35期連続増収増益を続けるヤオコーのDX戦略とサイバーセキュリティ戦略とは?
関東1都6県に店舗189店を構えるスーパー「株式会社ヤオコー」。近年は店舗オペレーションの生産性向上・お客様サービス向上のために、クラウドをフル活用したDX戦略を進めています。同社の考えるサイバーセキュリティ戦略についてお聞きしました。
2020年に創業130周年を迎え、本社を構える埼玉県を中心に、関東1都6県に店舗189店※を構える株式会社ヤオコー。お客様サービスの向上・店舗オペレーション改善のため、クラウドをフル活用しているDX戦略をリードする、同社デジタル統括部長兼プロダクト開発担当部長の小笠原 暁史(おがさわら・さとし)氏、同部IT基盤 ネットワーク/セキュリティマネージャー藤森 秀雄(ふじもり・ひでお)氏、同部IT基盤セキュリティ担当 内田 晶子(うちだ・しょうこ)氏の3名に、DX戦略を支えるサイバーサイバーセキュリティ戦略をお聞きしました。
※2024年4月1日現在。
常に新しいことに挑戦するために“無駄”を省く
同社のDX戦略※は「無くす」「減らす」をキーワードにしていますが、その目的は単なる省力化にとどまりません。無駄を省いたことで生まれたリソースを事業拡大に繋がる新しい取り組みに振り向けるということでもあります。
新しい取り組みの一例として、EC・ネットスーパー事業の拡大に向けた基盤整備、ロイヤルカスタマー育成戦略の一環であるキャッシュレスサービスヤオコーPAY」の開発・提供など消費者に直接提供するサービスのほか、フルセルフレジの展開・需要予測型AIによる自動発注・店舗業務支援モバイルアプリなど、店舗オペレーションの省力化を支えるシステム開発などがあり、デジタル統括部がこれらの対応を一手に引き受けています。
※同社の統合報告書では「デジタル・IT化」と表現。
グラフ:ヤオコーの営業利益推移(百万円)
「元来、ヤオコーは小売業の中では営業利益率が高い。店舗での工夫でできる生産性向上はすでにやり切った状況。経営層からもデジタル変革による、より一層の省力化や価値創造が期待されている」と小笠原氏は語ります。デジタル変革に先立ち、同社ではIT部門を再編成し、新たにプロダクト開発担当部門を設立、売上分析や経営判断に使用するDWH(データウェアハウス)・ダッシュボード、インターフェース基盤や店舗オペレーション支援のためのモバイルアプリ、ネットスーパー・ECなど、柔軟性とスピード感が求められるシステムの内製化を重点的に行っています。
「近年IT分野に限らずさまざまな分野で人材不足が叫ばれているが、常に“新しいこと”に挑戦する場を設ければ技術力のあるエンジニアは集まってくる。加えてクラウド活用などを中心に、新しいテクノロジーやSaaSソリューションを導入し、うまく活用していくことで結果的にコストを抑えられる場合も多く、今がIT投資の好機と考えている」と、小笠原氏は語ります。
図:ヤオコーの業績推移と店舗数推移(「統合報告書2023」より)
こうした取り組みの中で、消費者の個人情報はもちろん、自社の事業にかかわる機密情報を守るためのセキュリティ戦略もデジタル変革の重要な一角とヤオコーでは考えています。
業務特性上、業務用のPCを持たない従業員も多く、常にセキュリティを意識して業務にあたっているとは限りません。一人ひとりのセキュリティ意識に頼るより、「いかに、個人の意識に頼らずにセキュリティを担保するのかが重要」と小笠原氏は強調します。2022年にセキュリティ戦略を計画した当初は、リスク管理としてのセキュリティ対策の重要性は経営層に理解されていたもの、どう実装するのかというノウハウが社内で不足していました。小笠原氏は後から入社した藤森氏と共に、セキュリティポリシーの策定やセキュリティ製品の棚卸、また対策の不足部分の把握をしながら、一からセキュリティ戦略を作り上げていったと言います。
今、同社セキュリティ対策の最前線を支えるのが、デジタル統括部IT基盤でセキュリティ業務全般をリードする藤森氏、内田氏です。各種セキュリティポリシーの整備を進めた藤森氏は「“内部統制”、“コンプライアンス”、“セキュリティ”は同列と考えている。事業特性や組織構造で対応できる範囲・方法に差が生じるとは思うが、根本的にやるべきことはどの組織でも変わらないはず」と語ります。
