世界46カ国・地域に広がる約250のグループ会社により、事業を展開している東京海上グループ。サイバー攻撃が激化する中、あまたある国内外の拠点を保護することは容易ではない。同グループはどのような戦略の下、どのような対策を講じているのか。

クラウドストライクの年次カンファレンス日本版「Fal.Con on the road - Tokyo」において、東京海上ホールディングス IT企画部 リスク管理グループ マネージャーの石川朝久氏が、東京海上グループのグローバルセキュリティ戦略について講演を行った。

本稿では、同氏の講演を基に、東京海上グループのグローバルセキュリティ戦略および戦略に基づく施策について紹介する。

  • 東京海上ホールディングス IT企画部 リスク管理グループ マネージャー 石川朝久氏

グループ横断型のバーチャルなセキュリティ組織「GFC」を構築

石川氏は、国内外の拠点を守るにあたり、2つの前提があると述べた。2つの前提とは「グループ会社ごとに異なるセキュリティ成熟度」と「グループ会社連携を積極的に進め、グローバルビジネスのシナジーを創出すること」だ。

前者については、IT環境、ビジネスモデル、言語、タイムゾーンなどあらゆる要素が異なり、同グループは個社のビジネスモデルを生かすガバナンスモデルをとっているという状況がある。後者については、実現に向けて、サプライチェーンのセキュリティなどを考慮する必要がある。

これらの前提を踏まえ、東京海上グループはセキュリティ戦略として、「GFC 1st Line of Defense Model」による均質防御の実現を据えた。

GFCは「Global Fusion Center」の略で、グループ横断型のバーチャルなセキュリティ組織だ。リージョンごとに構築していたセキュリティ体制を統合するため、2022年度から構築された。

石川氏は、GFC構築の目的について、「セキュリティ製品やサービスのばらつきによる質的課題を解消すること」と述べた。これが、戦略の「均質防御」を意味する。

GFC構想における3つの施策

GFC構想では、均質防御を実現するため、3つの施策を通じて、プロセス・技術・人材の統合化・標準化を行う。

1つ目の施策は「標準セキュリティサービスの提供」だ。静寂性管理やセキュリティ運用など、11種類のサービスを標準化して均質的なサービスを提供する。

2つ目の施策は「標準アーキテクチャの実装」だ。標準テレメトリや統合的なセキュリティ監視を実装し、セキュリティ監視とサイバーハイジーンの均質化を実現する。

3つ目の施策は「vCISOとvStaffの配置」だ。GFCにvCISOとvStaffをプールしておき、各グループ会社に配置することで、活動の均質化を図る。石川氏は「EDRを実装するのは個社だが、知見のある人がおらず、脆弱性レポートを読み解く専門家がいない。そのため、ホールディングスで人材をプールして配置する」と説明した。

IT企画部がセキュリティリスクを引き受ける「GFC 1st Line of Defense Model」

「GFC 1st Line of Defense Model」は、日本語にすると「GFC1線下モデル」となる。東京海上グループではセキュリティ体制として、3つの線から構成される「3線モデル」を整備している。1線の役割は「リスクオーナーとしてリスクコントロールすること」、2線の役割は「リスクを監視すること」、3線の役割は「合理的な補償をすること」だ。

GFCモデルでは、2線として機能していたIT企画部が1線に出て、サイバーセキュリティのリスクを引き受ける。

石川氏はGFCモデルの特徴として、標準アーキテクチャを実現する上でのモデルを整理して、技術の標準化を図ることを挙げた。「インフラまで管理するのが理想と考えられる。パッチ適用はインフラチームと協力する必要がある。ただし、連邦制モデルなので、そこまでの統合は時間がかかる」と石川氏。

現在は、テレメトリやセンサーなど、検知に役立つソリューションの統合から始めているそうだ。

CrowdStrike製品で徹底的な可視化と均質防御を実現

このような東京海上グループのグローバルセキュリティ戦略を支えているのが、CrowdStrikeの統合セキュリティプラットフォーム「Falcon」だ。EDR機能「Falcon Insight」、専門家による脅威ハンティング「Falcon OverWatch」など、10以上のモジュールを導入している。

石川氏は、CrowdStrike製品を選んだ理由について、次のように説明した。

「性能がよく、脅威インテリジェンスをリアルタイムで取り込んでいる。壱番の理由は幅広いモジュールが提供されていること。モジュールを買えば、すぐに機能が有効になるので、グループ会社に負荷をかけずに導入できる」

そして、CrowdStrike製品は、標準アーキテクチャの一部である標準テレメトリとして採用されている。石川氏は、標準テレメトリ製品を選択するにあたり、「ベスト・オブ・スイート、ベスト・オブ・ブリードのどちらにするかを迷ったが、ベスト・オブ・スイートを選択した。ベスト・オブ・スイートを実現するにあたり、さまざまな要素を加味してCrowdStrikeを選んだ」と語った。

石川氏は、CrowdStrike製品を標準テレメトリとして導入するメリットとして、「GFCによるお標準的オペレーションの実現」と「実効性を持ったグローバルガバナンスの実現」を挙げた。

具体的には、Falcon Flight Controlを活用して、マルチテナント構成を実現しながら一元的な管理を実現できる。また、複数のモジュールと侵害調査を活用することで、可視化を徹底的に実現できるという。さらには、MDRサービスの活用により、検知と対応能力を向上し、同グループが目指す「均質防御」を実現する。

石川氏は今後の計画について、「ログの保存期間が限られているので、長期保存できるようにしたい。これにより、インシデントが発生したとしても、説明責任を果たせる。また、可視化をクラウドにも広げたいと考えており、PoCを予定している」と語っていた。