サイト内の現在位置

セミナー会場で並んで立つNEC サイバーセキュリティ事業統括部ディレクター　芝宮礼継,CISSPとNECセキュリティ執行役員Chief Security Solutions Officer （CSSO）奥山聖

今！消費財メーカーに求められる
リスク・マネジメント対策

リスク・マネジメント対策セミナーレポート【2025.06.18】

ローカルナビゲーション

コンテンツメニューものづくりの未来

カテゴリ：DX・業務改革推進その他

2025年5月23日、NEC本社にて消費財メーカーのお客様をお招きし、今こそ求められるリスク・マネジメント対策に関するセミナーを開催いたしました。ここでは、当日の内容をご紹介いたします。

[目次]

第一部
・基調講演１：消費財メーカーを取り巻く脅威・リスクと将来ヴィジョン
・基調講演２：セキュリティ経営の高度化に向けたユースケース
第二部
・サイバーセキュリティダッシュボード見学
第三部
・NECのセキュリティ専門家とお客様とのディスカッション

まず、第二製造ソリューション統括部上席事業主幹の深海明より開催のご挨拶を行いました。
続いて、NECが先進のセキュリティ技術力とAIをフル活用することで脅威情報を複合的に分析するインテリジェンス機能を集約した「Cyber Intelligence & Operation Center」を新設し2025年度下期からサービス開始を目指すことをご紹介し、基調講演に移りました。

【第一部】基調講演１：消費財メーカーを取り巻く脅威・リスクと将来ヴィジョン

NEC サイバーセキュリティ事業統括部ディレクター　芝宮礼継，CISSP
前職ではネットワーク、仮想化、クラウド、セキュリティなど多くの事業企画やPJに従事。現在はセールスチームの責任者として、「.JP(日本のサイバー空間)を守る」をスローガンに、日本の安全・安心を守る活動に従事。これまで、DXやクラウドシフトにおいて必要となるセキュリティ対策について、BluStellar Scenarioなどの俯瞰的な視点での講演実績多数。CISSP、情報処理安全確保支援士(RISS)を保持。

今、消費財メーカーは、ランサムウェア攻撃などによる個人情報の漏洩や操業停止、偽サイト・ロゴ流用によるフィッシングでの消費者被害などによって、競争力の源泉であるブランド価値が脅かされるリスクに晒されていると言えます。

そこで、消費財メーカーはブランド価値を守るために「包括的で高度なセキュリティ対策」が求められると言えますが、こうした企業の皆様のお話を伺うと、人材やガバナンス、投資の面で難しさを感じているという声をよく聞きます。

こうしたセキュリティ対策における課題を突き詰めると、「ナレッジ」と「リソース」の2点の不足に集約できます。この2点について取り組む方策について、ご紹介したいと思います。
日本セキュリティオペレーション事業者協議会（ISOG-J）が、セキュリティ対応組織のハンドブック（注1）で、リスク・マネジメント対策に必要な機能について図のとおりの内容を公表しています。

（注1）出展： new window 活動成果｜ISOG-J：セキュリティ対応組織の教科書第3.2版

＜図１＞の赤い部分である小さな円を日常的なオペレーションとして回すことに加え、その左側の青い部分の大きな円を中長期的な取り組みとして回し、成熟度を上げていくという考え方が求められます。やることが多いのです。
＜図２＞人材配置モデル Level3に示すように複数の拠点を持つような大手企業がこうした機能を実現させるには、26名のセキュリティ専任者が必要とされています。
しかし、いきなり26名は難しい。そこで、＜図２＞のとおり最低4名からスタートして徐々に充実させていくレベルアップも提示しています。

「リスク・マネジメント対策に必要なナレッジ・リソース」についての説明スライド — ＜図２＞

ところが、IT部門においてもセキュリティ専任者のキャリアパスは描きにくく、実際はシステムの運用などと兼務する場合が大半という現実があります。結果的にセキュリティ対策が属人化し、セキュリティレベルが低下するリスクに繋がっているわけです。
そこで、将来ヴィジョンとして企画構想から実施・実装、運用に至るプロセスを検討すべきと言えます。
その各プロセスにおいて必要となるナレッジ・リソースが自社だけでは不十分な領域は、外部を活用するという手段が有力だと言えるでしょう。

