安心安全に商品を届けたい!情報セキュリティの不安を一挙解決
全国12拠点のIP-VPN化やIT資産の可視化を一元的に実施
株式会社でん六では、年々高度化する情報セキュリティの脅威に備えるため、情報セキュリティ対策の強化をNTT東日本へ相談。インターネットVPNからIP-VPNへの移行、IT資産管理システムやSOCサービスの導入といった技術的・物理的対策に加えて、人的対策として標的型攻撃メール訓練も実施し、情報セキュリティレベルを強化しました。実施の経緯や取り組みの成果について、株式会社でん六のご担当者にうかがいました。
【目次】
株式会社でん六
導入いただいたソリューション
フレッツVPN プライオ、IT資産管理システム、標的型攻撃メール訓練、SOCサービス (※1)
※1 SOC(Security Operation Center)とは、ネットワークやデバイスを常時監視し、攻撃の検知や分析、対策のアドバイスを行う組織
ソリューション導入効果
- IP-VPN化やSOCサービス導入でネットワークの情報セキュリティを強化できた
- インシデント対応や運用効率向上に有効なIT資産管理システムを導入できた
- 標的型攻撃メール訓練で従業員の情報セキュリティ意識を向上できた
NTT東日本選定のポイント
- 会社の現状に合った情報セキュリティ対策をトータルコーディネートしてくれたこと
- 全国12拠点のネットワーク切り替えに対応できる体制を有していたこと
- 事前説明や質問への回答が的確で、情報セキュリティへの高い知見に信頼がおけたこと
高度化する情報セキュリティ脅威から会社を守りたい!
ファイアウォールやウイルス対策ソフトの一歩先の対策を検討
――今回、さまざまな情報セキュリティ対策に取り組まれた背景や理由をお聞かせください。
安達氏:当社のビジネスは、お客さまに喜ばれる「おいしい、良質な、安全な」商品づくりです。商品を安定的に供給するためには、受注から製造・販売までの工程で使用する多様なシステムの安全性も重要です。以前からファイアウォールやウイルス対策ソフトは導入していましたが、年々高度化する情報セキュリティの脅威に備えて、より強固な対策が必要ではないかと考えるようになりました。
――情報セキュリティ対策をNTT東日本へ依頼した理由は何でしょうか。
安達氏:NTT東日本には以前からネットワーク監視を依頼していたので、情報セキュリティへの懸念もひとまずNTT東日本へ相談してみたのです。するとすぐに情報セキュリティの基礎から説明してくれました。当時、私たちの情報セキュリティの知識は十分ではありませんでしたが、わかりやすい説明を聞き、これなら安心して任せられると思いました。また、提案された対策内容も当社の現状に即したもので、納得した上で依頼できました。
今回、技術的対策・人的対策・物理的対策をバランスよく実施したいと考え、次の4つの対策を実施しました。1つ目はインターネットVPNからIP-VPNへの移行によるネットワークセキュリティの強化です。2つ目はIT資産管理システムの導入です。従来エクセルで管理していたIT資産の一元的な運用管理をめざしました。3つ目は人的対策である標的型攻撃メールに備えた訓練です。4つ目はネットワークを監視・分析し、インシデントの早期発見をサポートするSOCサービスの導入です。
情報システム課 課長
安達 卓哉氏
IP-VPNへの切り替えはリモートで効率的に作業
トラブル時は柔軟かつスピーディに対応
――取り組みのうち、IP-VPNへの切り替え作業は全国各地の拠点が対象でしたが、作業はスムーズでしたか。
安達氏:全国14の営業拠点のうち、インターネットVPNを使っていた12拠点が切り替え対象でした。なかには日中は人が不在の拠点もあり、工事日程の調整には少し苦労しました。ただ、切り替え工事は一部拠点をのぞいてリモートで実施してくれたので、ルータの再起動など必要なタイミングのときだけいればよく、終日立ち会う必要がなかったのはよかった点です。終日の立ち会いが不要なことに加えて、1日に複数拠点をまとめて作業できるので効率がよく、現地作業よりコストも下げることができました。
作業もスムーズでした。一度だけ、新潟拠点の作業時にトラブルがあったのですが、NTT東日本は柔軟かつスピーディに対応してくれたため、非常に頼もしく感じました。最終的に別日にあらためて工事を実施し、無事切り替えることができました。
――IT資産管理システムは全従業員に関連しますが、こちらの状況はいかがでしょうか。
