ガートナージャパン は7月24日~26日、年次カンファレンス「ガートナー セキュリティ&リスク・マネジメント サミット」を開催した。その中から本稿では、ソニー・ミュージックエンタテインメント デジタルトラスト本部 田代雄亮氏によるエグゼクティブ・ストーリー「ソニーミュージックグループのセキュリティイニシアチブ~1400を超えるWebサイトのセキュリティ確保」の内容をレポートする。
-
ソニー・ミュージックエンタテインメント デジタルトラスト本部 田代雄亮氏
親会社とセキュリティポリシーが合わない!?
田代氏はまず、ソニーグループのビジネス環境について説明した。ソニーグループにはゲームやセンシング・ソリューション、金融など、多種多様な事業セグメントがあり、同氏が所属するソニー・ミュージックエンタテインメントは音楽事業セグメントにあたる。
ソニー・ミュージックエンタテインメントが統括するソニーミュージックグループを見ると、グループ会社は約20社あり、それらが所持するWebサイトの数は合わせて1400以上。イベントごとに新たなサイトを立ち上げるため、年々右肩上がりに増えていく。これらのWebサイトのほとんどはAWSをプラットフォームとしている。田代氏によると、スピード感あるソリューションが求められるエンタメビジネスとクラウドサービスの相性は非常に良いそうだ。
一方、ソニーグループ自体はどうか。そもそもは、製造業を主事業として設立された企業だ。 セキュリティガバナンスも製造業をベースに考えるところから始まっており、「エンタメとは顧客も、守るべき情報も大きく異なる」と言う。
「そのため、ソニーミュージックグループ独自のセキュリティガバナンスが必要で、自分たちでやらざるを得なかったのです」(田代氏)
3本柱で進めたセキュリティ強化
では、田代氏らはセキュリティ強化のため、どのような取り組みを行ってきたのか。同氏が挙げたのは「SMEJ Guardrail」「SIEM」「Security Guideline」の3本柱である。
従来、ソニーミュージックグループでは各社・各部門においてセキュリティへの意識や対策にばらつきがあるため、一定のセキュリティを確保することが難しいという課題があった。そこでまず取り組んだのがSMEJ Guardrailだ。これは事故が起きたとしても大きな事故にならないように“ガードレール”をつくるイメージで、具体的には、「最初からセキュリティ対応済のクラウドサービスアカウントを事業部に渡す」ことだと田代氏は説明する。
