PDFで読む

日産自動車株式会社:グローバルで情報セキュリティ強化を担う戦略チームと共に歩む

産業:

Automotive

場所:

日本

オファリング:

Security

日産自動車が、長期ビジョン「Nissan Ambition 2030」で描いたモビリティの革新に向けて様々なチャレンジを進めている。事業継続計画、リスクマネジメント、そして「情報セキュリティマネジメント」への取り組みが、同社のグローバル成長戦略を下支えしている事実に注目したい。グループ全社の情報セキュリティを統括し、その最上位の意思決定を担っているのが、コーポレートガバナンス・内部統制のための戦略チーム「情報セキュリティ委員会」である。DXCテクノロジー・ジャパンは、同委員会の運営を15年以上にわたり継続的にサポートするとともに、グローバルで13万人を超える従業員の情報セキュリティリテラシーの向上に貢献している。

ベネフィット

情報セキュリティ中期計画および年度実行計画の推進を通じた全社セキュリティ水準の向上
日産自動車グループのグローバル13万人超の従業員の情報セキュリティリテラシー向上
グループ会社の情報セキュリティ成熟度をKPIとして示し継続的な改善を可能に
内部からの情報不正持ち出しに関する対策を具体化

経営計画を支える「情報セキュリティマネジメント」

日産自動車が2024年3月に発表した経営計画「The Arc」では、新型車の投入、電動化の推進、開発・生産方式の革新、新技術の採用、戦略的パートナーシップの強化を軸とする新たな成長戦略が示された。長期ビジョン「Nissan Ambition 2030」で掲げたモビリティの革新に向けて、グローバルでのビジネス成長をさらに加速させる構えだ。日産グループのチーフセキュリティオフィサー(CSO)であり、情報セキュリティのグローバル統括部門であるコーポレートセキュリティオフィスを率いる亀井類氏は次のように話す。

日産自動車株式会社
コーポレートセキュリティオフィス
チーフセキュリティオフィサー
亀井 類 氏

「先端技術への取り組みが加速する中、日産自動車のビジネスモデルとパートナー戦略は大きく変わりつつあります。これとともに、情報セキュリティマネジメントの重要性はかつてないほど高まってきました。私たちコーポレートセキュリティオフィスは、全社基本方針である『情報セキュリティポリシー』をグローバルに展開し、事業部門の代表者が参画する『情報セキュリティ委員会』の運営を通じて、全社の情報セキュリティマネジメントの強化を図っています。また、全従業員の情報セキュリティリテラシーを向上させるための活動にも力を注いでいます」

「情報セキュリティ委員会」は、日産自動車における情報セキュリティ領域の中核組織であり、最上位の意思決定機関でもある。「情報セキュリティ中期計画」の策定と推進を担うとともに、グローバルで発生した社内外の情報セキュリティ事案を捕捉して対策を主導する。

「情報セキュリティ中期計画(2023~2026年度)では、経営計画『The Arc』をふまえた中期ビジョン、目標、活動内容を定義しました。これを年度計画に落とし込んで、隔週で開催される『全社事務局会議』を通じて着実に取り組みを進めています。情報セキュリティマネジメントにおいては、いかに世界のトレンドを把握して先手を打つか、いかに事案が発生したときの影響範囲を最小化するか、いかに再発を防止するかが重要です。私たちは、パートナーの一社であるDXCテクノロジー・ジャパン(以下、DXC)の支援によって『情報セキュリティ委員会』の運営を高度化するとともに、中期計画の目標達成に向けた取り組みを前進させています」(亀井氏)

 

「情報セキュリティポリシー」の策定を支援

DXCは、日産自動車グローバル共通の「情報セキュリティポリシー」の策定(2007年、当時は日本ヒューレット・パッカード)に深く関わってきた。その後、現在に至るまで「情報セキュリティ委員会」および「全社事務局会議」の運営を継続的にサポート。情報セキュリティ中期計画および年度実行計画の策定支援、情報セキュリティ成熟度調査の実施、内部からの情報不正持ち出し抑制策の具体化、情報セキュリティセミナーの実施など、セキュリティスペシャリストとして幅広い知見を提供している。

「『情報セキュリティポリシー』は、私たちの情報セキュリティに対する取り組みの基本方針であり、保護対象となる情報資産、様々な脅威から情報資産を守る方法・体制などを定義しています。ポリシーの策定と更新を支援してくれているDXCは、情報セキュリティ領域における幅広い知見とグローバルの視点を備えた数少ないパートナーの一社です」と亀井氏は振り返る。

巧妙なサイバー攻撃、ユーザーの過失、内部からの不正な情報持ち出しなど――企業を脅かすインシデントは多様化・複雑化し、その対策にはいっそう高度な専門性が求められるようになっている。

「情報セキュリティの分野で15年以上にわたりDXCのサポートを採用し続けている理由は、継続的な取り組みに裏打ちされた信頼に他なりません。日産自動車の組織、業務、プロセス、システムに関する広範な知識に加え、顕在化する様々な課題と向き合い解決に取り組んできたDXCの経験は、何物にも代え難いものです」(亀井氏)

DXCは、「情報セキュリティ委員会」の運営をトータルにサポートし、20以上の事業部門の代表者が参加して隔週で開催される「全社事務局会議」のファシリテーションを担っている。サポートチームの一員であり、セキュリティリスクマネジメントに精通したDXCテクノロジー・ジャパンの大原正嗣氏は次のように話す。

