【導入事例】鴻池運輸株式会社さま ~社会の変化に適応すべく、 進化を続ける組織のセキュリティ~(6/5)
デジタルトランスフォーメーション推進部 担当課長 戸松 聡氏
サプライチェーンリスク評価サービス『Panorays』の導入事例として、鴻池運輸株式会社さまにお話をうかがいました。
物流業界の現状には、増え続ける配送量や利便性を求める世の中の変化に対し、人手不足などの問題があります。効率的かつ安全で、快適な労働環境を守りつつも、社会における需要の拡大、ニーズの高度化にも応えていく必要があり、非常に難しい舵取りを迫られている業界です。
こうしたチャレンジングな環境の中、鴻池運輸株式会社では、2018年にICT推進本部を発足させ、社内インフラの改善を始めとする、さまざまな課題解決に取り組んできました。その中で、2024年1月に導入されたのがサプライチェーン評価サービス『Panorays』です。Panoraysの導入と運用を担当しているICT推進本部副本部長 兼 デジタルトランスフォーメーション推進部 部長 佐藤 雅哉氏と、同じくデジタルトランスフォーメーション推進部 担当課長 戸松 聡氏の2名にお話を伺いました。
*取材は2025年2月に実施されました。
委託先や協業先など、サプライチェーンのリスク管理の参考に、是非、ご一読ください。ここでは、取材中におうかがいしたPanoraysの採用に至った背景や経緯などの一部を抜粋してご紹介します。
<<<導入効果や今後の展望を含む完全版はこちら>>>
取材当日はリモート参加だった ICT 推進本部 副本部長
兼デジタルトランスフォーメーション推進部 部長 佐藤 雅哉氏
鴻池運輸株式会社さまのご紹介
鴻池運輸株式会社は、1880年創業の総合物流サービス企業です。国内外の物流をはじめ、製造業界向けやサービス業界向けの請負サービスなど、多角的に事業を手掛けています。KONOIKEグループの事業コンセプト「統合革新(インテグレート・イノベーション)」は、お客さまの生産・サービス工程において日本が誇るものづくり・おもてなしの品質を裏側から支えながら、前後の物流工程を含めたすべてのバリューチェーンを統合・最適化し、改善を重ね、革新的なサービスを生み出すことを目指す考え方です。社会全体を見渡しながらニーズを発掘し、グループが培ってきた知見や技術によって、社会課題の解決を図るサービスを創出していきます。
導入背景・課題
ⅰ. ここ10年ほどで物流業界を取り巻く環境の変化は?
佐藤氏:労働人口の減少に加えて、物流業界ならではの「2024年問題」に対応する必要性や、労働集約型である倉庫業務の変革のための、例えば、一部先進企業にて導入済みである自動倉庫化や、そのためのIT、デジタルの活用など、課題は多くあります。
当社では、それらの課題解決を含めたICTによる「業務改善・改革」に取り組む中、さらに、業界において競争力をつけ、さらに成長するために、ITへの注力が必要ということから、2017年に、創業以来初めて、外部からITの責任者を招聘し、翌2018年にはICT推進本部を発足させました。ICT推進本部が発足した2018年から最初の3年間は、クラウド移行、データセンターの極小化という、DXを推進するためのインフラ基盤の再構築に取り組みました。
そこで課題となったのがセキュリティです。インフラ構築とセキュリティは切っても切れない関係の為、まずは、サイバーセキュリティにおける過不足を見直し、外部攻撃に備えた態勢整備を念頭に、ネットワークセキュリティ、認証管理、デバイスセキュリティなどを次々と導入していきました。社内環境の変化には経営陣からの理解が必要となりますが、当社の場合、ICT化を進める上でセキュリティは不可欠であることに対しての理解とサポートも充分に得られており、大変恵まれた環境で推進できていると感じています。
ⅱ. 前出の環境変化による日常業務への影響は?
佐藤氏: ICT推進本部の発足以前は、業務系と情報系の2つのIT部門があり、業務の知識はあるものの、ITの専門知識のある人たちを核とするチームが存在していたわけではありませんでした。そのため、IT関連の改修等はベンダーに任せている部分も多かったようで、発足当初は、同様のソリューションが複数ある混沌とした状況となっており、IT環境全体を見直す必要がありました。
また、社員の皆さんの働き方に関しては、例えば、デスクトップ型のパソコンが多く利用され、モバイルパソコンの持ち出しには申請が必要、ガラケーを利用、など、オフィスで働くことを前提とした、旧来型のIT環境が残存していました。世間ではすでにリモートワークも取り入れられ始めていたため、当社も「DX」「働き方改革」をキーワードに、セキュリティツールを導入したモバイルパソコンに入れ替え、時間や場所にとらわれることなく、かつ安全に社内リソースにアクセスできる環境を整えました。必要なセキュリティに関する整備も整い始め、社員の皆さんからも「働きやすくなった」という声が届くようになりました。
そんな中、新型コロナウイルスの感染拡大が追い風となり、一気にリモート化を進める必要が出てきました。細かい規定類に関しては、まずは簡素的な内容で運用を開始し、徐々に詳細をつめていくというプロセスを取ってスピード感を重視しました。それによるセキュリティに対しての不安要素については、極力社員の皆さんに感じさせないよう注意を払い、安心して働ける環境づくりを心掛けていました。
導入経緯・理由
ⅰ. Panoraysの導入検討に至る経緯は?
