積水化成品は、創立以来培ってきた発泡技術や重合技術を進化させ、さまざまなフィールドに製品やサービスを提供しています。
同社は、DX戦略を推進していく上で欠かせない情報セキュリティのグランドデザインを描き、ServiceNowのSecOps、ITOM、ITSMを導入。サイバーハイジーンを維持するためのセキュリティ基盤を構築し、スピーディな脆弱性対応を最小限のメンバーで運用できる体制を確立しました。
経営リスク低減に資する情報セキュリティのグランドデザインを求めた
1969年に設立し、発泡プラスチックスのパイオニアとして発展してきた積水化成品。現在では、有機微粒子・ハイドロゲルなどの高機能材料や、高性能な合成樹脂製品の開発・製造を手がけるほか、環境負荷を低減するリサイクル技術の開発にも注力しています。これに伴い同社のビジネスは、エレクトロニクス、モビリティ、医療・健康、食品、住環境・エネルギーなど、多岐にわたる領域に拡大しています。
さらに2019年頃からは、ITをドライバーとし、新たな価値創造を目指したDX戦略を推進しています。ただ、そこには大きな課題がありました。ITの利用拡大を進めていく上で不可欠となる情報セキュリティ対策の取り組みが思うように進んでいなかったのです。
情報システム部長を務める蓬田 律氏は、「サイバーセキュリティ対策は個々のサイバー攻撃に対する守りの議論に偏りがちで、体系的な話がまとまりにくく、予算の取得が困難な状況に陥っていました。DXを推進していく上で、管理業務の工数削減やリスク軽減を図るため、情報セキュリティのグランドデザインを求めていました」と振り返ります。
この期待に応えたのが、同社 情報システム部 大阪情報システムグループでインフラを主幹している阪口 恭平氏です。「サイバーセキュリティのリスクは増加傾向にあり、攻撃は以前よりも高度化・標的化しているため、あらゆる領域を守る必要があります。弊社でも一般的なセキュリティツール導入を進めていますが、必ずしも『セキュリティ対策=ツールの導入』では解決しないと考えています。効果的なセキュリティ対策には、導入後も運用・監視を行う専門人材が不可欠です。
しかし、そうした専門人材の確保が困難なだけでなく、DXなどの戦略的IT投資に向けた人的リソースの確保も求められるという状況に直面していました」と阪口氏はプロジェクトの背景について述べます。ランサムウェアをはじめとする大規模なサイバー攻撃の多くが、システムや機器に潜在する既知の脆弱性に起因していることや、工数捻出の難しさに着目した阪口氏は、「サイバーハイジーンの維持とDX推進に必要な人的リソースの確保という『守りと攻めのIT』を表裏一体として考え、取り組むことが重要です」と訴えました。この考え方をベースに情報セキュリティに対するインフラの基本方針が定まりました。
無駄な作業工数を徹底的に排除するServiceNowに共感
システムに潜在するセキュリティリスクを検知する手段として、積水化成品は脆弱性スキャナーの導入を検討していました。しかし、これだけでは十分とは言えないと阪口氏は話します。
「サイバーハイジーンを維持するだけなら脆弱性スキャナーがあれば事足りるかもしれません。しかし、私たちはDXを推進していく過程で拡大していく多様なアプリケーションに対し、変化に柔軟に対応できるインフラを実現しなければなりません。人手に依存した作業体制では人的リソース不足は明らかで、昨今の人材不足により増員も困難な状況です。また、たとえ十分な人員確保ができても、DXが軌道にのった後の効果は限定的とみています。人材再配置やリスキリングまで実現して初めて本質的な効果が出ると考える一方で、これらの施策の実現が容易ではないことも理解しています。そのため、最小限のメンバーで脆弱性対応業務(サイバーハイジーンの維持)を行いながら、戦略的IT投資も進められる体制づくりが急務と判断しました」(阪口氏)
加えて、情報システム部は従来の「ラン・ザ・ビジネス」「ITガバナンス」に加え「DX推進」を同時にこなす必要があり、特にDX推進に対するITガバナンスは同時進行が求められている、と阪口氏は言います。
「限られたメンバーでこれらを遂行するためには、個別最適ではなく運用の観点からも全体をグランドデザインし、統一的に設計し直すことで従来業務の工数を徹底的に抑える必要があると考えていました。その中で、少人数でDXを進める手段として、ServiceNowのコンセプトが私たちの方向性に合致していると考えました」
阪口氏は、同社に必要なインフラのグランドデザインを描き、脆弱性対応業務の再設計を主導しました。
こうして同社は2024年7月、ServiceNowのSecurity Operations(SecOps)、IT Operations Management(ITOM)、IT Service Management(ITSM)の3つのソリューションからなる新たなセキュリティ基盤の構築を決定しました。
「他社製品も含めた複数のソリューションを調査した中で、ServiceNowはサービスマネジメントが優れていることに加え、構成管理データベース(CMDB)によって組織全体で正確な情報を共有するなど、無駄な作業工数を徹底的に排除し、効率化することに各機能の本質があることを強く感じました。
ServiceNowなら、統一化された運用の仕組みの上に、必要な要素を載せていけると確信しました。描いたグランドデザインに基づいてServiceNowを活用することにより、理想的な形でDXを推進できるインフラ組織の構築が可能であると考えたのです」(阪口氏)
