2024.07.26
(左)日本HP 三浦郁也、(中、右)アイ・ティー・ワン 堀口正哉氏、大野肇氏
ランサムウェアの猛威はとどまるところを知りません。とくに一般消費者を顧客とするBtoC事業者にとって、重大セキュリティ事故の発生は、会社存続に関わる事態に直結しかねません。感染すれば事業活動をすべてストップせざるを得ず、売上の激減はもちろんのこと、顧客からの信頼度は低下し、積み上げてきたブランド価値を失うような事態になり得ます。
株式会社アイ・ティー・ワン(以下、アイ・ティー・ワン)は、代表的なBtoC事業の一つである通販事業者などを顧客に持ち、HP Sure Click Enterprise(以下、HP SCE)導入などさまざまなセキュリティ対策をサポートしています。今回は同社ソリューション事業本部 ソリューション営業部 堀口正哉氏と大野肇氏に、とある通販事業者 A社様が抱えるセキュリティ事情とその対策事例についてお話を伺いました。
アイ・ティー・ワンがサポートする通販事業者 A社様は、EC主体ではなく、新聞や雑誌、テレビなどのオフライン広告を展開し、一般消費者から電話などで直接注文を受けるのが中心です。中小企業でありながら、高いセキュリティ意識を持ち、しっかりとした内部統制を実施しているとのことでした。
お客様のセキュリティ意識がとても高かったと話すアイ・ティー・ワン堀口氏
―― まず、貴社のお客様である通販事業者 A社様が、HP SCEを導入されるまでのプロセスをお聞かせください。
堀口:そもそもお客様のセキュリティに対する意識がとても高かったことがあります。通販事業者 A社様として、一般消費者の個人情報を預かることから、従前からしっかりした内部統制を進められていたのですね。お客様はオーナー企業なのですが、とくにオーナー様のセキュリティ意識が高く、トップダウンで全社員に情報セキュリティに関するルールを徹底させていらっしゃいました。
大野:もちろんどの事業者でも自社のビジネスを守りたい気持ちは同じでしょうが、とくにオーナー企業様においては、「絶対に自社のビジネスを守る」というオーナーの姿勢が、セキュリティ施策にも強く反映されるのではないのでしょうか。
堀口:お客様から最初ご相談いただいたのは、内部情報漏えい対策でした。一時期、情報漏えいが多発して大きな問題となった時期がありましたね。その時、対象企業は世間からの批判にさらされ、経営陣が公開の場で謝罪するシーンが多発しました。
大野:それを見たオーナー様は、「絶対に自社をそのような目に合わせたくない」と強い意志を持たれたようです。私どもとの取引前にも、すでにオンプレミスで情報漏洩対策システムを導入し、全社屋を入退室システムでしっかり固め、厳格な運用ルールを敷いていました。例えば、入退室用のICカードを忘れた場合、例外は認めず、家まで取りに帰らせるぐらいに徹底されていたと聞きます。また、そのカードはPCのログインにも使いますので、例え友連れ(ともづれ)で入室できたとしても、仕事をさせないようにしていたとのことです。
―― 徹底されているのですね。
堀口:このような背景もあり、弊社よりクラウドベースの内部情報漏えい対策のソリューションGarditをご提案し、導入いただきました。ところが一昨年あたりから、大手医療機関や民間事業者でランサムウェアによる被害報告や報道が相次ぎました。そんな中、昨年お客様と同様のオフライン広告主体の通販事業者がランサムウェアによる被害を受け、1ヶ月半ほど事業がストップしたという情報セキュリティ事故が起きました。それを知ったお客様が被害を受けた同業者から直接ヒアリングし、「これは絶対うちでは起きてはならない」と自分ごとにされたようです。
大野:実際に、被害を受けた同業者を自社に招いて、グループ会社も含む全メンバーで、ケーススタディされたそうです。
―― ちなみにその同業者の方はどのようなお話をされたのでしょう?
堀口:私どもが聞いた範囲ですが、同業者の方も広告で電話注文を取る体制だったようです。しかし顧客と取引のデータはすべてシステムに入っています。ランサムウェアの被害が発覚してすぐ抜線(ばっせん)し、システムを止めたのですが、お客様からは注文の電話がどんどんかかってくるわけです。でもそのお客様が誰だかわからない。仕方がないから紙に注文を書きとめていたそうです。約1ヶ月半システムが止まった間、それは4万枚もの量になったそうで、システム復旧後、その入力からまた始めなくてはならない状況になったとのことです。当然その間、売上も大きくダウンしたようです。
大野:その話を聞いて、メンバー全員が「もしこれがうちで起きたらたいへんなこと」と自分ごとになったとおっしゃっていましたね。
堀口:私どものお客様は、被害に遭われた同業者からEDR(Endpoint Detection and Response)の導入を勧められたのですが、情シス部門責任者の方は、「オーナーから“まずは外部からの脅威を内部に絶対入れない方法を検討するように”と厳命された」と話されました。そこで私どもはHP SCEを提案させていただいたのです。
クリックして拡大表示
外からの脅威を入れないHP Sure Click Enterprise概要
(https://pages.it1-solutions.biz/sce/)
外部の脅威を内部に入れない方法としてHP SCEを提案したと話すアイ・ティー・ワン大野氏
―― 一般的にセキュリティ対策を立案する時には、セキュリティレベルの高さを取るのか、従業員の生産性を取るのか、コストをどう考えるのかなどのバランスで検討すると思います。ここまでのお話を聞いていると、その通販事業者 A社様のお客様は「セキュリティレベルの高さ」を最重視しているという認識でよろしいしょうか?