安達氏:ちょうど構築が終了したところですが、構築自体はおまかせだったので、当社として苦労したところはありません。現在は、情報システム課で試用中ですが、ログやウェブの閲覧履歴、インストールされているプログラムなど、非常に多くの情報を取得できることに驚いています。情報システム課での試用後には、全従業員のパソコンへソフトのインストールを進めていきます。全社展開の前には、事前に周知し、各自にパソコン利用のルールを見直してもらうところから始めたいと考えています。
IT資産管理システムはクラウドを採用しました。というのも、当社のAD(Active Directory)サーバーがプライマリ単体運用になっており、セカンダリサーバーをどこへ設置するのがよいかという話があり、今回クラウドを採用すれば、その足回りの準備にもなると考えました。オンプレミスと比較してコストに大きな差がなかったのも決め手の一つです。
このほかに標的型攻撃メール訓練と他社のSOCサービス導入も並行して進めました。取り組みは多かったのですが、NTT東日本が全体をとりまとめ、窓口を一本化してトータルサポートしてくれたので非常に助かりました。
毎月200通のアラートメールが気づかなかった脅威を可視化
今後はより重大なインシデント対応への対策も検討
――今回の情報セキュリティ対策でどのような成果を実感していますか。
安達氏:インターネットVPNからIP-VPNへの切り替えによって、ネットワークのセキュリティを強化できたことは安心感につながっています。また、通信環境を平準化でき、通信速度が遅かった大阪支店のネットワークも安定しました。
IT資産管理システムについてはまだ試用段階ですが、パソコンの動作が遅くなることもなく、問題なく使えています。今後、インシデントが起きたときに、原因や対象端末を絞り込むのに活用できそうです。また、IT資産管理システムが自動的にサーバーやパソコンの情報を収集してくれるので、以前のエクセル管理のときのように棚卸のために現地へ行かなくてすみます。パソコンごとにインストールされているプログラムも一元管理できるため、アップデートや入れ替えの作業も効率化できます。
標的型攻撃メール訓練は社員のリテラシー向上につながる取り組みでした。また、SOCサービスを導入してネットワークの監視を始めたところ、月間200通ほどのアラートメールが届いており、脅威をいち早く検知しているのだと実感しています。
――導入後の社内のご評価、今後の情報セキュリティ対策の展望などをお聞かせください。
安達氏:経営層からは予防的な情報セキュリティ対策がある程度整備できたことを評価されています。今後は、より重大なインシデントが起きたときの事後対策を検討していく予定です。
従業員の情報セキュリティ意識はさらなる向上が必要だと感じています。すでに実施した対策もありますが、引き続き標的型攻撃メール訓練やeラーニングの実施も検討していきたいです。また、すぐに導入するわけではありませんが、EDR(Endpoint Detection and Response)のようなエンドポイントへの情報セキュリティ対策についても情報を収集しています。
情報セキュリティ対策を進めるには、社内外のコミュニケーションをいかに円滑にするかが大事です。その点、NTT東日本とのコミュニケーションは非常にスムーズで、何かあればいつでも気軽に相談できましたし、ネットワークや情報セキュリティのことならどんな質問にも答えてくれる安心感がありました。今後、会社のセキュリティポリシーの策定なども必要になるので、引き続きサポートやアドバイスを期待しています。
本社屋の入り口の展示スペース。各種表彰状やスポンサーを務めるサッカーJ2チーム「モンテディオ山形」のユニフォームなどが飾られている
*上記ソリューション導入時期は2022年3月~2024年3月です。
*文中に記載の組織名・所属・肩書き・取材内容などは、全て2024年3月時点(インタビュー時点)のものです。
*上記事例はあくまでも一例であり、すべてのお客さまについて同様の効果があることを保証するものではありません。
企業名 | 株式会社でん六 |
---|---|
概要 | 山形県山形市にある菓子メーカーです。豆菓子や甘納豆、バタピー、チョコレートなどの製造販売を手がけており、年間の商品生産量は約2.7億袋に上ります(※2022年度実績)。2024年に創業100周年を迎えました。100周年スローガンに掲げた「シアワセころころ」には、でん六がつくる笑顔やシアワセを、マメがころころ転がるように世界へ広げていきたいという想いが込められています。 |