ServiceNow導入以前のサイバーハイジーンの管理は、クラウドおよびオンプレミス環境で稼働する、各種システムやネットワーク機器から検知された「脆弱性の台帳登録」から「影響有無の調査」までのほとんどの工程を、担当者の目視と手作業に頼っていました。報告を受けた上長も対応是非を判断する根拠が不足しており、また、実際の対応や関連する申請は別手続きで、過去の作業履歴も追いづらい状況でした。
そこでServiceNowを導入することにより、「脆弱性情報と資産情報の収集」から「資産情報と脆弱性のマッチング」、「対処すべき脆弱性の把握」、「作業タスクの指示およびその証跡管理」まで、一連の業務プロセスを効率化・自動化することを考えました。
「 ServiceNowから自動作成される分析レポートを通じて、脆弱性の深刻度や優先度を確認することができます。これにより、上長も定量的に、対応是非の判断を容易に下せるようになります。 また、自動収集した資産情報に対して実施した変更履歴をリンクさせることで過去の作業履歴も追うことができ、今後のナレッジとして活用することも可能となります」(阪口氏)
わずか3カ月半の短期導入を実現した成功要因
積水化成品の取り組みで注目すべきは、上記の目的を達成するServiceNowの基盤構築を、2024年9月のキックオフからわずか3カ月半という短期間で成し遂げたことです。
プロジェクトを全面的に支援したシステムサポート 名古屋支社 デジタルイノベーション事業部 マネージャの竹腰 祐記氏は、「弊社はServiceNowパートナープログラムにおける最上位のElite Partnerとして、業界を問わずさまざまな企業に対してServiceNowを基盤とするシステムの導入・開発、運用保守サービスを提供し、ノウハウを蓄積してきました。今回のプロジェクトに際しては、そうした中でも10年以上の経験を有するプロフェッショナルを中心にチームを構成しました」と話します。
同じくシステムサポート 名古屋支社 デジタルイノベーション事業部 マネージャとしてPMOを務めた白井 裕子氏が、このように続けます。
「お客様と常に緊密なコミュニケーションをとりながらプロジェクトを進めてきましたが、特に阪口様は、打ち合わせの席で議題に挙がった検討項目について、ほとんど持ち帰ることなくその場で回答してくださいました。例えば、ServiceNowの標準機能をOOTB(Out Of The Box)でそのまま使えばよい部分、ローコード機能を使ってカスタマイズする部分なども、明確かつ迅速に切り分けていただき、とても助かりました。こうした意思決定の速さこそが、今回の短期導入を実現できた最大の成功要因となっています」(白井氏)
基本はServiceNowの機能をOOTBで活用し、運用面においての利便性や、同社の脆弱性に対するルールを適用すべきところはカスタマイズを行なったと阪口氏は説明します。
検知された脆弱性の対応是非判断を大幅にスピードアップ
2024年12月中旬より利用を開始したServiceNowは、積水化成品のインフラ管理業務ですでに多くの成果をもたらしています。
「定量的な観点において注目すべきは、検知された脆弱性への対応判断までのリードタイムが大幅に短縮された点です。これにより、年間で約60営業日分の対応期間短縮を見込んでいます。加えて、脆弱性を監視し続けるインフラ担当の工数が年間約114人日分削減されると想定しており、これらの創出されたリソースを戦略的IT投資に活用することが可能となります。」(阪口氏)
さらに阪口氏は、通常のパッチ適用だけでは解消されないWindowsのオプトイン機能の脆弱性を含めた「脆弱性見逃しリスクの低減」をはじめ、「脆弱性の対応方法調査時間の短縮」「クラウドネットワーク構成の可視化」、「各ソフトウェアのバージョン一元把握基盤の実現」、「資産管理情報のリアルタイム性向上」といった効果を挙げ、「サイバーハイジーンの維持だけでなく、その他の運用業務改善の足掛かりにも繋げることができました」と強調します。
「ServiceNowの導入により、リードタイムの短縮と迅速なリスク対応が可能となり、将来的なセキュリティインシデントへの備えが強化されました。また、脆弱性が可視化されたことで、従来の目視やWindowsアップデートだけでは把握できていなかった、潜在的な脆弱性が確認できるようになったことは、大きな成果だと考えています」(阪口氏)
こうした成果の数々を受けて、蓬田氏は今回のプロジェクトを次のように総括します。
「DXを進める上で、企業は往々にして人員削減やコスト削減に重点を置きがちで、表面上は効果が表れているように見えながら、裏側でさまざまなリスクが増大していることが珍しくありません。今回のような仕組みを導入することで、情報漏洩などのリスクも確実に減らすことができたほか、セキュリティに関する意識や情報をしっかり定量的に共有できる場が整いました。
脆弱性対応も同じですが、ServiceNowによる基盤を整備することで、その業務にあたる人員やコストを最小限に抑えつつ、同時にサイバー攻撃による情報漏えいや事業停止などの経営リスクを軽減できる仕組みを実現することができました。今後もこの取り組みを継続していく上で、その価値がはっきり見えてくると考えています」(蓬田氏)
さらにSecOps、ITOM、ITSMのライセンスがすでに揃っていること自体が、今後のインフラ管理、運用を進める上で強力な武器となります。阪口氏は、「脆弱性対応業務のみならず、インシデント管理や問題管理、変更管理業務やナレッジ機能を利用した定常業務管理等の強化や、狭義のCMDBではなくCSDMを前提とした広義のCMDBによるインフラ全体構成可視化の検討に向けたさまざまな施策を、ランニングコストをほとんど増加させることなく、実装することができるのです。インフラの安全を統括する責任者としての立場から、今後もServiceNowを最大限に活用していきます」と適用業務の積極的な拡大を図っていく意向を示しています。