トーヨーカネツ株式会社様 │ リスクアセスメント、アドバイザリー支援
~戦略的なリスクアセスメント活用とアドバイザリー支援による対策推進~
セキュリティ対策を進めるにあたり、経営陣との認識合わせは欠かすことができません。トーヨーカネツ様では、リスクアセスメントを通じて外部専門家の意見として課題整理を行い、経営陣を巻き込んで課題認識を行うことで合意形成を図りました。さらには、抽出した課題に対し、アドバイザリー支援を活用し、限られた人数でセキュリティ対策を推進、現在は推進体制も拡大しています。
トーヨーカネツ株式会社様(以下、トーヨーカネツ)は、先駆的な試みと豊富な実績で培った技術力を基に、社会インフラの発展を支え続ける事業に取り組んでいます。その事業範囲は物流ソリューション事業、プラント事業、次世代エネルギー開発センター、みらい創生事業と多岐に渡ります。同社は2018年に発生したビジネスメール詐欺(被害は水際で止められた)をきっかけにセキュリティ対策の推進を加速しました。NOS(日本オフィス・システム株式会社)およびGSXによるリスクアセスメントを活用し、顕在化していた課題を外部専門家の意見として経営陣に提示することで合意形成を行い、続くアドバイザリー支援を通じて従業員教育、ガイドライン策定、ISMS認証取得など様々なセキュリティ対策を実行しています。 GSXは2018年より同社をご支援しており、ガバナンスの実装、外部アセスメントの活用、委員会・規程・教育の整備など、これまで進めてこられたセキュリティ対策実務の勘所について幅広くお伺いしました。
目次
トーヨーカネツ株式会社
コーポレート本部 IT戦略部 部長
宮川 嘉正 氏
トーヨーカネツ株式会社
コーポレート本部 IT戦略部 情報セキュリティグループ グループマネージャー
佐々木 一教 氏
トーヨーカネツ株式会社
コーポレート本部 IT戦略部 情報セキュリティグループ チームリーダー
中井 寿洋 氏
宮川氏)2018年に海外取引においてビジネスメール詐欺(BEC:Business Email Compromise)が発生し、被害は水際で止められたものの、サイバーセキュリティ対策の必要性に対する社内意識を高めることに苦労していました。当時は世間のセキュリティ対策に対する認識や意識は現在に比べ格段に低く、弊社内の体制もセキュリティ担当者は私一人が兼務で従事しているような状態でした。重要インフラ企業が当社の主要なお客様であり、セキュリティ対策をしっかりやらなくてはならないとの危機意識がありました。それらをどのように社内に上申し、合意形成までもっていくかが悩みでした。
宮川氏)どのようにセキュリティ対策を進めていくか思案していたところ、日本オフィス・システムからGSXをご紹介いただきました。そこで、GSXが提供するアセスメントを活用し、当社が抱えている課題を報告の中に含め、外部の専門家の意見としてセキュリティ課題を上申することで、合意形成に持って行くことに取り組むことにしました。外部専門家によるアセスメントの「客観的根拠」は経営層を納得させるに十分でした。単なる技術診断ではなく、委員会不在、ガイドライン未整備、教育不足、責任の曖昧さといった人的・組織的課題などを明示し、投資の優先順位を経営の言語(売上影響やレピュテーションなど)で整理することで、アセスメントの結果を戦略的に経営層への説得材料として活用しました。経営層への説明の場にはGSXコンサルタントの和田さんにも同席をいただき、経営陣の意識をより一層高めることができました。
GSX和田)トーヨーカネツ様のようにアセスメントを戦略的に活用される企業様は多くいらっしゃいます。アセスメントを通じた外部専門家による課題の抽出・整理はもちろんのこと、外部専門家の意見として対策の必要性を経営陣などのステークホルダーに提言することで客観性や説得力が増し、合意形成に近づけることができます。仮にその課題が既に既知の内容であったとしても、です。セキュリティ対策は経営課題であり、経営陣を巻き込み、経営課題として認識を持ってもらい、取り組みの後ろ盾をしてもらうことが欠かせません。
宮川氏)アセスメントのおかげもあり、現在は経営層のセキュリティ対策への意識は非常に高く、セキュリティ対策の予算投資にも積極的です。
