【採用事例】株式会社ダイフクさま ~きっかけはお客さまからのご依頼~(Panorays)
サプライチェーンリスク評価サービス『Panorays』の採用事例として、株式会社ダイフクさまにお話をうかがいました。
近未来を想像させる大阪市内にある真新しい本社ビルで、サプライチェーンリスク評価サービス『Panorays』の採用事例の取材をさせて頂いたのは、日本国内外でビジネスを大きく成長させている製造大手の株式会社ダイフクさまです。実際の運用はまだこれからという段階であり、採用に至った背景や理由をうかがうための取材だったのですが、大切な海外のロイヤルカスタマーから、サプライチェーンリスク管理の一環として、Panorays を利用して評価される側としての経験もあるということで、今までにない観点でのお話もうかがうことができました。
お客さまからのご依頼に応えるために、被評価者としてPanorays を使い始め、まずは自社のスコア改善に取り組み、これから自社のサプライチェーンリスク管理のために評価者としてPanorays を使っていくという段階にある株式会社ダイフクのDX 本部デジタル部 IT セキュリティグループ グループ長 河瀬 康徳氏と、同じくITセキュリティグループの水谷 真美氏、矢野 秀人氏の3 名にお話をうかがいました。
*取材は2024年1月に実施されました。
委託先や協業先など、サプライチェーンのリスク管理の参考に、是非、ご一読ください。ここでは、取材中におうかがいしたPanoraysの採用に至った背景や経緯などの一部を抜粋してご紹介します。
<<<運用計画や今後の展望を含む完全版はこちら>>>
左から DX 本部 デジタル部 IT セキュリティグループ 矢野 秀人氏・水谷 真美氏
株式会社ダイフクさまのご紹介
1937年の創業以来、マテリアルハンドリングを核とする「モノを動かす技術」に携わり続け、現在は世界24の国と地域に拠点を構えるグローバルマテリアルハンドリング企業として、業界売上高で世界ナンバーワン(米国業界紙調査)を9年連続で記録しています。保管、搬送、仕分け・ピッキング、情報システムというマテリアルハンドリングの多様な要素を組み合わせ、最適・最良のソリューションを提供する総合メーカーであり、物流システムに関するコンサルティングからエンジニアリング、および設計・製造・据付からアフターサービスまでトータルサポートを提供します。
導入背景・課題
ⅰ. ここ10年ほどの貴社を取り巻く環境の変化は?
矢野氏:社外環境の変化で言いますと、製造業界でも、昨今、様々な企業の情報漏えいが取り上げられており、情報セキュリティへの関心が急激に高まっている、というのはあると思います。サプライチェーンの観点では、IPA 情報セキュリティ10 大脅威では2 番目にサプライチェーンの弱点を悪用した攻撃というのが挙げられていたり、経産省のサイバーセキュリティ経営ガイドラインでもサプライチェーンに対しての項目が記載されていたりする状況です。
社内環境で言いますと、当社は海外グループ会社が多く、ここ数年でも増えていっている状況ですので、セキュリティ対策と強固な統制が求められてきている実情があります。そうした社内外の環境変化やニーズに対応すべく、デジタル部内での体制を最適化するための組織改革があったり、社内の情報セキュリティ委員会もトップダウン型に体制強化が行われています。
社長を筆頭に情報セキュリティを強化していくぞ、という意識付けという意味合いもあるのかと思います。海外グループ会社や海外との取引もありますので、グローバルスタンダードに合わせていかないといけない、という背景もあります。現地法人メンバーも委員会に参加されておりますので、比較的、推進しやすい環境ではあると思います。ですので、社内環境的には、トップダウン、ボトムアップ、双方からセキュリティ対策に取り組める環境です。
それに加えて、会社全体のリスクを統括する委員会で情報セキュリティ脅威が、会社にとっての重大リスクと決まり、対外的にそれを発表して、行動に移していかなければならない。対外的に公表するときには、KPI も公表しなければなりません。ホームページにサステナビリティアクションプランというコンテンツがあります。セキュリティに限らず、さまざまなKPI が設定されて、毎年それが達成できたかどうかを発表していくページです。
ⅱ. 前出の環境の変化による日々の業務への影響は?