佐藤氏:鴻池運輸においてセキュリティ強化を推進していた中、未遂も含め、海外のグループ会社でいくつかセキュリティに関わるインシデントが発生しました。発生要因としては、ITというよりは運用面の問題が大きかったものの、ITの視点からも再発防止策を検討することとなりました。そこで、「海外セキュリティ強化プロジェクト」を立ち上げ、鴻池運輸のセキュリティ管理が充分に行き届いていなかった海外30社を対象に、セキュリティ強化の施策を展開し、約3年をかけて導入し、運用を開始しました。その頃、日本ではサプライチェーンリスクが注目され始め、我々も取引先からセキュリティ態勢に関する問い合わせを多くいただくようになりました。このプロジェクトにより、海外グループ会社のセキュリティ強化は実施できていましたので、国内グループ会社の強化を推進するにあたり、まず手始めに成熟度を図るためのサーベイツールを検討し始めたのがきっかけです。
ⅱ. Panoraysを知ったきっかけと採用に至った決め手は?
佐藤氏:検討をしていくうちに様々な情報を提供いただき、そのうちの1つがPanoraysでした。採用に至った決め手は3点あります。
まず1つ目は、価格と機能のバランスです。機能的には他社製品と大きな違いはありませんでしたが、価格と機能のバランスが良いと感じました。2つ目は、ライセンス形態です。Panoraysには大きく分けて、継続的な監視用と年2回のスキャン用という2種類のライセンスプランがあり、後者が我々の求めていた定期的な調査というニーズに合っていました。3つ目は、シンプルさです。他社のツールは細かい機能が多く、使い切れない懸念がありました。それに比べ、Panoraysは非常にシンプルでしたので、総合的に判断して、Panoraysを採用しました。
戸松氏:Panoraysの強みはやはり、外部的、内部的の2つの側面から評価できる点だと思います。技術的な側面からの外部的評価と、アンケートによる管理面の内部的評価という両側面の可視化を1つのソリューションでカバーできる点は、大きな決め手となりました。
ⅲ. ライセンスの使い分けに関する目的や背景は?
佐藤氏:鴻池運輸本体では包括的かつ継続的なセキュリティ管理をしていますが、グループ会社のセキュリティに関しては、現状、継続的な監視は必要なく、PDCAサイクルに沿った運用を目的としているため、ワンタイムライセンス(年2回のスキャン)を割り当てています。使用例としては、4月に調査を実施し、半年後および1年後の改善状況を測定し、可視化します。結果については、経営陣に報告し、グループ会社としてのセキュリティ状況を示すといった使用方法となります。
Panoraysライセンス形態
戸松氏:継続的なモニタリングを行う通常ライセンスも購入しており、グループ会社の中の売上高上位10社は、継続的に見ていく必要があると判断し、ワンタイムライセンスではなく通常ライセンスを導入しています。
また、2年目の契約更新時にはライセンス形態を少し変更しました。理由としては、グループ会社の中には公開サイトを持っていない会社もあり、スキャンをする必要がないことが判明したためです。そのため、公開サイトを持っていない会社に関しては内部評価のみとする形式にライセンスを変更しました。
運用に関しては、業務負荷を考え、全ての指摘事項に対して改善を求めるのではなく、「クリティカル」および「高」と評価された項目は対応する運用としています。しかしながら、グループ会社ごとに状況は異なりますので、苦労することもあります。小規模の会社は、IT専任の担当者はおらず、他の業務と兼任で対応している担当者も多くいます。また、必ずしもITの知識が充分ではない場合もあり、評価結果に対し、何から手を付ければ良いか分からないというケースも少なくありません。ですので、単にこちらからの対応依頼だけに留めず、不明点があれば、我々セキュリティチームから対応支援やアドバイスを行う運用を行い、出来るだけ各社の負担を減らす工夫をしています。
導入効果と今後の展開・展望
*実際の導入効果や今後の展望を含めた詳細はPDF版からご覧いただけます。
Panoraysについてご紹介
サードパーティのセキュリティ態勢に関する可視性とコントロールは、自組織のセキュリティ態勢を維持する上で重要です。
SOMPO CYBER SECURITYがサプライチェーンリスク評価サービスとして提供するサイバーセキュリティ リスクレーティングプラットフォーム「Panorays」は、内部評価(自動化されたセキュリティに関する質問票)と外部評価(アタックサーフェスの評価)をビジネス上の関係性を考慮に入れて、総合的にサードパーティを評価し、リスクを迅速かつ正確に把握できるようにします。
継続的にサードパーティを監視および評価し、日々変化を続けるサイバー空間の脅威や侵害に関するアラートを提供することで、グループ会社やサプライチェーンといったサードパーティの侵害に対し、迅速かつ包括的に対応し、修復し、復旧する為に役立ちます。
