セキュリティ推進室

サンドイッチ構想でプロジェクトを推進

2021年11月にベイシアグループの1社で、自社ECサイトでの個人情報漏洩案件が発生しました。それをきっかけの一つとして社内でも情報セキュリティに対する意識がいっそう高まり、本格的な取り組みが開始されたのです。

ベイシアグループは、物販チェーン7社を中心に30社で構成する国内最大規模の流通企業グループです。グループ内では各個社間で扱うものや取引先などが大きく異なっているだけでなく、各個社がハリネズミの針のように自分の長所や強みをどんどん尖らせてグループ全体として強くなっていくいわゆる「ハリネズミ経営」 に基づいて、独自性を追求していました。

そのため情報セキュリティに対しても、上から一方的に命令するのではなく、各個社に自主性を持たせつつ、責任を持って進める方法が適していると判断し、戦略と方針を定めていくことになりました。

また、規模の大きさゆえ、すべての業務プロセスを網羅した情報セキュリティ施策を設けることは困難です。とはいえ、共通事項だけを拾い出して「こうやればいい」と指示を出すやり方では、いつか円滑に進まなくなります。そこで、まずグループ全体で守るべき大前提を設定したうえで、その中に各個社の事例や固有の事情に応じた対応をはさみこんでいく「サンドイッチ構想」で進めていくこととしました。

情報セキュリティ規定の制定と各個社に合った情報セキュリティポリシー

まず、グループ共通で遵守すべき規定である「ベイシアグループ情報セキュリティ規定」を制定。続いて、各個社のCEOなどが集まる幹部会の場でそれを発布し、各個社単位でセキュリティ対策を進めていく合意を取りつけました。あとは各個社において、それぞれの実情にあった情報セキュリティポリシーを設けることにしたのです。

ただし「ベイシアグループ情報セキュリティ規定」では、「こういうセキュリティ対策をしなさい」と、すべてのやるべきことを具体的に明記したわけではありません。

• 体制として、このような人を任命してください
• 各個社ごとに、情報セキュリティ規定に該当する「ポリシー」を制定しましょう
• ポリシーのなかには、最低限〇〇の項目を含めましょう

このように、セキュリティを担保するための最低限の取り決めのみを行ったうえで、各個社において自社の体制にあった独自の情報セキュリティポリシーを制定しました。

取り組みによってグループ内で起きた変化

「ベイシアグループ情報セキュリティ規定」が施行されたことで、グループ内の情報セキュリティに対する意識が確実に変化してきています。

これまで各個社においては、情報漏洩にまでは至らないものの、Webサイトなどへの侵害事象や、迷惑メールの受信といった懸案事項が発生することがありました。

そんなときも、「これまでは社内で相談できるところがなかったが、今ではセキュリティ推進室に相談できる」「迷惑メールが届いたらグループのシーサートにメールすれば、対応支援してくれる」。こうした意識が浸透し、何かあればまずセキュリティ推進室に連絡をする体制が整ってきたのです。

さらに最近では、「セキュリティ面での確認やアドバイスをしてほしい」といった依頼も入るようになりました。

なお、セキュリティ推進室は少数精鋭部隊で成り立っています。それだけに、グループ全体のセキュリティに関するありとあらゆるオペレーションを我々だけで全て担うことが難しい状況にあります。

そのため、例えばoffice365の検疫機能やパワーオートメイト機能の活用など、新しいセキュリティソフトも積極的に導入しています。

おもてなしコンサルで個社の自主性に託す

また、すべてをこちらから指示することはしていません。提案はするものの細かい指示はしないという、内部的には「おもてなしコンサル」と呼ばれている方法を活用しながら、あくまでも各個社の自主性に任せるようにしています。

また、基本的に我々はセキュリティの観点からの見解を述べるのみであり、業務上の必要性については、それぞれ担当する上長に承認してもらうようにしています。

このように、我々が1から10まですべてを指示するのではなく、各個社でも考えて判断する習慣をつける。それによって各個社の担当者も成長していきますし、我々も限られた人員でグループ全体のセキュリティ体制を統制することができていると思います。

セキュリティの安全性を維持するために

セキュリティ推進室の今後の目標は、業務領域のセキュリティの安全性をきちんと担保できるようにすることです。そのためにも、いつでも情報セキュリティ監査ができる準備をしておき、必要に応じて各個社の情報セキュリティポリシーに合った監査を実施する形で、システムをきちんと維持させつつ、セキュリティの管理策の強化を下支えしていきたいと考えています。

ベイシアグループソリューション全体でみると、当社はグループ内における情報システム部門のような立ち位置にあります。同時に各個社からみると、我々は業務委託をするサービスプロバイダーにもなっているんです。だからこそ当社は、グループのなかで最も高いセキュリティレベルを担保すべきだと思っています。

そのためにも将来的には、ISMSや、また最先端のクラウド技術を用いてデータのクラウド化を推進するクラウドサービスプロバイダー（CSP）として、ISO27017や27018の認証取得も目指しています。

さらに、現在作成中の「ベイシアグループソリューションズの情報セキュリティポリシー」をNIST SP 800-53に従って記載することで、ゆくゆくは国内基準であるイスマップ（ISMAP）の認証を取得できるようにしたいと思っています。これは日本政府が自分たちのITソリューションを調達する際に、セキュリティレベルが十分だと認定してもらうための承認制度であり、いわば国内最高レベルのセキュリティ認証です。

もう一つの目標は、新しいソリューションや運用保守手順も効果的に導入していくことで、みんなが知らないうちにセキュリティレベルが上がっているような状態をつくり上げることです。いわば、普段使っていたガラスのドアが、いつの間にか防弾ガラスに変わっているようなイメージです。普段どおりに保守や運営をするだけで、いつの間にか必要なセキュリティが担保できている。このような状態にすることが現在の理想です。

そのためにも、まずは当社がグループ全体のロールモデルとなれるように、今後も率先して取り組んでいきたいと思っています。

2023年8月インタビューにて