水谷氏: 環境変化によって生じたのが、内外からの管理施策に関する高いご依頼です。アセスメント、監査、顧客からのアンケートなどです。実は、Panorays を採用したきっかけも、海外のロイヤルカスタマーからのご依頼でした。当社のセキュリティ態勢がPanorays によって評価され、そのスコア改善のご依頼があり、当初、非常に苦労しました。お客さまからのご依頼で、サプライヤー(被評価者)としてPanorays を使い始めたのが2022 年6 月です。
河瀬氏:重要度がより高い指摘事項は数か月以内に、総合評価に関しては半年を目途に80 点以上を目指してほしいという改善依頼がありました。ロイヤルカスタマーからのご依頼ですので、危機感を持ったお客さまと相対する事業部が私たちに相談してきたのが始まりです。水谷を中心に対応してもらいましたが、期限も限られていますし、かなり大変でした。今でこそ、FAQ みたいなものがありますが、当時は指摘事項に書いてあることもよく理解できず、日本の総代理店であるSOMPOリスクマネジメントさんや(以下SRM)販売店であるNSD さん
経由で、いろいろ質問して、コツコツ改善を重ねました。
その結果、12 月に80 点を超えることができたのですが、超えてくると、欲が出てくるんですね。モチベーションに変わってくる感じです。今となっては、やって良かった、と感じています。こういうのが会社の格付けにも影響してくるという話もありますし、Panorays で90 点だったら、他の同じようなソリューションでも似たような点数になるとわかったので、やっておいて損はないし、セキュリティでの会社への貢献みたいな位置づけになる、と感じることができました。
今度は私たちが評価者となり、サプライヤーに協力を依頼する立場です。最初は驚かれるかもしれませんが、きっといつかは、やって良かった、と感じてもらえると確信しています。我々が被評価者として改善していったように、ある程度お金がかかっても、大切なお客さまのためにもやらなければいけない、という経営層の判断です。
導入経緯・理由
水谷氏:点数が表示されるのはすごくいいなと思いますし、「Panorays で指摘が上がってきているので」と対応依頼の理由がツールをもとにしている、と裏付けとして使えるのも非常に良かった点です。Panorays の指摘はつまりはお客さまのご依頼です。被評価者側のときは、直接Panorays のサポートに英語で問い合わせていましたが、評価する側として自社で契約をした今は、SRM さんが日本語でサポートをしてくれるというのも心強いですね。
河瀬氏:先ほどお話した通り、私たちはサプライヤー(被評価者)として利用して、使い慣れているということもあり、サプライヤーからの問い合わせにも答えられますし、他のツールを選択する理由がなかったですね。網羅性も高くて、当社の知らないことも指摘してくれます。当社の別のロイヤルカスタマーでもある国内大手製造業さんもPanorays を使っている、と後で知りましたし。
DX 本部 デジタル部 IT セキュリティグループ グループ長 河瀬 康徳氏
海外のロイヤルカスタマーからご依頼が来たのが、2022 年6 月とすると、その前に3 製品ほどPanorays の競合に当たるツールの検討や審査は始めていました。誤検知というか、網羅性が劣るものもありましたし、逆に非常に網羅性と正確性に優れたツールもありました。その時点ではPanorays のことは知りませんでしたので、予算を取って、今期、行こうかみたいな話をしていた矢先、お客さまから、Panorays を使ったご依頼が来たという背景があります。そこで、まずお客さまからのご依頼に応えて、自社の評価を上げていくことを優先して、取り組みました。
Panorays を使って、自社の評価改善を進めた結果、期限までに80 点以上を出せたので、そこで自社を含めたサプライチェーンの強化という当初の計画の半分は達成できたわけです。残り半分のサプライヤーのリスク管理を実施することになったときに、半年間自分たちが使って、使い方もわかったPanorays をという選択になりました。
Panorays は、プライマリドメインから関連アセットを検出できるところがいいと思っています。自社なら私も判断がつきますが、私たちはサプライヤーのことをそこまで知らないので、検出してくれて、網羅性が高いというのは重要なことです。
運用計画と今後の展開・展望
*実際の運用計画や今後の展望を含めた詳細はPDF版からご覧いただけます。
Panoraysについてご紹介
サードパーティのセキュリティ態勢に関する可視性とコントロールは、自組織のセキュリティ態勢を維持する上で重要です。
SOMPO CYBER SECURITYがサプライチェーンリスク評価サービスとして提供するサイバーセキュリティ リスクレーティングプラットフォーム「Panorays」は、内部評価(自動化されたセキュリティに関する質問票)と外部評価(アタックサーフェスの評価)をビジネス上の関係性を考慮に入れて、総合的にサードパーティを評価し、リスクを迅速かつ正確に把握できるようにします。
継続的にサードパーティを監視および評価し、日々変化を続けるサイバー空間の脅威や侵害に関するアラートを提供することで、グループ会社やサプライチェーンといったサードパーティの侵害に対し、迅速かつ包括的に対応し、修復し、復旧する為に役立ちます。