佐々木氏)情報セキュリティ対策の推進を経営層主導で実施しています。情報セキュリティリスクに関する評価および対策については、サステナビリティ委員会傘下に情報セキュリティ小委員会を設置、各部室代表者が定期的に参集しリスク評価や対策の進捗管理を実施しています。また、CISO(最高情報セキュリティ責任者)を中心に、現場との連携を強化しながら全社員の意識向上を牽引しています。
宮川氏)アセスメントで提示したセキュリティ課題への対策を実行していくにあたり、当時(2018年ごろ)の推進役は私しかおらず、到底手がまわらない状態でした。さりとて、専門人材を雇用するほどの機運までに社内は至っておらず、GSXのアドバイザリー支援を活用して対策を進めていくこととしました。和田さん他コンサルタントの知見を借りながら、ガイドラインの整備、情報資産台帳の策定、そしてそれらを実務に載せていくための啓発活動、従業員教育、ISMS認証取得、インシデント対応訓練など次々とセキュリティ対策を実行していくことができました。アドバイザリー支援は、外部専門家から自社の現在の状態に対する客観的な意見・提案を求めることができ、実行時の伴奏役、指南役、知識、リソースの補完など、幅広い領域で役立っています。
佐々木氏)当社グループは重要インフラに関わる事業者の一員であり、各種事故の予防策やインシデント発生時の的確迅速な対応が常に社会から要請されているものと認識しています。現在、当社が想定する代表的なサイバーセキュリティリスクには、各種の標的型攻撃(APT)や内部不正などが挙げられます。また、業界固有のリスクとしては、重要機密情報・顧客情報の漏洩やサービス停止等が惹起する社会的信用低下に懸念があります。こうしたリスク対応のプライオリティに関しては、事業への影響度合や発生頻度をもとに随時見直しをおこない、緊急性・優先度の高いものから対策を講じています。
和田)アドバイザリー支援では専門家の立場で、お客様の意図を実現できるような支援を心がけて取り組んでいます。当然お客様と意見が合致しないこともありえますが、丁寧にコミュニケーションをすることで着地点を見出していきます。どのお客さまもセキュリティ人材の不足、知識の不足に悩んでいらっしゃいます。一方で、セキュリティ人材は枯渇しており、確保が難しい現状があります。必要な時に、必要な分だけ、知識やリソースを確保することができるアドバイザリー支援のニーズは年々高まっています。
宮川氏)現在のIT戦略部はDX推進グループ、IT基盤グループ、情報セキュリティグループと3つのグループで構成され、2018年に比べると体制は充実してきました。現在、データトラストをテーマに様々な施策を実行しています。しかしながら、DX推進や働き方の変化も相まって、セキュリティ対策の守備範囲は年々広がっていきます。一方で経営資源は有限で、無尽蔵に増えるわけではないため、限られたリソースで対処していくには守備範囲が広すぎます。そのため、範囲を絞って守っていく、選択と集中が必要と感じています。例えば、信頼性の高い基盤を利用する際は、基盤のマネジメントはお任せし、我々はアクセスコントロールに集中する、といったイメージです。
中井氏)セキュリティ人材の確保がなかなか難しい中で、セキュリティ品質を維持向上するための情報提供についてGSXへ期待しています。これまで先輩方が構築してきた環境やノウハウを、次世代として受け継ぎ、継続して活動していけるようになることが重要と考えています。
和田)ノウハウを受け継いでセキュリティ対策を維持していくこともIT BCPの一環と言えるかもしれません。
宮川氏)トーヨーカネツグループはM&Aを活用して成長を加速させています。グループに参画した企業の中には事業規模が小さく、ITやセキュリティの専門部隊がないケースもあり、時にはグループの経営者と直接対話することもあります。経営者と直接対話することで、相手先に対してガバナンスを効かせやすいという利点がある反面、同じレベル感に水準を高めていくことへの苦労もあります。
中井氏)相手先に専任IT人材が少ない現実を前提に、本社主導の教育・標準化・委員会運営でガバナンス面を支援しています。セキュリティ委員会への参加勧誘、グループでの研修実施、発言しやすい場の提供など、本社がリードして様々な施策を実行しています。また、グループ内での情報交換・共有を通じてリテラシーを高めるといった工夫も行っています。
佐々木氏)グループ各社に於いて生じたセキュリティ上の懸念や問題については、本社が相談役として日常的にサポートしています。
