進化を続けるパナソニックグループのサイバーリスクコントロール戦略とは～ベストオブブリードからセキュリティプラットフォームへのシフトを推進～

パナソニックグループのデジタル領域をけん引する阿部氏

2024年7月23日（東京）、8月1日（大阪）の両日行われたトレンドマイクロ主催のサイバーセキュリティカンファレンス「2024 Risk to Resilience World Tour Japan」。今回は、基調講演に登壇したパナソニックインフォメーションシステムズ株式会社代表取締役副社長執行役員　阿部裕（あべ・ゆたか）氏の講演「パナソニックグループのサイバーリスクコントロール戦略」をレポートします。

阿部氏はサイバーセキュリティ戦略の話の前に、何をサイバーリスクから守っているのかを説明するための背景として「パナソニックのDX戦略」について語りました。現在、7つの事業会社の領域をホールディングスが統括していますが、パナソニックインフォメーションシステムズ株式会社（以下、パナソニックインフォメーションシステムズ）は、各事業領域にITサービスを展開していく責務を担っています。

パナソニックのDXの現状

パナソニックでは同グループのDX戦略を「Panasonic Transformation（PX）」と呼んでいます。その内容は、「お客様サービスのDX」と「事業オペレーションのDX」の2つに分けられ、ビジネスパーソン向けの本カンファレンスで、阿部氏は「事業オペレーションのDX」を重点的に説明しました。

1階層目の「ITの変革」では、業務システムのモダナイゼーション、クラウド活用、SCMの整流化といった一般的なDXをカバーしていますが、PXはさらに上を目指しています。2階層目の「オペレーティング・モデルの変革」では、組織構造やコスト構造にもメスを入れ、現在は各事業領域に所属する従業員のITスキルや人数を把握する「IT人材の見える化」に取り組んでいるほか、各事業領域の「IT投資の売上比率」を把握する取り組みも進めています。さらに3階層目の「カルチャーの変革」では、内向き仕事の排除や心理的安全性（Psychological Safety）にも配慮した職場づくりまでを視野に入れています。PXは、下記の図の通り、通常のDXとは異なり、企業活動の土台となる企業文化をもデジタルで変革していこうという大きな取り組みです。

2023年には、DXの取り組みが評価され、「IT Japan Award」（日経BP社主催）でグランプリを受賞したパナソニックグループ。その取り組み自体は、「PX ZERO」を立ち上げた3年前から始まっています。2023年までは、パナソニックグループの全役員が合宿形式で議論し取り決めた「7つの原則」（2022年）、Chat GPTをもとに自社サービスとしての「PX-AI」導入を決定するなど、足元を固める2年間と位置づけていました。「いよいよ2024年は、ビジネスモデルの変革により、実績を出すフェーズとなった」と、阿部氏は意気込みを見せました。

その証左として、社内向けのデータ分析基盤の利用者やPX関連ポータルサイトの閲覧者数、PX-AIの業務利用も順調に増加しているとのことです。

パナソニックのサイバーセキュリティ戦略

入念な議論・準備と思い切った決断により順調に進むPX。当然、サイバーリスクからデジタル資産ひいてはPXを守り、事業継続性をどう担保するかという課題は、同社の経営課題の1つでもあります。多様な事業分野を持つパナソニックグループでは、サイバーセキュリティの領域を「情報セキュリティ」、「製造システムセキュリティ」、「製品セキュリティ」の3つに分け、それぞれで行うべきガイドラインの徹底や定期的な評価・見直しを行っています。

パナソニックグループのサイバーセキュリティ戦略の主要テーマは、2年ほどのサイクルで、入れ替わってきています。2019年度までは「境界線防御」主体だった考え方を、コロナ禍によるリモートワークの普及を受け「ゼロトラスト対策」に基づいた考え方に転換。2020年～2021年度は、リモートワークシステム保護（多要素認証、クラウドプロキシ等）やクラウドセキュリティ強化を、2022年～2023年度は、PC/サーバのEDR導入を加速し、侵入口の脆弱性対策（サイバーハイジーン）、特権IDの管理強化を含む異常検知強化、従業員教育の充実を実施してきました。

阿部氏は、「セキュリティにおいては『どのような仕組みを導入するのか』ということ以外に、『教育』と『ガバナンス』のバランスも重要」と付け加えました。特にガバナンスについては、海外拠点のIT環境を日本本社から把握しにくい、現地の独自のITの仕組みがある、などの理由でガバナンスが効きにくいという課題がありました。そこで、この課題をグループの経営課題として訴え、明確な指示を通達すると同時に、地域CIOを任命してネットワーク遮断の権限も付与するなど、流動的に変化していくサイバーリスクに対して迅速な意思決定を行える体制を整えました。

