『Security Online Day』は、セキュリティエンジニアやSOC/CSIRT、CISO等の幅広い方に支持されているセキュリティカンファレンスです。今回は「サプライチェーンセキュリティ」を軸に有識者の方々と共に“対策の最適解”を探りました。

サイバーセキュリティに関するリスクを“グループ重大リスク”の一つと位置づけ対策を強化している旭化成からは、デジタル共創本部　IT統括部　セキュリティセンター長　松本直也が登壇し、自社の「ゼロトラストの導入」「SOC/CSIRTの運用」「グローバルセキュリティの確保」について紹介。セキュリティにおけるビジョンの明確化と、そこから逆算して独自の体制を構築していくことが重要であると強調しました。

――――――――――――――――――――――――――

ゼロトラストの導入
旭化成では、新型コロナ流行前(2018年～2019年)から将来を見据えてネットワークの構成を見直す動きがありました。結果としてゼロトラスト導入に至り、利便性とセキュリティの向上、コストの最適化を実現しましたが、あくまで "インターネット上で安全に便利に業務を行えるIT環境の実現" を考えた結果であり、最初からゼロトラストありきではありませんでした。
具体的には、インターネット活用の刷新（SD-WAN、SASEの導入などリモートアクセスの仕組み）とエンドポイントセキュリティの強化（EPP･EDR、認証基盤の強化・デバイス管理の強化をクラウド型で実装）そして、それらのログをSIEM で統合監視してSOC/CSIRTが監視運用するという体制を構築しました。また、並行して全従業員に対する教育活動の推進にも力を入れ、一人一人が理解して行動できるよう様々なコンテンツを展開しています。

SOC/CSIRTの運用
旭化成では社内外組織と連携しながらSOC/CSIRTを自社で運用しています。自社で運用する理由は、“リスクがビジネスへ及ぼす影響の判断は自社でしかできない”　と考えているからです。もし、アラートが出てもそれをしっかりと翻訳できる能力を自社で持っていないと適切な対応はできません。また、その能力を日々アップデートしていくことも組織として重要であると考えています。
ただし、全てを自社で対応することは難しいため一部だけ外部連携もしています。どこまでを自社で、どこからを外部委託するかは会社によって違うのでしっかりと検討する必要があります。

グローバルセキュリティの確保
M&A等により、グローバルに仲間を持つ旭化成にとって、グローバルセキュリティの確保も重要な課題の一つです。グローバルセキュリティに関しては「セキュリティモニタリング」「ITの標準化」という2軸で実施しています。海外現地法人の現状把握・課題整理・改善計画の策定・改善実行のサイクルを回し、監査という一方的な形ではなく　“どうしたら良くなるのか”　を一緒に考え進める「伴走型」でセキュリティモニタリングを行い、セキュリティ水準向上を図っています。リソース的に難しい会社については、PCネットワークや教育、オペレーションセンター等全体のIT環境を旭化成の環境に取り込むなどしてセキュリティを一定水準に上げ、標準化を目指しています。

まとめ
サプライチェーンセキュリティでは、サプライチェーンの一番弱いところが「セキュリティ水準」となってしまうため、全体の底上げは非常に重要です。
サプライチェーンのWeakestLinkにならないためには
●「サイバーセキュリティリスクは経営課題」として捉え、全社的な取り組みを行い全社で水準を確保すること。
●自組織でどこまで対応するかなど、「自組織構造・リソースに合わせたセキュリティ体制の構築」をすること。
●ゼロトラストやSASE、SD-WANありきではなく、あくまで「自社のビジネスをドライブするためのセキュリティ」として何が最適なのかを検討すること。
が重要です。

また、導入事例が少ないものであったとしても自社に最適であると判断した時は積極的に導入する、チャレンジすることで新しい道が開けることもあります。挑戦を忘れず、これからもセキュリティでビジネスの新しい道を切り開いていきましょう。

Security Online Day 2024 春の陣（2024.03.13） (shoeisha.jp)
デジタルトランスフォーメーション | 企業情報 | 旭化成株式会社 (asahi-kasei.com)
旭化成株式会社 (asahi-kasei.com)
旭化成 DXエンジニア キャリア採用 特設サイト (rs-information.com)
Asahi Kasei DX チャンネル - YouTube
Asahi Kasei DXチャンネルショート動画