TOPPANグループのDXを加速させ、事業の発展に貢献するクラウドセキュリティ対策

TOPPANホールディングス株式会社

• 事業内容：「印刷テクノロジー」をベースに「情報コミュニケーション事業分野」、「生活・産業事業分野」および「エレクトロニクス事業分野」の3分野にわたり幅広い事業活動を展開

• 創業：明治33年 （1900年)

• 従業員数 ：連結 53,946名 (2023年3月末現在)

＜お話を伺った方＞

情報セキュリティ本部 サイバー部 技術チーム 課長 志賀様

情報セキュリティ本部 サイバー部 技術チーム 上岡様

情報セキュリティ本部 サイバー部 技術チーム 岩井様

導入前の課題

—ミッションについて

志賀様：2023年10月1日に凸版印刷株式会社はホールディングス体制に移行し、新生TOPPANグループとして再スタートしました。TOPPANホールディングス株式会社は、グループのガバナンスを強化し、グループ全体のシナジー効果の最大化を狙い、成長分野と位置付けているDX、SX(持続可能性)などの事業を広げることで、事業変革を進めています。情報セキュリティ本部は元々本社機能でしたが、ホールディングス体制に変更になった事で、200社以上あるグループ会社のセキュリティに対するガバナンスを強化することがミッションになります。我々のチームではエンドポイントからメールセキュリティ、事業で利用するシステムのセキュリティ対策から可用性を担保するところまで、様々なプロジェクトを推進しています。

—課題について

上岡様：弊社ではパブリッククラウドを積極的に活用しております。しかし、セキュリティ対策については全社的なルール化ができておらず、各事業、各組織、グループ会社独自のルールに依存していました。オンプレミスで構築したサービスに関しては既に運用ルールを策定することでセキュリティリスクの低減を実現できていましたが、パブリッククラウド用にそのまま活用できるルールもあれば、クラウド特有のルールも存在するため、パブリッククラウド利用においてはセキュリティリスクの低減を実現できていませんでした。この課題を解決するためにCPSMの導入検討を2年前に開始しましたが、選定の検討を進める中で、私たちが求める機能は満たしているものの、運用するためのユーザーガイドや日本語対応、設定ミスの修正方法、ユーザーから直接問い合わせができる体制が不十分なものが多く、選定の最終局面で煮詰まっていました。

そのタイミングでCloudbase社と情報交換をさせていただき、私たちが必要としている運用面での懸念を解消できる点と、リクエストに対する対応の速さへの信頼から、導入を決めました。

活用方法について

上岡様： Cloudbaseは2024年4月1日よりグループ会社に向けて提供を開始しており、現在はCSPM製品の選定時から情報を共有していたグループ会社の既存サービスを中心に導入が進んでいます。

志賀様：運用に関しては各事業会社が主体となりますが、システム管理者だけがリスクをチェックすれば良いわけではなく、我々がしっかり是正できているかどうかを確認する必要があります。そこで、アラートの履歴を一覧で出力したいというリクエストを出したところ、Cloudbase側は迅速に対応・開発をしていただきました。結果的に、我々が必要とするアクションに関する的確な管理が実現しました。例えばアラートが出て1週間経過しても対応が終わっていない場合には、是正されるまでフォローしています。

導入後の効果について

上岡様：セキュリティガバナンスを効かせることで発生する我々の運用負荷は、想定より少なく済んでいます。Cloudbaseのドキュメントやサポートを活用することで、基本的には運用する側自身で課題を解決できており、現状問い合わせを行うことはあまりありません。また、我々にとっては今まで見えていなかったパブリッククラウドのリスク状況を把握できるようになったことで、よりガバナンスを効かせることができています。

志賀様：四半期に一度サイバーセキュリティレポートをグループ会社に公開していますが、今後、実際に検知された設定ミスや即時対応リスクの内容をレポート内に記載し、グループ内のクラウドセキュリティに対する意識の向上やノウハウの蓄積につなげられればと考えています。

展望

岩井様：私はセキュリティ統制を考える時に、海外拠点もしっかり考慮していきたいと思っています。私は入社する際に、セキュリティ対策を通して各事業の利益に貢献していきたいと思っていました。今後Cloudbaseを利用して利益貢献し、情報セキュリティ本部の仕事が価値のある、楽しい仕事だと今後も発信していきたいです。

上岡様：今後は関連部署と連携して、セキュリティルールの策定を加速させていきます。ただし、ルール作りは、我々の強みである「ものづくり」にブレーキをかけてしまう恐れがあるため、バランスを大事にしていきたいと考えています。そしてグループ全体にCloudbaseと策定したルールを展開していきます。その際には、パブリッククラウドの設定ミスを徹底的に是正していく事を心掛けていきたいです。

志賀様：冒頭でお伝えした通り、弊社は社名を変更し「印刷」という文字が無くなりました。これからは従来の印刷事業だけにとらわれず、新しいサービスやイノベーションを生み出していかなければならないと思っています。そのためにも、パブリッククラウドを安全に利用することが当たり前の状況をグループ内で構築し、サイバーセキュリティを通じて事業の発展に貢献していきたいと考えています。