堀口:圧倒的に「セキュリティレベルの高さ」ですね。弊社のGarditを採用いただいたときも、オーナー様の鶴の一声でOKをいただきました。オーナー様がセキュリティを経営課題だと考えていることの証左でしょう。
―― しかし会社で厳密なセキュリティルールを決め、ソリューションを導入したしても、全従業員にルールを徹底するのは大変だったのではないでしょうか?
堀口:例えばパート勤務の方や社歴の浅いメンバーの方などは、決められたルールをしっかりと順守してくれるそうです。コールセンターのスタッフなども指示された作業以外のことはやりません。つまり言われたことをしっかり守るのであまり問題はないとお話されていました。また、通販事業者 A社様はECが主体ではありませんので、一般消費者とのやり取りはオフラインの電話が主体なので、あまり気にするような状態ではないようです。 「むしろ広告制作部門や管理職レベルの人たちの方がリスクが高い」とお話しされていました。
お客様は、広告制作機能を自社内部に持っています。そのメンバーは、Webで情報収集したり、展示会に行ってたくさん名刺交換してきたりするわけです。そうすると、多くのメールがやってくることになります。また情報収集のために見知らぬサイトを訪問し、何かダウンロードしてしまったりするわけです。これは通販事業者 A社様に限ったことではなくて、一般企業でも情報収集している方は多いですよね。その行動にセキュリティを強くかけるのか、自由にやらせるのか、これは会社によって考え方は違うでしょう。私どものお客様はセキュリティを強くかける方を選択し、「メールはHP SCEの入っているデスクトップPCで開くように」とルール決めしています。どんな添付ファイルを開いても、その瞬間HP SCEが働くので安全ですから。
大野:ちなみにHP SCEを導入しても、実際のPCの操作性にはほとんど影響がないという評価をいただいています。
顧客と相対する現場部門メンバーより情報収集部門こそ課題と話す堀口氏
―― お客様である通販事業者 A社様の業界全体で、何か共通する課題はあると思われますか?
堀口:これはお客様が言われたことですが、「通販事業者 A社様にはシステムしかない」と。例えばリアルなお店であれば、何か天災が起きてシステムが止まっても、“ここの商品、もういいです。持っていってください”と来たお客様に渡せるわけです。しかし、通販事業者 A社様はシステムが止まってしまうと、もう何もできなくなってしまうとおっしゃっていました。
大野:だから、とにかく高いセキュリティレベルを維持して、システムを守るのは当然という姿勢が、自分ごととして徹底されているのでしょう。
―― ありがとうございました。「システムを守り、絶対に自分たちのビジネスを守る」ということですね。
セキュリティを「自分ごと」にしてもらうことが大切と話す大野氏
今回は通販事業者 A社様の話でしたが、通販事業者 A社様に限らず、セキュリティに関して高い課題意識をお持ちのBtoC事業を展開する企業には、内部からの情報漏えい対策としてのGardit、外から中に入り込んでくる悪意あるマルウェア対策としてのHP SCEという組み合わせが有効であるとあらためて感じました。
(聞き手 : 日本HP 三浦郁也)
アイ・ティー・ワンは、1998年の創業から20年以上にわたり、「社是:先進技術をもって社会に貢献する、基本理念:誠意と信頼」という企業理念のもと、お客様のビジネス拡大にシステム面から貢献して参りました。2011年に三菱総研グループに参画、社会インフラを支える基盤技術での強みを生かしながら、近年ではアプリケーション開発、クラウドサービスや、AIを利用したソリューションサービスの拡大に努めております。メインフレームから先進技術まで幅広い技術を活用し、社会への貢献を目指してまいります。
※このコンテンツには日本HPの公式見解を示さないものが一部含まれます。また、日本HPのサポート範囲に含まれない内容や、日本HPが推奨する使い方ではないケースが含まれている可能性があります。また、コンテンツ中の固有名詞は、一般に各社の商標または登録商標ですが、必ずしも「™」や「®」といった商標表示が付記されていません。