【第一部】基調講演２：セキュリティ経営の高度化に向けたユースケース

NECサイバーセキュリティ事業統括部　上席プロフェッショナル
NECセキュリティ執行役員Chief Security Solutions Officer （CSSO）奥山聖,CISSP
前職では、市場リスク管理システムやコンテンツ配信サービスの構築・運用に従事。NECでは、重要インフラや民間企業等のセキュリティ対策システムの構築や運用を推進。現在はサイバーセキュリティ領域におけるソリューション開発、ソリューション事業を統括。CISSP、PMPを保持。

私どもNECのサイバーセキュリティ対策としての実践事例をもとに、脅威・リスクに対する即効性のあるアプローチ、並びに長期的な観点でのアプローチについてお話します。

まずNECの実践事例ですが大きく３つのアプローチを推進して参りました。
１つめは「社内を動かす情報セキュリティ推進体制」の確立です。セキュリティを経営課題と捉えCSO（Cheif Security Officer：最高セキュリティ責任者）・CISO（Chief Information Security Officer：最高情報セキュリティ責任者）を設置するとともに、各事業部門に対してもセキュリティ責任者を設置しセキュリティガバナンス体制を構築しています。セキュリティ対策というと、社内では情報システム部門やセキュリティ部門が行うことと捉えられ、事業部門の協力が得にくいといった声を多くのお客様から聞くことがあります。しかし、ブランドの価値を最も理解しているのは事業部門のはずです。したがって、事業部門にもセキュリティ責任者を設置し、定期的に状況確認や意見交換などを行う仕組みを構築していくことが重要と考えます。

2つめは、「ブランド価値を守るサイバー攻撃対策」です。ブランドへの脅威対策として、例えば偽サイトを見つけ出しテイクダウンしていますし、また増える一方のサイバー攻撃に対策として、弊社独自のインテリジェンスを生成AIの活用により効率的・効果的に収集し、自社への脅威・予兆を発見して未然に対処しています。これらのNEC自身の実践で得られたナレッジをお客様へフルマネージドセキュリティサービスとしてお届けしています。

３つめは、「セキュリティーカルチャー変革」です。全社員のセキュリティに対するアウェアネスを高めていくことがセキュリティ対策の根底として非常に重要であると考えます。会社としていくらセキュリティ対策を講じていても、最終的に“人の脆弱性”を突かれてしまうケースがあるためです。
そこで、弊社では「セキュリティダッシュボード」を設置し、実際にどれだけ攻撃が行われているのか、またセキュリティ対策状況はどうなっているかといったことを可視化し、全社員に共通言語として共有しています。また経営幹部の会議でガラス張りにされたダッシュボードによりリスクを把握し、特にリスクを有する組織を特定し改善を指示しています。

「NEC自身の実践事例・ナレッジを社会に還元」についての説明スライド — ＜図３＞

次に、NECがご提供している、脅威・リスクに対する即効性のあるアプローチと長期的な観点でのアプローチについてユースケースをご紹介します。

外部IT資産リスク可視化サービス
即効性のある対策としては、いわゆる「アタックサーフェスマネジメント」と呼ばれるアプローチです。攻撃者の視点からサイバー攻撃が行われる可能性のある対象領域（アタックサーフェス）を把握し、プロアクティブなセキュリティ強化に繋げるサービスです。
お客様より、グローバル拠点を含めると、本社で把握しきれないサイトやVPNなど管理が行き届かなく課題になるケースがあるとよく聞きます。また偽サイトによるブランド毀損のリスクや、ダークウェブに流出してしまったIDやパスワードによる正規のアカウントによる攻撃のリスクもあります。これらを見つけ出し、攻撃を未然に防ぐよう対処し、偽サイトをテイクダウンしブランドを守るなどプロアクティブに対策するソリューションです。

