“安全”に裏打ちされた“安心”を～コープデリのサイバーリスクマネジメントの現在地～

資料をダウンロード

トレンドマイクロ主催のサイバーセキュリティカンファレンス「2024 Risk to Resilience World Tour Japan」では、お客様の組織における取り組みのご紹介や、トレンドマイクロの専門家による知見の共有が行われました。お客様のうち、コープデリ生活協同組合連合会（以下、コープデリ）の安全推進・法務部の部長本多達（ほんだ・とおる）氏、同部法務・内部統制課担当課長の常山幸生（とこやま・ゆきお）氏には、コープデリにおけるサイバーセキュリティ強化への取り組みを語っていただきました。

生協の宅配、コープデリ。その事業リスクとは？

関東信越1都7県の生協とコープデリ連合会で構成されているコープデリグループ。組合員は500万人を超え、宅配事業が事業高（編集部補足：一般企業でいうところの売上高）のうち実に約75%以上を占めています。組合員の注文のしやすさが事業にとって重要であるため、近年ではデジタル技術を活用した変革も進めています。その1例として、2023年10月から「献立コンシェルジュ」という献立提案サービスの提供を始めました。これは、最長1週間分の献立を自動作成できるうえ、その献立に必要な食材をまとめて注文することもでき、家事に対する心理的・時間的負担を軽減するサービスです。

献立提案サービス「献立コンシェルジュ」

共働き世帯の増加や時短家事の必要性の高まりなど、社会の変化に合わせて最新技術も取り入れながら変革を続けるコープデリ。その視線は常に変わらず、配達先で待っている組合員に向いています。

組合員のなかには、地域的事情や身体的な理由などから、宅配のほかに食料の調達手段がほとんどない人もいます。宅配業者はコロナ禍で「エッセンシャル・ワーカー」と呼ばれたものですが、コープデリでは現在でもエッセンシャル・ワーカーの自覚、命を支える重要なインフラである自覚をもって業務にあたっています。
毎年、台風や大雪などの自然災害に直面し、配達業務に支障をきたすこともあります。以前、台風で道路が寸断した際には、配達のトラックで行けるところまで運び、そこから先は地域の方々の協力を得て運んだこともありました。

宅配を止めかねないこと、そのすべてがリスクとなり得ます。自然災害、情報セキュリティを含めたリスクをきちんと識別し、具体的な対策を立て、取り組んでいくことが大切だと認識しています。

サイバーセキュリティ強化のきっかけと課題、予防のポイント

コープデリでは以前から、個人情報保護の取り組みは行っていましたが、他組織のサイバー攻撃被害をきっかけに、2022年にサイバーセキュリティ対策強化のためのセキュリティアセスメントを行いました。その結果、入口の防御は堅固だが、入口を突破された際の検知対策が不十分であることがわかりました。
また、折しも同業他社がサイバー攻撃に遭い、被害を受けたことから、経営層から「サイバーセキュリティは最優先課題として早急に対応すべき」との指示があり、組織内の温度感が急速に高まりました。

以来2年間、技術的・物理的対策も進めてきましたが、課題と思われるのは、従業員のリテラシー向上の難しさです。毎年、従業員のセキュリティ教育を行っていますが、振り返りのアンケートで寄せられる回答を見ると、「サイバー攻撃＝個人情報漏洩」というイメージが強く、システム停止を起こして組合員の生活インフラを直撃する、という認識が浸透しきれていないことが伺えます。

標的型攻撃メール訓練も定期的に実施しており、訓練メールに仕込まれたリンクをクリックしてしまう従業員の数も徐々に減ってきています。とはいえ、宅配と店舗が事業の中心であるため、あまりパソコンに触れる機会がない従業員が多く、リテラシーが高いとは言えないのが実情です。このため、フィッシングメールのリンクをクリックすることや、私用メールアドレスから業務用メールアドレスにファイルを転送するなどの禁止行為も、うっかり行ってしまう可能性がある、という大前提に立つ必要があります。防御と検知の両面で多層防御の技術的対策を行ってカバーすることが重要と考え、EDR（Endpoint Detection and Response）やSIEM（Security Information and Event Management）を導入し、SOC（Security Operation Center）を構築して運用を開始しました。
さらに2023年には、CSIRT（Computer Security Incident Response Team）構築の提案も承認されました。役員3名がその責任者・副責任者となり、日本シーサート協議会にも加盟して、情報収集にも努めています。

参考記事：インシデントレスポンスとは？必要性や6つのステップなどを解説

今後のチャレンジと期待

技術的・物理的対策と、従業員のセキュリティ教育を両輪で進めたい、と常山氏は語ります。「セキュリティ教育は受け手にとっては難しく敬遠されがちなので、ゲーム感覚で楽しんで参加できるよう、クイズ形式や人形劇仕立てにするなどの工夫を行っており、従業員からもなかなか好評です」と笑顔を見せます。また、トレンドマイクロに依頼して、従業員が興味を持って聞いてくれるような、セキュリティの専門家でなければ知りえない攻撃者側の情報を盛り込んだ講演も行ったところ、複数の部署からも講演依頼が来るほど好評だったとのことでした。

このようにハード面、ソフト面の対策を進めてはいますが、「他の企業がサイバー攻撃に遭ったというニュースを耳にすると、次はコープデリかもしれないと、不安と恐怖でいっぱいになります」と本多氏は言います。トレンドマイクロには、そうした不安に寄り添い、それに対応した情報やアドバイスをもらえると助かる、そこから信頼関係を築き、一緒に進めていければと思う、という期待をお伝えいただきました。

Webサイトでも紹介されているコープデリが考える食の安全・安心

ふだん、安心・安全という言葉をよく耳にしますが、コープデリでは安全が必ず先に来る「安全・安心」という言い方をします。安全とは「リスクの分析を徹底してリスクを最小限に抑えること」。安心とは「安全の情報を受けて、利用者が得られるメリット」。仕入れからお届けまでを管理し、安全確保に取り組んだうえで、食卓には安心をお届けする、という意図が込められています。