宮川氏)サプライチェーンリスクについては大きなテーマとして捉えています。自社がお客様に感染させないこと、お客様から感染しないこと、そして自社を起点にサプライチェーン全体へウイルスを拡散させないことの3点が重要な課題だと認識しています。
和田)直近で発生しているサイバー攻撃被害でもアカウント乗っ取りなど委託先が起因になっていたり、関係会社や取引先が踏み台になって自社が被害に遭うケースが後を絶ちません。宮川さんが仰るように、1社が被害を受けてビジネスが止まってしまうと、サプライチェーン全体のビジネスにも影響を及ぼすなど影響範囲も大きく、経産省がサプライチェーン評価制度の策定に動くなど、委託先をどのようにマネジメントしていくのかは各社課題となっており、GSXにも多くお客様からご相談を頂戴しています。
宮川氏)前回のアセスメント実施から時間が経過しました。今後は3年に一度程度など定期的なアセスメントを行いPDCAサイクルをまわしていきたいと考えています。アセスメントは自社の課題点を客観的に把握し、セキュリティ投資を計画していく上でも有用です。また、定点観測の証跡を残せば、組織体制の変動時にも持続性のある対応ができるようにもなります。加えて、経営層へのリマインドにもなります。
佐々木氏)現在、OSおよび各種ソフトウェアの適宜最新化、NGAV基盤のEDR運用、統合管理プラットフォームによる監視、ネットワーク不正接続防止等の基本的なセキュリティ対策に取り組んでいます。今後は、各種インシデント類に於ける質的量的変化への適切対応に向けたクラウド環境の安全性確保(SaaS/IaaSセキュリティ強化)、ZTN モデルの導入、AI Agent / Agentic AIを活用した脅威監視やインシデントレスポンスの自動化、そして、当社グループ全社員への従業員教育高度化を推進します。また、サプライチェーンセキュリティ堅牢化も極めて重要な課題であるとの認識のもとで、関係各所との更なる連携協働を強化していきます。GSX様は、日々当社のICTリテラシー現況を見定め、実行面での無理や破綻を招かないバランスの良い提案や状況フォローをいただける会社として当社関係者に高い評価を得ております。今後も、当社ならびに業界事情を熟知した専門家として、実効性のあるセキュリティ体制強靭化、緊急対応と継続的改善の両立に向けた支援を期待しています。
トーヨーカネツ様では、時代の変化、ビジネスの進化などによる事業の成長とともに、セキュリティ対策も次々と実行されています。GSXは継続的なアドバイザリー支援を通じて、トーヨーカネツ様に実態に即した様々な支援を通じ、セキュリティ対策の推進・強化に引き続き貢献して参ります。
- 戦略的にアセスメントを活用する アセスメントを通じて課題を整理するにとどまらず、外部専門家の客観意見として情報提示することで、社内の合意形成を促す方法としても活用していらっしゃいます。
- アドバイザリーで実効性を高める 必要な時に、必要な分、専門家の知見、リソースを活用し、セキュリティ対策を実行に移していらっしゃいます。
- 定期的なアセスメント 定期的に評価を行うことで計画的なセキュリティ対策の策定、経営陣へのリマインドを企図していらっしゃいます。
- お客様のコンディションを理解して寄り添う支援 GSXのアドバイザリー支援は専門家としての杓子定規な支援ではなく、お客様のコンディションに沿ってご支援をしているとご評価いただいています。
会社名
トーヨーカネツ株式会社
所在地
東京都江東区南砂二丁目11番1号
設立
1941年5月16日
資本金
18,580百万円
従業員
単体 608名 連結 1,218名(2025年3月期)
売上
単体 487億円 連結 604億円(2025年3月期)
代表取締役社長
大和田 能史
リスクアセスメント セキュリティ状況を調査・評価したうえで、影響の大きいリスクやその対策方法、対応優先順位を明らかにするリスクアセスメントサービスです。技術的なセキュリティ対策だけでなく、組織体制やルールなどの運用面・物理面でのリスク、外部および内部の脅威を可視化し改善策を提案します。
アドバイザリー支援 セキュリティ人材の不足などにより、サイバー攻撃対策は何をやったらいいいかわからない、専門家に相談したい、といったお悩みに、経験豊富なコンサルタントが、お客様のニーズに応じホスピタリティ高くアドバイスをご提供します。
本記事のシェアはこちらから
