第三者評価のスコアも大幅に向上し、ランサムウェアへのリスクも統計的に6分の1に低減できています。ダッシュボードでリスクと脅威の状況を可視化したことで、セキュリティカルチャー変革につながる改善活動が進んだ結果だと評価しています
日本電気株式会社、Splunk Enterpriseによるリスクと脅威のダッシュボードでセキュリティカルチャー変革を実現
主な課題
2025中期経営計画の達成とさらなる成長を目指して「社内のDX」を進めており、サイバーセキュリティの領域においてもセキュリティ・トランスフォーメーションを推進。セキュリティカルチャー変革に向けた意識改革となるアウェアネスの向上に資する、サイバーセキュリティダッシュボードの構築が必要に。
主な成果
Splunk Enterpriseを基盤に、Dashboard Studioで各部署に最適な、脅威とリスクのサイバーセキュリティダッシュボードを構築。第三者スコアを大幅に向上させ、ランサムウェアリスクを6分の1に低減。セキュリティを自分事にすることに成功し、CISO統括部門のエンゲージメントスコア向上にも貢献。
セキュリティカルチャーの変革を加速するためのサイバーセキュリティダッシュボードに「Splunk Enterprise」を採用
日本電気株式会社は、「安全・安心・公平・効率という社会価値を創造し、誰もが人間性を発揮できる持続可能な社会の実現を目指す」というPurposeを掲げ、「2025中期経営計画」においてさらなる成長を目指し「社内のDX」「お客様のDX」「社会のDX」を経営の中核と設定しています。「社内のDX」については、自社をゼロ番目のクライアントとする「クライアントゼロ」の考えのもと、クイック・アジャイルに社内変革を推進しています。
その「社内のDX」の一環として、データドリブンなセキュリティカルチャー変革を実現するために、サイバー攻撃による脅威および第三者評価によるリスクの可視化を可能にするサイバーセキュリティダッシュボードを展開しています。このダッシュボードを実現するためのプラットフォームとして活用されているのが、Splunk Enterpriseです。
成果
- リスクと脅威の可視化を通じてデータに基づくマネジメントサイクルを実現
- セキュリティカルチャーの変革に貢献
- セキュリティリスクの低減やエンゲージメントスコア向上に寄与
意識変革を促すアウェアネス向上に向けたダッシュボード化への取り組み
サイバーセキュリティの領域においてセキュリティ・トランスフォーメーションを実現するために、同社では一人ひとりの意識と正しい行動を促す「アウェアネス」や攻撃情報を入手し事前に防御する「インテリジェンス」、そして早期に検知・対処・復旧を実現する「レジリエンス」を強化する取り組みを進めています。「このアウェアネス向上に関する施策の1つが、サイバーセキュリティダッシュボードの提供です」とコーポレートIT・デジタル部門 CISO統括オフィス長 田上 岳夫氏は説明します。
Web教育などを通じてセキュリティへの継続的な意識改革を推進している同社ですが、見えないサイバー空間でのリスクは実感しづらいものです。「専門家が有していた大量のログを、経営者を含めた全社員にガラス張りにし、データというファクトで示すことが一番自分事として感じてもらいやすい。クローズドなセキュリティ情報をあえてオープンにすることで実現できると考えたのです」と︎同オフィス 木造 正太氏は当時を振り返ります。そして、新人から経営トップ、さらに社外取締役や株主を含めたステークホルダをはじめとした関係者全員に対して、セキュリティの状況が一目で理解できるビジュアルが重視されたのです。
経営者を含めた全社員にデータというファクトでガラス張りに示すことが、一番自分事として感じてもらいやすいと考え、自由度の高さで群を抜いているSplunkで表現しました
専門家だけが使っていたログをセキュリティカルチャー変革の原動力として活用
新たなダッシュボード構築においては、CSIRTで実績のあるBIツールを含めた様々な可視化ソリューションが検討されましたが、そこで白羽の矢が立ったのが、10年ほど前から活用されていたSplunkでした。「当社は宇宙や防衛など攻撃者から狙われやすい事業も手掛けており、海外の現地法人から日本を狙うような高度な攻撃も少なくありません。その攻撃をいち早く察知して対処するには、迅速にログ収集して解析できる環境が必要で、当時からSplunkをログ解析基盤として役立ててきました」と田上氏。
そんなSplunk Enterpriseに蓄積されたログは、これまでセキュリティの専門家のみが利用してきました。このログを有効活用し、新人から経営層まで現場に分かりやすくダッシュボードとして示していくことで、アウェアネス向上に役立つ環境が整備できると考えたのです。
そのためにはデザイン性に富んだインターフェースが重要であり、SplunkのDashboard Studioが、まさにやりたいこととベストマッチしたため、セキュリティカルチャー変革を成し遂げるためのサイバーセキュリティダッシュボードをSplunk Enterpriseで構築しました。
約12万人が閲覧するダッシュボードを整備、改善活動に向けたPDCA推進に役立つ