2024年以降については、自組織の継続的な成熟度向上に取り組み、特にソリューションの費用や運用プロセス合理化、対象範囲の拡大といった点に注力をしています。

具体的な例として、阿部氏は以下の2つの取り組みを紹介しました。

①セキュリティオペレーションのモダナイゼーション
インターネット側からの脆弱性のスキャンや公開されている脆弱性情報、脅威インテリジェンス情報、組織内システムやセキュリティ製品のアラート・ログを収集しAIによる自動調査を行う取り組みを検討中とのことです。膨大な情報の中からどのようにAIを使って統合SOCの分析作業を効率化するか、現在効果を検証中ということです。

②セキュリティ・ソリューションのベストフィット
昨今のサイバー攻撃を効果的に検知するためには、各セキュリティ・ソリューションのアラートやログを相関分析していく必要があります。従来、同社で採用していたセキュリティ対策の方針はベストオブブリード型^※でしたが、収集したログの効果的な相関分析が難しかったため、それを転換し、EPP/NGAV、EDRなどエンドポイント対策のセキュリティベンダーをトレンドマイクロに1本化しました。AIによる省力化も相まって、トータルコストも削減できたとのことです。
※ベストオブブリード（Best-of-Breed）：ITシステムを構築する際に、各領域で最も良いと評価したハードウェアやソフトウェアを採用し、その組み合わせでシステム構築を行う方法。

今後のチャレンジとサイバーセキュリティ企業への期待

ここまで、最前線のサイバーセキュリティ戦略を紹介いただけたという印象を編集部では持ちましたが、同社のサイバーセキュリティにおける挑戦はまだ続きます。阿部氏は「これまでは“IT領域”だけを見ておけばよかったが、冒頭紹介した通り“製造領域”や“製品領域”といった領域もあり、かつ共通のテーマとして生成AIやクラウドの活用の潮流に対応する必要もあり、拡大するサイバーリスクを会社全体のリスクとして、面でとらえる必要がある」と話します。

そのためには、インシデント対応能力の向上と脆弱性検知の対象領域の拡大が重要です。前者については、具体的にはホールディングスの直下に「サイバーセキュリティ統括室」を設置し、IT・製造・製品の各領域のセキュリティ機能を一元化し、複数の領域にまたがるインシデントへの対応力を強化しました。

他方、脆弱性検知の対象領域の拡大については、インターネット公開システムに対する外部からのパッシブスキャンやアクティブスキャンによって侵入テストの対象となるシステムを絞り込み、実際の侵入テストを経て是正を促す仕組みを、ITから製造・製品の領域にも広げています。

阿部氏はさらに、CASB（Cloud Access Security Broker）の導入に加えて、「AIをサイバーセキュリティにも活用している。直近の例では、PX-AIによる脆弱性レポートの提供を行う取り組みを現在試験中だ」としました。これは、脆弱性の是正情報や対策を資産管理者にわかりやすく提示することが狙いの取り組みで、脆弱性の概要・想定される影響・対象OS/アプリ・対応方法についての脆弱性対応レポートを作成します。同社では、2025年度には提供開始予定です。

今後のチャレンジは自組織内にとどまりません。同社では、開発～製造～販売といった業務プロセスに関わる取引先をサプライチェーンセキュリティの対象とした取り組みも実行中です。2023年度には外部から調査を行い、エクストラネット接続をするシステム開発・保守・運用などの委託先に対してインターネット境界のセキュリティリスクを評価しました。また2024年度には、サプライヤーなどの取引先に対して、アセスメントシートによる自主精査・監査を促し内部リスクを評価する取り組みを行っています。

最後に阿部氏は、サイバーセキュリティ企業への期待を述べ、イノベーションと技術の進化の継続、ユーザのデータ保護を常に行えるソリューションの提供、脅威への迅速な対応と危機管理能力が必要だとし、さらに「トレンドマイクロには、サイバーセキュリティ分野のリーダーであり続けてほしい」と強調しました。

「大企業でもセキュリティ対策に苦戦している中、中小企業はセキュリティ人材の確保も含めて厳しいところが多い。いずれは、AIの活用で、予防の対策やインシデント対処がある程度自動でできる時代が来るだろう。トレンドマイクロには、業界リーダーとして豊富な知見を活かし、簡単に防御・検知対応が可能な技術を開発していってほしい」（阿部氏）。