DXCテクノロジー・ジャパン
セキュリティサービス事業部
コンサルタント 
大原 正嗣 氏

「全社事務局会議では、国内外の最新のセキュリティ動向やインシデントの事例を紹介しながら、日産自動車様における対策状況とリスク、同様のインシデントが発生したときの対応策などを紹介しています。また、各国の法制度や主要なセキュリティガイドラインの変更があった場合には、そのポイントや留意点などを解説します。情報提供にとどまることなく、ディスカッションを重視して事業部門ごとの改善活動に貢献できるよう議事運営を工夫しています」

クリックして図を拡大

「情報セキュリティ成熟度評価」を毎年実施

情報セキュリティ中期計画(2023~2026年度)では、「内部からの不正な情報持ち出し抑制」「外部からのサイバー攻撃対応能力向上」「ISMS成熟度向上」「全社ガバナンス向上」が主要な目標に掲げられている。これらのテーマに取り組むための基礎となる活動のひとつが、国内外のグループ企業およそ30社を対象とする「情報セキュリティ成熟度評価」だ。DXCテクノロジー・ジャパンの若狭康志氏は次のように説明する。

DXCテクノロジー・ジャパン
セキュリティサービス事業部
部長 若狭 康志 氏

「DXCは、評価基準と全体プロセスの設計、海外(アジア・北米・欧州)のグループ企業約20社に対する調査と評価を担当しています。各社が記入した自己評価シートをもとにしたインタビューを通して評価項目に対する理解度を把握しつつ、セキュリティ対策と具体的な活動内容、情報セキュリティポリシーに準拠しているか等をチェックし、自己評価とのギャップを明らかにしていきます。こうした調査・評価・レポーティングを毎年実施して、日産グループ様全社の改善サイクルを回しています」

亀井氏は「DXCによる検証が加わることで、成熟度評価に対する客観性と信頼度が高められている」と話しつつ次のように続けた。

「グループ会社の『情報セキュリティ成熟度』は、私たちが最も重視しているKPIのひとつであり、サプライチェーンリスクの観点からも重要度の高いものです。年1回実施される評価の各社のスコアは経営層にも報告されます。大事なことは、各社が改善すべきポイントが明確化され、毎年評価が繰り返されることで実効性が高まり、着実にグループ全体のセキュリティ水準の向上が図られる効果です。私たちの情報セキュリティマネジメントのまさに基礎となる取り組みです」

 

内部からの不正な情報持ち出しを抑制

日産自動車では、内部からの不正な情報持ち出しを防止するために多層的な対策を施している。だが、いかに優れたセキュリティ製品を導入しても、情報漏洩のリスクをゼロにすることは難しい。

「PCやスマートフォンは大きなビジネスメリットをもたらす一方で、意図すれば情報を持ち出すためのツールにもなり得ます。情報セキュリティマネジメントの立場では、『技術と人』の両方を見ながら適切にリスクをコントロールしていくことが重要になります。私たちはDXCのアドバイスを受けながら、技術で対策すべき課題、人に対する抑止策の両面から、不正な情報持ち出しを抑止する具体策を練り上げてきました」(亀井氏)

持ち出しルートを仮定したうえでのセキュリティ製品によるふるまい検知、ブロック、ログ収集などが「技術」による対策の基本となる。では「人」への対策はどうか。コーポレートセキュリティオフィス 主管の三島佐織氏は次のように話す。

日産自動車株式会社
コーポレートセキュリティオフィス 
主管 三島 佐織 氏

「『会社は見ていますよ』という事実を周知することが実はかなり重要で、状況に応じて警告を発するとさらに効果的です。DXCのアドバイスを受けながら継続的に周知活動を行ってきた効果もあり、情報セキュリティ委員会の存在と活動は全社に広く知れ渡りました。従業員には、情報セキュリティは『自分たちが直面している問題』であり、『インシデントは未然に防がなければならない』と考える文化が根づいてきたと感じています」

さらに、コーポレートセキュリティオフィス 主担の鳥居俊太郎氏は、「私たちが気づかなかったリスクや抜け道を指摘されるなど、DXCが日産自動車のシステム環境やユーザー視点を深く理解していることを実感する機会が何度もありました。本プロジェクトでは、DXCが長年にわたり全社のPC運用とサービスデスクを担ってきた経験も活かされたのではないかと思います」と続けた。

日産自動車株式会社
コーポレートセキュリティオフィス 
主担 鳥居 俊太郎 氏

 

情報セキュリティ領域のメインパートナーとして

2023年12月、日産グループのアジアリージョン6社の情報セキュリティ担当者を対象とする「アジアリージョンセミナー」が日本で開催された。本会議でDXC側の全体統括を行ったDXCテクノロジー・ジャパン セキュリティサービス事業部 事業部長の尾関よしみ氏は次のように話す。

DXCテクノロジー・ジャパン
セキュリティサービス事業部
事業部長 尾関 よしみ 氏

「アジアリージョンセミナーは、グループ各社様が情報セキュリティに対する課題認識や対策アプローチを共有する貴重な機会となったと自負しています。また、DXCのセキュリティコンサルタントによる『サイバー攻撃の有事対応』に関する講演にも多くの関心を寄せていただき、日産自動車様におけるセキュリティスペシャリストとしての期待と責任を改めて強く感じました」

亀井氏は、DXCとの15年以上に及ぶ様々な取り組みを振り返りつつ、次のように結んだ。

「情報セキュリティ領域のメインパートナーであるDXCへの信頼は、情報セキュリティ委員会を中心とする日々の支援活動と、プロジェクトにおける課題解決の積み重ねの上に形成されてきました。私たちの目標と課題認識を、DXCにしっかりと理解してもらえていることを非常に心強く思っています。DXCには、グローバルITサービス企業としてのケーパビリティを活かして、これからも日産自動車の情報セキュリティの基盤となる領域を一緒に支え続けてもらえることを期待しています」

そのほかのお客様事例

アイテムを更新しています。