現在はSplunk Enterpriseを基盤に、サイバーセキュリティダッシュボードとして主に脅威とリスクの2種類が提供されており、経営陣を含めたグループ約12万人全員が閲覧可能です。アジャイル手法で継続的にアップデートが行われており、多い時には1日数千人規模で閲覧されているほど。このダッシュボードは社内システムからのログ情報とともに外部から収集した情報を含めて多くの機能が構築されており、CISO統括オフィス Cyber Defenseグループに所属する、CSIRTの各チーム(CTI/IR/DEV)とCyber Risk Assessment(CRA)チームで、ティール型の発想でアジャイルに開発を実施、わずか1か月で公開することに成功しています。公開後も経営層と頻繁に対話を行い、フィードバックを元に次々と機能をリリース、1年で25サイト76の機能を持つダッシュボードに拡大しています。Splunk自体を触るメンバーはグローバルで100名を超えており、APACをはじめ欧州の研究所など様々な地域でSplunkが活かされています。
ログは毎日1TBほどが収集され、サーバやネットワーク機器も含めた27万台超のエンドポイントから得られる各種ログから、クラウドプロキシやZTNAといったSASE関連のログまで、その種類は多岐にわたっています。また、外部情報もAPIを通じて取得しており、例えば第三者評価としてのレーティング情報や脅威インテリジェンスとともに、レッドチームの攻撃診断結果や緊急外部リスク調査などの各種アセスメント結果も取り込んでいます。「改善に向けたPDCAが動かせるよう、第三者評価などはCRAチームによって組織ごとにそれぞれ分析したうえで、振り分けたスコアを表示させています」と木造氏。他にも、セキュリティに関連したニュース情報などは生成AIによって要約され、ダッシュボード上に表示されています。
ランサムウェアリスクの低減を実現、セキュリティの意識改革に大きく貢献
ダッシュボードによるセキュリティカルチャー変革の実現により、セキュリティリスクが低減され、グループ全体で第三者スコアが大きく向上。統計的に見てランサムウェアへのリスクは6分の1にまで減少しました。また、グループ全体のアンケート調査では、セキュリティ意識に対して96%が向上したと回答しており、アウェアネスの向上に大きく貢献しています。さらに、経営層がメディアでリスクを語る際の情報としてだけでなく、ITに詳しくない社外取締役や株主をはじめとしたステークホルダにも透明性の高い情報が提供できるなど、ダッシュボードが果たす役割は非常に大きなものになっています。
他にも、CISO統括部門に在籍するメンバーのモチベーションを高めるという副次的な効果も見逃せません。「本来セキュリティ部門は陰で支える存在ですが、ダッシュボードに対する社員からの好意的なフィードバックでメンバーのモチベーションが高まり、中期経営計画で目指すエンゲージメントスコア50%という目標に近いスコアをCISO統括部門で実現しています。ダッシュボードだけの効果ではありませんが、以前に比べて2倍のスコア向上に寄与していることは間違いない」と田上氏も高く評価します。
デザイン面でも間口の広いSplunk、経営層からも高く評価
今回サイバーセキュリティダッシュボード構築に役立ったのが、デザイン性に富んだ画面が作成できるDashboard Studioで、リスクや脅威を分かりやすく表現することに貢献しています。「海外のSplunkイベントで初めてDashboard Studioが発表された時から注目しており、Splunk Enterpriseは自由度の高さでは群を抜いていた」と木造氏は振り返ります。
また、ツールの機能だけでなく、専門のデザイナーがUI・UX設計を担当したことも大きなポイントだと言及します。「財務指標と異なり、リスクや脅威をどう表現するのか、部門ごとにどんなKPIを設定するのかといった設計は苦労した部分。優秀なデザイナーとのチーミング、そしてSplunk Enterpriseが組み合わされたことで経営層からも高く評価されるダッシュボードが構築できた。」と田上氏は力説します。この取り組みは、社内でNEC Best Value Award(社長賞)を受賞すると共に、社外ではIT協会が主催するIT賞において、IT優秀賞を受賞しています。
Splunkについては、ツールとしての間口が広い点を高く評価しています。「我々はどちらかというと自分たちで作り込む素の“Splunker”で、Dashboard StudioとClassicをハイブリットに組み合わせることで開発面でもデザイン面でも大きく間口を広げていける。一方で、Fit to Standardに合わせて使いたいという方にも豊富なパッケージが用意されているとともに、コミュニティで疑問点を質問すると答えてくれる人がいるなど、コミュニティの層の厚いプロダクトでもあります」と木造氏は評価します。
AI技術の活用でサイバー防衛のさらなる高度化へ、ガバナンス領域にも展開したい
今後については、レッドチームが有する攻撃診断のケイパビリティを高めるべく、サイバーディフェンス研究所に在籍するホワイトハッカーとともに、AIの自動化によって継続的なリスク判断の省力化に努めていき、さらなるサイバーディフェンスの高度化に取り組みたいと田上氏は期待を寄せています。木造氏もAI技術の活用については期待を寄せており、特にルールベースでない部分の検知やセキュリティパフォーマンスのさらなる可視化に向けて取り組んでいきたいと語ります。
他にも、外部からのサイバーリスク評価だけでなく、ガバナンスに対する取り組みも進めていく計画です。「海外を含めて各社がどれだけ取り組んでいるのか、マネジメントレベルで包括的なスコアリングが可能な仕組みを現在構築中です。確かに監査は受けていますが、各社の特性や設定しているKPIをうまく設定し、ダッシュボードで可視化していけるような活動を進めていきたい」と今後について田上氏に語っていただきました。
