サプライチェーンを止めないために堅牢なセキュリティ体制を築いた日本精工

認証やガイドラインの要求に応えるため、セキュリティ管理体制を強化

1916年に創業した日本精工は、ベアリングや精機製品などの開発・製造で100年以上の歴史を重ねてきたグローバル企業です。同社の事業の中でも、重要な柱の一つとなっているのが自動車事業です。様々な大きさや形状、特性を持ったベアリングを提供できる同社は、世界中の自動車メーカーに製品を納入。サプライチェーンの重要な一角を担っています。「サプライヤーの使命としてお客様である自動車メーカーの生産ラインを止めることは許されません。そのため、サイバーセキュリティ対策にはとくに力を入れています」と語るのは、同社 ICT本部 情報セキュリティ推進室の加澤 靖氏です。

　情報セキュリティ推進室は、海外の自動車業界団体や個別の自動車メーカーが制定するセキュリティ運用の認証制度やガイドラインへの対応にも関わっています。

これらの認証やガイドラインの要求に応えるには、インシデントへの対応をエビデンスとして提示できる環境も整えなければなりません。同社は、それを示すことができる機能を備えたソリューションの導入を検討しました。

ITサービス運用とセキュリティ運用の両方でグローバル標準である点を評価

日本精工は、セキュリティ管理強化のためのソリューションとして、ServiceNowのSecOpsを採用しました。SecOpsは、限られた人員でも、社内全体のシステムに潜む膨大な脆弱性（攻撃にさらされやすいポイント）や、年々増え続けるインシデント（実際の攻撃とその予兆）を効率よく探り出し、効果的に対処できるようにするためのソリューションです。セキュリティ運用のオペレーションを合理化しつつ、サイバー攻撃によるビジネスへの致命的なダメージを回避することができるのが大きな特徴です。

またSecOpsには、実際にどのような脆弱性やインシデントを検知し、それにどう対処したのかという行動履歴がナレッジとして蓄積される機能も搭載されています。同社は、この行動履歴をエビデンスとして提示すれば、お客様（完成車メーカー）にしっかりとした説明ができると判断しました。仮に認証取得のような要求があったとしても、特段の追加の運用なく、要求を満たすことが可能です。

加澤氏は、「セキュリティ運用を合理化するためのソリューションは他にもいくつかありましたが、ITサービス運用とセキュリティ運用の両方でグローバル標準なソリューションであることを評価して、SecOpsを選びました」と振り返ります。グループ全体のセキュリティ運用を合理化するには、海外拠点でも受け入れられやすいServiceNowが望ましいと判断したそうです。

日々増加するセキュリティインシデント報告に、どう対処するか？

日本精工は20年10月、SecOpsのうち、脆弱性管理のためのソリューションであるVulnerability Response（以下、VR）を、12月にはインシデント対応のためのSecurity Incident Response（以下、SIR）を、それぞれ運用開始しました。

情報セキュリティ推進室は、導入前から脆弱性やセキュリティインシデントの報告を受けた場合の対応手順やルールなどを決めていましたが、「日々増加する対策に対して実務が追いついていない状態でした」と加澤氏は振り返ります。

国内外の拠点からのセキュリティインシデント報告はセキュリティ製品からのアラート通知や緊急の電話連絡やメールで24時間、ひっきりなしに届きます。限られた人員で年々増え続ける報告をどのようにさばいていくかが大きな課題の一つとなっていました。

「処置がどこまで進んでいるか、解決したのかどうかを1件1件確認するのも大変な作業でした。抜け漏れをなくすため、スプレッドシートで作った管理台帳で全インシデントを一元管理しようと考えたこともありますが、とてもこなせる量ではありませんでした」（加澤氏）

インシデントごとに管理番号を付与して、処置の抜け漏れを解消

そうした実務上の課題が、SIRの導入によって一気に解決しました。このソリューションでは、セキュリティ製品や監視ベンダーから通知されるセキュリティインシデントをSIRに取り込み、自動的にインシデントごとの管理番号が付与されます。セキュリティ運用担当者は、検知されたインシデントの内容を確認し、その管理番号を伝えてIT担当者に処置を依頼。その後の進捗についても、管理番号に基づいて状況を追い掛けられるので、処置の抜け漏れがなくなるのです。しかもSIRは、ビジネスへの影響度に基づいて対処の優先順位付けを行ってくれるので、限られた人的リソースでも、効率よく効果的な対応ができます。「確認のために何度もメールをやり取りする必要がなくなり、インシデントごとの状況把握も容易になりました」と加澤氏は評価します。

21年度は重大なセキュリティインシデントの発生がゼロに

具体的な導入効果としては、日本国内で検知された低・中リスクのインシデントを解決するまでの時間が導入前に比べて約2分の1に短縮されました。また、SecOpsでは脆弱性やインシデントへの対応履歴がナレッジとして蓄積されるので、業務の標準化に役立てることができます。その結果、「難度の低いインシデントは経験の少ない担当者や外部委託先にも回せるので、高いスキルを持ったセキュリティ運用担当者の業務が約80％削減されました。その分、脆弱性やインシデントの詳細な分析といった高度な業務に時間を割けるようになり、管理体制が強化されました」と加澤氏は評価します。

これらの効果によって、21年度には重大なセキュリティインシデントの発生をゼロにすることができました。SecOpsによる運用体制の改善は、情報セキュリティ推進室が掲げる「サイバーセキュリティ脅威への対応」「情報資産の適切な管理」「顧客や社会、国内外の関係組織からの信頼獲得」という3つのミッションの実現に貢献しています。

日本精工では、海外拠点で検知された脆弱性とインシデントについても、日本でアラートが発令されるようにしています。「各拠点が検知に気づかない場合を想定して、アラートが発令されたら日本からメール等で対応を依頼しています。その際も、管理番号によってインシデントごとの進捗状況を把握できるので、抜け漏れなく対処できます」と語るのは、情報セキュリティ推進室で海外拠点のセキュリティ運用を担当する曹 嘉迪（そう かてき）氏です。

ガバナンスにまつわるリスク管理強化の仕組みも検討

この他、情報セキュリティ推進室は社内のセキュリティ体制を強化するため、一般従業員向けに報告や相談の窓口も設けています。22年9月、ServiceNowの機能を活用して、従業員からのセキュリティに関する問い合わせ専用ポータルサイトを開設しました。

「外部から怪しいメールが届いたり、システムのおかしな振る舞いを発見したりしても、『誰に相談していいのかわからない』という従業員の声が多かったので、窓口を一本化しました。問い合わせが簡素化され早くなれば、初動対応のスピードアップが期待できます。より迅速、確実な対処が可能になるわけです」と語るのは、ポータルサイトの開発に携わった情報セキュリティ推進室の藤本達也氏です。

日本精工は今後もServiceNowのソリューションを活用し、セキュリティ領域にとどまらず、あらゆるリスクの管理強化を図っていく方針を掲げています。

加澤氏は、「ルールやポリシーに沿った運用ができているか確認するため、ガバナンスにまつわるリスク管理強化を実現するGovernance Risk Compliance（GRC）領域をカバーするServiceNow Integrated Risk Management (IRM) のソリューションを導入することも検討しています。ステークホルダーからの信頼獲得のため、これからも有効な仕組みは積極的に取り入れていきたいです」と語りました。

PDFをダウンロードする