MS&ADグループのサイバーセキュリティとは？統括責任者に聞くセキュリティの仕事

グループ全体の対策は、一元的に

ーー現在のポジションについて教えてください。

安達）MS&ADグループ全体でサイバーセキュリティ態勢の強化を進める中で、組織全体のガバナンスを担うホールディングスと、システムの実行部隊で技術的な対策を担うMS&ADシステムズ株式会社（以下、システムズ）の両方のサイバーセキュリティを統括する立場です。

実は、グループ全体のサイバーセキュリティ態勢の維持・強化をホールディングスとシステムズで担うという体制は、最近、整備されました。もともとホールディングスにデータマネジメント部・サイバーチームが存在し、加えて、2023年9月にシステムズにサイバーセキュリティ推進部が創設され、現在の体制となっています。

事業会社ごとに対策を行っている会社が多い中、複数の事業会社を含めたグループ全体でサイバーセキュリティの態勢の維持・強化と、技術的な対策の実行に取り組んでいるのは、珍しいと思います。

安達 知秀（あだち・ともひで）
2019年三井住友海上に入社。大学卒業後、大手クレジットカード会社に入社し、営業や事業開発を担当したのちIT部門に異動、サイバーセキュリティ担当に。
仕事におけるスローガンは、若い時は「付加価値」（自分がやるときは、他と違う価値を追加で提供する）としていた。最近では、「仕事は人生の一部」（人生の一部だからしっかりやる、人生の一部でしかないので思い詰めない）として、仕事やプライベートもバランスよく過ごすことを目指している。

ーー具体的にはグループ内の何社くらいの対策を担っているのでしょう

安達）MS＆ADグループの国内外合わせた60社前後を含めたグループ・セキュリティ・ガバナンス戦略とサイバーセキュリティ施策の推進を担っています。数が多いので大変に思われるかもしれませんが、近年はセキュリティ人材の確保も難しくなっているので、事業会社ごとに個別に人材を集めるよりも、ホールディングスとシステムズに集約してサイバーセキュリティ態勢の強化に臨む方が効率的な側面もあると考えています。

MS&ADグループのサイバーセキュリティ対策は？

ーー具体的には、どのような仕事をしているのですか？

安達）グループのサイバーセキュリティのガバナンスの面では、情報資産に関わる脅威を認識し、サイバーセキュリティ態勢の維持・高度化を目的に、年1回のリスク評価やサイバーセキュリティ対策の点検によるモニタリング活動を行っています。これが、グループ全体のサイバーセキュリティ態勢の維持・高度化のベースとなっています。

また、モニタリングといった点検だけでなく、実際にグループ各社が実施しなければならない対策を、グループ共通の取組として、ホールディングスとシステムズで推進しています。対策を実装するように示唆するだけでなく、グループ各社が対策を実施しやすいようにサービスメニューを揃えて、グループ各社へ提供しているイメージとなります。

ーー金融機関では高いレベルのセキュリティ対策が求められると思いますが、どのように対策を進めているのですか？

安達）NIST^※1が作っているガイドライン、CIS Controls^※2、CRI-Profile^※3といった様々な指標や、最近金融庁から公表された「金融分野におけるサイバーセキュリティに関するガイドライン」、各国のフレームワークや法規制も参考にして、グループ共通指標を組み立てています。実務的には、ホールディングスとシステムズが連携を密にとりながら実施しており、グループ共通指標のうち、態勢はホールディングスが、IT技術はシステムズが見直しを定期的に実施しています。

点検の依頼は、ホールディングスがグループガバナンスの１つとして、グループ各社へ実施を依頼しています。点検している際には、どのような対策を実施したらよいかの相談を受けることもあります。これも態勢構築はホールディングスが、IT技術によるサイバー対策はシステムズが点検の一環として支援しています。

※1）NIST（National Institute of Standards and Technology）：米国国立標準技術研究所
※2）CIS Controls：米国のCIS(Center for Internet Security）によって管理されている、サイバー攻撃の被害を軽減するうえで効果的かつ具体的な技術対策をまとめたもの。
※３）CRI Profile：非営利団体であるCIS（Cyber Risk Institute）が維持・更新する金融機関を対象としたサイバーセキュリティのフレームワーク。

