう対策は必要ですよねと肯定的な意見を頂くこともあります。「セキュリティの為に」と安全性を優先し、割と皆さん割り切ってくれていると感じています。
長峰氏: 改正個人情報保護法や発生した不正アクセスも、きちんと社内教育をしましょ うという活動もあります。カヤバグループの情報セキュリティ基本方針として、最低でも年 1回は適切な情報セキュリティ教育を行うという記述があり、従業員のセキュリティ意識の向上につながってきている手ごたえがあります。SOMPOさんに協力頂き、実施しているメール訓練も開封率が劇的に改善されているのが数値で見て取れます。
iii. 環境変化に伴う苦労や課題は?
須郷氏:グループ会社や取引先に関しては、以前は、セキュリティは各社責任を持ってやってください、というレベルだったのですが、今は、CSIRT体制の構築の中で、各関係会社でもCSIRT担当者や責任者を選任してもらい、連携してセキュリティ強化を推進しているところです。
最近でいうと大手自動車メーカーの部品の調達先の件が一番顕著な例ですが、サプライチェーンへの攻撃はサプライチェーン全体に影響が及ぶことがあるので、しっかりと対策をという課題認識は以前からありました。我々も自動車の部品を扱う業界団体のサイバーセキュリティの部会に参加していますが、そこでも「サプライチェーンの強化」がよく話題に上がります。我々も含め、各社、苦労しているところではないかと思っています。
我々の発注システムには600社ほど取引先が登録されていますが、サプライチェーンの強化という理由で、600社に影響を及ぼせるか、というと現実的ではありません。まず何社か選んでみるのか、その選択基準は何にするのか、検討事項は多岐にわたります。ある程度の規模の企業であれば、対策は進んでいると推測し、手が回らないであろう小さい企業から着手するのか、それとも、そういう所は対策にリソースを割く余力がないだろうと判断し、より重要かつ取引量が多い会社から着手するのか、もしくはPanoraysを使ってスコアリングして、高リスクのところから着手するのか、そもそもセキュリティを強化したいという申し出に賛同してもらえるのか。
下請法も考慮に入れる必要があり、セキュリティ対策が不十分であることを理由に取引停止とは言えない立場です。逆に下請法に引っかからない規模の会社であれば、ある程度対策が進んでいると思われ、我々の言うことに耳を傾けてくれるか、など課題は少なくありません。
今、業界団体でサイバーセキュリティのガイドライン、つまり業界標準を作っていて、当然、我々も参加しています。一社で取り組むには限界があるので、業界全体でガイドラインを上手く活用し、皆で対策していこう!という方向に進んでいけば、理想的ではあります。
導入経緯・理由
i. Panoraysを知ったきっかけは?
須郷氏:ちょうどセキュリティ強化に取り組んで、ツールの選定や導入に向けて動き出していた時期にご紹介いただいたのがきっかけでした。当初はこういうタイプのツールがあること自体を知らなかったので、紹介された時はその年度で導入する予算はなく、予算を取って次年度導入したいと、IT企画部長に申し出たところ「今年度の予算を取って、すぐ入れましょう!」と言われ、急遽入れることになりました。かなり例外的な対応で、会社としてセキュリティ意識が高まっていたということの表れだと思います。当然、他のツールとの比較も実施し、費用面や機能面など、色々比較した結果、Panoraysの導入に至りました。
ii. 採用に至った決め手は?
須郷氏:価格面とシンプルさが選定理由の大きな要素です。それに加え、会社の方針として、自分たちだけではなく国内や海外の拠点もきちんと統制していきましょう、という流れもあり、そのためにはどうしたら良いかと検 討していたタイミングでPanoraysがはまったということもあります。これで国内外の各拠点に、どういう資産があって、どういう状況になっているのかを把握できるという要素も大きかったと思います。
取引先の管理も必要ですが、まずは、身内の拠点をというプロセスです。常々、自分たちだけを守っていてもダメとは言われていましたが、国内拠点はまだ良いとして海外は手つかずの状態でした。そこをまずは明らかにしていこうというステップです。現時点では、主要な国内外拠点をPanoraysに登録して、評価対象として監視している状況です。
長峰氏:あとは、前出の業界団体のサイバーセキュリティのガイドラインのチェックシートをPanoraysで取り込めるということも大きかったです。Excelの質問票を配布することなく、ウェブ上で一元管理できるのであれば、圧倒的に便利だなと思い、そこも選定要素です。
須郷氏:機能面でいうと、他社のツールは恐らくほぼ使わないであろう機能も多く、過剰スペックという印象がありました。それに比べてPanoraysは必要機能を備えており、シンプルで費用面も比較的手を出しやすいこともあり、最終的に選定に至りました。
導入効果、今後の展開・展望
*実際の導入効果や今後の展望を含めた詳細はPDF版からご覧いただけます。
Panoraysについてご紹介
サードパーティのセキュリティ態勢に関する可視性とコントロールは、自組織のセキュリティ態勢を維持する上で重要です。
SOMPO CYBER SECURITYがサプライチェーンリスク評価サービスとして提供するサイバーセキュリティ リスクレーティングプラットフォーム「Panorays」は、内部評価(自動化されたセキュリティに関する質問票)と外部評価(アタックサーフェスの評価)をビジネス上の関係性を考慮に入れて、総合的にサードパーティを評価し、リスクを迅速かつ正確に把握できるようにします。
継続的にサードパーティを監視および評価し、日々変化を続けるサイバー空間の脅威や侵害に関するアラートを提供することで、グループ会社やサプライチェーンといったサードパーティの侵害に対し、迅速かつ包括的に対応し、修復し、復旧する為に役立ちます。
サプライチェーンリスク管理お役立ち資料
グループ会社やサプライチェーンのセキュリティ課題 TOP 5(2022年度版) |
|
 |
当社がサプライチェーンリスク評価サービスとして提供しているサイバーセキュリティ リスクレーティングプラットフォーム「Panorays」の実データから見えてきた多くの組織に共通するセキュリティ課題とその対策ポイントを簡潔に紹介しているホワイトペーパーの2022年度版です。 |
インシデントレスポンスプレイブック(Panorays) |
|
 |
ベンダーがサイバー攻撃を受け、侵害された場合のリスクや影響を考えたことはありますか?サプライチェーンへの侵害発生時の体制構築に参考にしていただける内容をプレイブックにまとめました。 |
子会社や取引先が狙われる?サプライチェーン攻撃を自動可視化で未然に防ぐ |
|
 |
当社がサプライチェーンリスク評価サービスとして提供している「Panorays」について、「聞けば誰でも社名は聞いたことあるぐらいに有名なA社」の事例として、分かりやすくご紹介しております。 グループやサプライヤーへの導入を検討されている方は、 |
