住商グローバル・ロジスティクス株式会社 様

住商グローバル・ロジスティクス 山田健太郎氏

コーポレート本部システム開発部はいわゆる情報システム部門で、全社共通のIT環境整備を主な業務とし、セキュリティも担っています。当社は住友商事グループの総合物流企業として国内外に物流サービスを提供し、世界各地に拠点を展開しているのですが、最近はサプライチェーン攻撃が増えていることから、セキュリティは最優先事項として力を入れています。

住商グローバル・ロジスティクス 槇俊一氏

2022年から2023年にかけ、IIJと共に現在の全社共通インフラを構築しました。その際、ファイアウォールやURLフィルタリングなど外部からの攻撃に対してはさまざまな対策を施し、強固な仕組みを構築したのですが、脅威が侵入してしまった際のエンドポイント対策として「EDR（Endpoint Detection and Response）」の必要性についても検討を始めたのです。
そこで、まずは自社のセキュリティレベルや最新の脅威への対応状況を可視化できていないことが課題となりました。

山田氏

セキュリティ対策は終わりがなく、コストと効果のバランスには常に悩みます。その意味で、現状の対策がバランスのとれたものであるのか、EDRもやはり導入したほうがいいのか、導入するとなればその優先度はどれほど高いのかなど、改めて目で見て確認したいとの思いがありました。

槇氏

実のところ、EDRの必要性を確かめるといっても当部にはEDRに詳しいメンバーがおらず、当時はEDRという言葉は知っていても、詳しいことはわかっていませんでした。ある時、IIJの営業担当にEDR導入検討を始めたいと相談したところ、提案されたのが、3日間で当社課題の確認からセキュリティ対策の鮮度チェック、課題に沿ったナレッジ紹介、そして具体的対応策の提示まで行ってくれる「IIJ Sketch & Draw Workshop」です。

山田氏

セキュリティレベルを可視化したいという当社の課題に対して、IIJが脅威に関する知見と技術・ノウハウをベースに客観的に評価してくれるうえ、セキュリティ対策全体を見渡すアウトプットも得られる、しかもワークショップ自体は無料で実施できるということで、当部にとって勉強になるのはもちろん、セキュリティレベル向上にもつながるとの思いで参加を決めました。

住商グローバル・ロジスティクス 糸久靖夫氏

2024年のワークショップには、私と槇の2人が参加しました。事前に、セキュリティの状況やインフラ構成などを記入したヒアリングシートを記入します。当社の場合、インフラ関連の多くはIIJのサービスを利用しているのでわかりやすいはずなのですが、それでも記憶をたどりながら記入しなければならない項目があり、インフラやセキュリティの全体像を再確認する良い機会になりました。このシートをもとに、DAY1ではまずIIJ担当者が当社のセキュリティ状況を整理し、それを見ながら課題を確認していきました。

槇氏

DAY2は、IIJのインテリジェンスに基づく最新サイバー脅威のトレンド分析と、当社におけるセキュリティ対策の鮮度チェックが実施されました。その中ではセキュリティ面で留意すべきポイントとして、外部からのサイバー攻撃に加え、シャドーITや不用意なストレージの接続など社員の意識が低いことで起こり得る脅威や、内部不正に関しての話題も出ました。“敵を知り己を知れば百戦危うからず”ではありませんが、外部だけでなく内部にも意識を向け、きちんとチェックできる態勢を築く必要があるという気づきが得られました。もちろんシャドーIT等の対策は行っていたのですが、改めてその意識を強くしたというのが実感です。

糸久氏

過去に当社がしっかり防御できていたケースでも、いまは脅威が高度化しているため、時代に合った新しい対策を考えなければならないことに気づきました。DAY2の後半ではEDRやMDR、XDRといったキーワードについて、それらがなぜ必要なのかといった解説も行われ、当社が検討しようとしていたEDRへの理解が深まりました。

槇氏

そしてDAY3は、まず当社のセキュリティ対策全体をマッピングした俯瞰図がIIJから提示されました。その図では現状の対策で対応できている部分は塗りつぶされる一方、未対応の部分は白抜きになっており、もともとの要望であった可視化が実現しました。当社は共通インフラ構築時に基本的なセキュリティ対策は実装していたこともあり、マッピングの結果は全体として高得点で、安心できる結果でした。ただ、中には高い優先度での対応が望ましいという部分もあり、そこにはエンドポイントに万が一侵入された場合の事後対応強化も含まれていたので、やはりEDR導入は必要だとの考えに至りました。

糸久氏

ワークショップを経験して、いま当社では何が十分で何が足りないか、そして足りないところを埋めていくには何をすべきかという道しるべが見えてきました。ワークショップ自体、あくまでEDRを前提とするのではなく、当社固有のセキュリティ状況全体を可視化したうえで必要なものを探る話だったので、むしろEDRの必要性を強く認識できたと感じています。
また、実はそれまで、一度対策を行った部分が新しい脅威にも対応できるかという観点にはあまり意識がなかったので、セキュリティ鮮度チェックの結果としてその意識が醸成されたのは自分としても発見であり、参加で得られた大きな意義でした。

山田氏

ワークショップを受け、EDRに加えてSOCサービスもセットで導入することを決定しました。背景には、やはり当部の人的リソース不足があります。このワークショップはあくまで困りごと解決に向けたナレッジや対策を提示するもので、IIJの具体的サービスの提案は行われません。つまり、よく言えば“営業色”のない形で自社のセキュリティを可視化し、気づきを得て、対応策のアイデアをつかめる機会です。その中で、EDRは運用も同時に考慮しなければ効果を発揮しないということも教えてもらいました。そこでワークショップ後、IIJと具体的なサービス導入の話をしていく中で、当社のリソース問題を解決し、かつIIJの知見と技術を最大限活かすにはSOCサービスも合わせて導入するのがいいという結論になりました。

槇氏

SOCサービスは2025年2月、続いてEDRは3月に導入しました。リソース不足で難しいEDRの運用はもちろん、当社の現状に応じた細かなチューニングもすべてIIJに任せているので、いわば100％信頼している形です。（取材時点で）導入から半年ほど経過しましたが、大きな問題は起きておらず、順調に機能しているので、とても助かっています。

糸久氏

逆説的な言い方になりますが、例えば社員が怪しげなサイトを開いてしまった時、「SOCから何も連絡がきていないので問題はなかったのだろう」と安心できます。とにかく、安心感が高まったのが最大の成果だといえます。

槇氏

そのほかワークショップ参加の効果として、シャドーITや内部不正への意識も高まり、以前から行っていた社外持ち出しデバイスや外部ストレージ等の管理を強化しています。また、セキュリティ状況をマッピングした俯瞰図を部内や社内他部署の情報システム担当者にも共有したことで、セキュリティ意識の向上にもつながったと感じています。

山田氏

鮮度チェックは言葉のとおり鮮度がポイントですから、実施中の対策が古くなっていないか折を見て確認していきたいと思っています。IIJでは、実施済のお客様向けにも再度ワークショップを実施されているそうなので、定期診断のような形で当社のセキュリティ鮮度チェックもまた行ってほしいですね。

槇氏

EDRで外部からの脅威については対応できた一方、シャドーIT対策は力を入れているもののまだ十分ではありません。今後はその部分でIIJとタッグを組み、対策を強化していければと考えています。IIJ担当者とは毎月顔を合わせて話をする機会があるので、その中で当社側の課題を伝え、最適な提案をいただけることを引き続き期待します。