“1人2役、3役”を担うセキュリティ人材

ーー実行部隊のシステムズのサイバーセキュリティ推進部についてもう少し詳しく教えてもらえますか？

安達）この部には、2つグループがあります。1つがセキュリティコンサルティンググループで、もう1つがサイバーセキュリティ運用グループです。

セキュリティコンサルティンググループは、ホールディングスと連携しながら、海外拠点も含めて、グループ各社の点検、診断、指導をしています。先ほどのモニタリングにおける技術的な支援もそうですが、ASM（Attack Surface Management）や公開サーバのプラットフォーム診断、TLPT（Threat-Led Penetration Testing）、システム構築時のセキュリティ対策のコンサルティング等、幅広く対応しています。

一方、サイバーセキュリティ運用グループは、最も大きなシステム群であるMSとADの共同システム等を守る仕事をしています。セキュリティ製品の導入・保守運用・更改と、それら製品を使った監視運用も担っています。一般的にいうITインフラ運用とSOC（Security Operation Center）の両面を持ったグループとなります。ウイルスの検知アラートが発報された際の調査や、サイバーインシデント発生時の対応も担っています。

ーーグループ各社のセキュリティ対策を担っているということは、１人１人の仕事量が多そうな印象です。

安達）私は、ホールディングスとシステムズに加え、MSも含めた3社兼務しています。システムズの２つのグループのメンバーも、ホールディングスと各事業会社（MS、AD）を兼務した3社兼務のメンバーが多いです。戦略・ガバナンスのホールディングスと、技術対策のシステムズ、DXを活用したトップライン向上を目指した事業会社、それぞれで違った形でサイバーセキュリティの相談があり、対応しています。ただ、1人2役、3役とやってもらっているので、担当者は若干面倒くさいと思っているかもしれません（笑）。ここは、課題かもしれませんね。

金融庁のガイドライン対応が急務

ーーグループ全体として、現在、集中的に取り組んでいることはありますか？

安達）2024年10月に金融庁が、「金融分野におけるサイバーセキュリティに関するガイドライン」を公開したので、この中で示された項目への対応に取り組んでいます。高度な対策を含んだ内容になっており、また、範囲も広いです。技術的な対策だけでなく、内部管理やサードパーティ管理（外部委託先管理等）にも踏み込んでおり、その内容を全て充足するのは、我々だけでなく、他の金融機関各社も大変だと思います。

ただ大変ではあるのですが、別の見方をすると私たちにとっては“追い風”になっているのも事実です。ガイドラインが発表されなければ、セキュリティ対策はどこまで実施しても終わりがないと考えられますし、逆に何も実施しなくても問題となってこないこともあると思います。

本質的には、自ら直面するリスクを評価・分析し、優先順位やリソース制約を踏まえてサイバーセキュリティ対策に取り組むものですが、どうしても、どこまでするのか、悩みは尽きないと思います。こういった中、監督省庁から明確な指標が出たとも捉えられる状況であるため、対策を進めるモチベーションの１つにもなってくると思います。

---

MS&ADグループのサイバーセキュリティ統括責任者・安達氏へのインタビューの2回目は、サイバーセキュリティ対策の難しさや役割などについて聞きます。

• コラム／トピックス

  MS&ADグループのサイバーセキュリティ統括責任者に聞く、セキュリティ人材の育成とは？

  サイバーセキュリティ業界でも人材不足が叫ばれる中、MS&ADグループのサイバーセキュリティ対策の統括・安達知秀氏に人材育成について聞くとともに、現場で働く若手社員に“本音”を聞きました。

• コラム／トピックス

  企業のサイバーセキュリティ対策の基本とは？“ホームセキュリティ”に例えて専門家がわかりやすく解説

  近年、多数発生する企業を狙ったサイバー攻撃。そこで、企業のサイバーセキュリティ対策の基本について、当社のセキュリティ対策の専門家、遠藤宣孝が“ホームセキュリティ”に例えてわかりやすく解説します。

• コラム／トピックス

  【お客さま事例】イオンペット株式会社様 ～「セキュリティ対策にゴールはない」さらなる対策強化に向け、脆弱性診断とは異なるアプローチとしてASMツールを導入～

  ペットとペットオーナーの暮らしを支えるイオンペット株式会社様に「MS&ADサイバーリスクファインダー」をご活用いただくに至るまでの経緯と、活用による成果とご評価、今後の展望についてお話を伺いました。