top of page

グローバル保険会社のセキュリティ強化

Intro

世界各国で事業を展開するグローバル保険会社の支社を、2024年から企画期間を含めた約8か月間支援しました。この支社は規模が大きく、数千人の従業員を抱えています。ところが、最近実施されたペネトレーションテストや監査により、セキュリティ面で重大な脆弱性が指摘され、サイバー攻撃のリスクが非常に高い状況であることが明らかになりました。そのため、私たちはセキュリティ体制の改善に向けた取り組みを開始しました。

Problem.png

    

    

     

2

Problem

様々な分析を実施し、根本的な課題をいくつか明らかにしました。

 

**リーダーシップの欠如** 

以前のCISOは、リスク管理やセキュリティにおける全体的なハイレベルな視点を持っておらず、適切な判断や優先順位付けができない状況でした。また、その状況をグローバル本社や他の役員に適切に共有・説明することもできませんでした。

 

**ガバナンス体制の未整備** 

セキュリティに関する統括的な管理体制が整っておらず、PDCAサイクルにおける「確認」と「改善」のプロセスが完全に機能していませんでした。その結果、改善の方向性や責任の所在が不明瞭となっていました。

 

**IT部門とセキュリティ部門の連携不足** 

セキュリティは独立して機能するものではなく、二線として存在する以上、IT部門やその他の関連部門との連携が不可欠です。しかし、このクライアントではIT部門とセキュリティ部門の間でほとんど対話が行われておらず、それが運用の非効率化や重大なセキュリティギャップを引き起こしていました。

 

**セキュリティ運用の不透明さ** 

セキュリティやリスク管理のプロセス全体がブラックボックス化されており、経営陣や現場がその実態を十分に把握できない状態でした。本来、セキュリティの基本は、自社の資産がどの脅威から守るべきかを可視化することにあります。しかし、このクライアントではまず資産管理が不十分であり、脅威や脆弱性も管理されていませんでした。そのため、リスクの早期発見や対応が遅れる結果となっていました。

Solution.png

    

    

     

3

What we have done

A. 弊社のアプローチ

 

弊社の強みは、クライアントの状況に応じた独自のフレームワークを構築し、課題に対して最適なソリューションを提供することにあります。 今回 、全体のプロジェクトは以下のようなコンサルティングで一般的に使われる流れを基に支援を行いましたが、イニシアティブごとにアプローチを開発しました。

**「目指すべき姿の定義」→「現状分析」→「ギャップ分析」→「ロードマップの作成」→「パイロット運用」→「展開」→「改善プロセスの構築」**

 

この流れに沿って、根本的な課題を改善し、プロジェクトを管理・統括することで、セキュリティ体制を大幅に強化しました。

 

B. 根本的な課題の改善

 

**リーダーシップの欠如** 

以前のCISOがセキュリティやリスク管理全体の高レベルな視点を持っておらず、的確な判断や優先順位付けができない状況でした。また、問題点をグローバル本社や他の役員に適切に伝える仕組みも存在しませんでした。このため、私たちは暫定CISOとしてリーダーシップを提供し、セキュリティ改善に向けた明確なビジョンとロードマップを策定しました。

 

**ガバナンス体制の未整備** 

統括的なセキュリティ管理体制が不十分であり、PDCAサイクルの「確認」と「改善」のプロセスが機能していませんでした。これにより、課題解決の方向性や責任の所在が曖昧となっていました。私たちはガバナンス体制を構築し、プロセスを改善するための仕組みを整備しました。特に役員とのガバナンス体制とグローバルとのガバナンス体制を構築することにより、役員とグローバルを重要なリスクに対し、議論する際、巻き込むようにしました。

 

**IT部門とセキュリティ部門の連携不足** 

部門間の連携を促進するためのチャネルを新たに整備し、継続的な協力体制を構築しました。特にパッチや脆弱性管理に関しては担当者レベルで情報交換と議論ができるように週1回の打合せを設定し、CISOがリードするようにしました。あとは、ITとセキュリティのトップがうまく情報交換と議論ができるようなカジュアルなセッションも設けました。最後にサイバーリスクがほかの役員と議論できるような仕組みも作りました。

 

**セキュリティ運用の不透明さ** 

セキュリティの基本は「可視化」にあります。つまり、自社の資産をどの脅威から守るべきかを明確に把握することが重要です。そのため、まずは機器の入出プロセスを整備し、それに基づいてITAM(資産管理)ツールを導入しました。さらに、資産管理を効率的かつ確実に行えるよう、プロセスの抜け漏れを防ぐためのAsset Discoveryツールも導入しました。これにより、資産管理を自動化し、堅実な管理体制を構築しました。

 

C. プロジェクトの管理と統括

 

大規模な変革プロジェクトを統括し、その中で約20件のイニシアティブ(例:ツール導入、ポリシーの改訂など)を一括して管理しました。それに加え、以下の具体的な施策を実施しました:

- プロジェクトチームと新任CISOのスムーズな引き継ぎを完了。

- セキュリティ基盤の再設計により、より強固な防御体制を構築。

- IT部門とセキュリティ部門間の対話を促進するためのチャネルを設置。

- PDCAサイクルの「確認」と「改善」フェーズを徹底し、継続的な改善を可能に。

WinWin.png

    

    

     

4

Result

企画を含め約8か月間の支援を通じて、以下の成果を達成しました:

- 強固なリーダーシップとガバナンス体制を確立し、持続可能なセキュリティ運用を実現。

- IT部門とセキュリティ部門が連携する文化を構築し、効率的な対応を可能に。

- セキュリティ運用の透明性を向上させ、リスクの早期発見・管理を実現。

- 支社のセキュリティ体制を大幅に改善し、サイバー攻撃のリスクを低減。

グローバルで管理するKPIのスコアーが約25%改善することに貢献しました。

bottom of page