「外部IT資産リスク可視化サービスによるブランド価値の防衛」についての説明スライド — ＜図４＞

ある消費財メーカーのお客様向けに、日頃からの脆弱性診断やペネトレーションテストといった対策に加え、弊社の外部IT資産リスク可視化サービスによって検査対象範囲を拡大し、優先度の高いものから対策を講じコスト最適化を図っています。

CISOマネジメント支援サービス
次に、目の前の施策の実行や運用、中長期的な施策の観点でのアプローチとして弊社のCISOマネジメント支援サービスについてのご紹介です。
セキュリティ対策として26名の専任者が必要と先述しましたが、多くの企業ではセキュリティ人材が不足している現実があります。
そこで、NECのセキュリティの専門家がお客様を伴走する形でご支援するというサービスがCISOマネジメント支援です。
NECの自社内およびお客様に対する豊富な実践事例に基づき、実効性のある中長期の施策立案を策定するだけではなく、お客様の一員となっての施策の実行や運用も一体型でご支援し、社内を動かすノウハウを最適な形でご提供するものです。

上流の構想策定だけ、あるいは構築・運用だけといったものではなく、構想策定および一体型支援の２チームがEnd to Endで同時にお客様のセキュリティ成熟度向上をご支援するサービスです。お客様に深く入り込みお客様の文化や背景も理解したうえで実効性のある施策を立案、お客様の一員として一体型で施策推進をご支援します。また、NECの各領域のセキュリティ専門家がバックサポートとして控えており、ポイントポイントで必要な知見やノウハウをタイムリーにご提供できる体制を組んでいます。

ある法人様においては、情報システム部門にて少数のご担当者がシステムの保守を含めてセキュリティ面も対応するというご状況でした。
そこで、NECのセキュリティ専門家が4年ほどお客様を伴走しながら施策の策定・立案からセキュリティ運用のご支援、スキルトランスファーを実施し、現在はほぼお客様のみで自走できるまで成熟度を上げて頂いております。

また、ある消費財メーカー様は、「ゼロトラスト化」の方針で情報インフラを大きく刷新されました。しかし、この刷新に伴いサイバーセキュリティだけでなく、システム運用の負荷も高くなったため、セキュリティの運用に加えシステムの運用保守も統合しOneStopでの運用支援をご要請いただきました。NECはSIerとしての強みも有しておりますので、システム運用およびセキュリティ運用をミックスしたご支援を行っております。

【第二部】サイバーセキュリティダッシュボード見学

基調講演が終了後、展示コーナーに移動し、２つめの基調講演でもご紹介したNECのサイバーセキュリティダッシュボードの見学を行いました。サイバーセキュリティダッシュボードは、NEC本体のビジネスユニットやグループ企業、海外拠点のリスク対応状況や第三者レーティング、メール訓練結果、社内・社外の脅威情報などを可視化することで、各自の自律的なアクションを促し、セキュリティアウェアネスを醸成し、セキュリティ施策のパフォーマンスを向上するものです。社長から一般社員まで、このダッシュボードを参照します。
担当者のご説明に対し、見学者からは様々なご質問をいただきました。

【第三部】NECのセキュリティ専門家とお客様とのディスカッション

セミナー会場に戻り、ご参加いただいた消費財メーカーの皆様とNECのセキュリティ専門家が混ざって２グループに分かれ、「セキュリティインシデント対策」をテーマにそれぞれでディスカッションを行いました。

参加者からは、次のようなご発言がありました。
「数年前に発生したインシデント対応に1年ほどの期間を要した。現在、セキュリティ担当者は3名しかおらず組織づくりから始める必要がある」

「経産省の格付け（サプライチェーン強化に向けたセキュリティ対策評価制度）への対策を経営層から強く指示されているが、サプライチェーン全体を含めた対策が必要」

「ゼロトラスト対応が山場であるが、“アフターゼロトラスト”が課題。メール訓練では開封率が非常に高く、“人の脆弱性”が問題だからだ」

そのほか、各社とも人員や体制、ノウハウ、予算などの面で数々の課題を抱えている現状が伺えたとともに、改善の方向性をつかんでいただく有意義な場になったと思います。