同社では、現在セキュリティの領域を「情報セキュリティ」、「サイバーセキュリティ」、「ネットワークセキュリティ」の3つに分けて考えています。各種ガイドラインの整備や教育などを行う情報セキュリティの分野はある程度取り組みが進んでおり、今後は「サイバーセキュリティ」や「ネットワークセキュリティ」により注力していく方向性です。
サイバーセキュリティの強化と省力化の両立
近年の様々なサイバー攻撃による被害なども背景に、喫緊のサイバーセキュリティ対策としてEDRを導入した同社でしたが、同時に2つの大きな悩みも抱えていました。1つは、DXの加速に伴うシステムの拡大とともに懸念されるアタックサーフェスの管理(ASM:Attack Surface Management)。もう1つは、セキュリティ強化にあたって導入した複数のセキュリティソリューションを、リソースが限られたセキュリティチームでどう効率的に運用するのか?です。
参考記事:
・リスクベースのアタックサーフェス管理の効果と実践方法
・セキュリティエンジニア8人分の価値を発揮!?「XDR」のコストメリット
アタックサーフェスの管理については、特にVPN機器の脆弱性を突かれて侵入される他社の被害事例が連日報道されていることもあり、協力会社など多様なステークホルダーの出入りが多い同社のネットワークに対するセキュリティ強化の必要性を強く感じていました。
セキュリティチームのリソースの課題については、「限られた人数で、社内の膨大なPC/サーバを管理するのは難しいと思っていた。どうソリューションで統合管理するのかが重要だと考え情報収集している最中に知ったのが、統合サイバーセキュリティプラットフォームと銘打っていた『Trend Vision One』だった」(藤森氏)。
もともと同社では、トレンドマイクロのソリューションを一部の環境に導入していましたが、そこだけでも環境ごとに管理画面が分かれる運用になっていました。
Trend Vision Oneは、オンプレミスとクラウド環境の混在、あるいはネットワークとエンドポイントのように異なるセキュリティレイヤーにまたがって保護する場合であってもセキュリティ製品の管理画面を1つに統合できます。そういった点に加えて、ASMを実現する新しい機能の拡張も期待できたと言います。
これらの点に魅力を感じて体験版を試したところ、運用を統合することのメリットはもちろん、運用時の操作も「直感的でわかりやすい」と感じたのです。
現在実際にTrend Vision Oneを運用している内田氏も、「直感的に操作方法がわかりやすい。マニュアル読んで覚えなくてはならない項目も少なくて済み、画面のガイドも何をしたらよいのか端的に説明されている」と付け加えます。
前述したDXの加速についていくためには、セキュリティも常にアップデート可能な体制をとらなくてはなりません。先に述べたASMに加え、CSPM(Cloud Security Posture Management)※など、同社が今後重要視しているセキュリティ分野の機能強化を常に継続してくれるトレンドマイクロは、同社にとって最適なセキュリティパートナーでした。
※CSPM:クラウドセキュリティの状態管理を行う機能・ソリューション。
生成AIの対応機能などトレンドマイクロの新技術への感度の高さに加え、脅威インテリジェンスの豊富さを評価した上で、「ソリューション導入にあたって複数のセキュリティソリューションの比較検討はもちろんしたが、自社製品の良いところ・改善すべき点についても真摯に話して頂いたトレンドマイクロに、信頼性が高まったのも大きかった」(藤森氏)と言います。
同社では、実際にTrend Vision Oneの運用を開始して数か月たち、その効果も感じています。現在同社はトレンドマイクロのMDR(EDRのマネージドサービス)であるTrend Service One Completeを活用してセキュリティアラートを脅威かどうかの見極めを行っています。内田氏によると、Trend Vision Oneの利用とMDRサービスの併用により、これまで半年に十数件、1件あたり30分~2時間ほどかかっていたセキュリティアラートの調査の時間が、ほとんどかからなくなったとのこと。
ヤオコーのサイバーセキュリティ戦略の今後の展望とは?
事業とDXの拡大に柔軟に対応する同社のサイバーセキュリティ戦略ですが、今後はどのような展望を描いているのでしょうか?
生成AIの登場で、サイバー攻撃の複雑さや高度さはより高まっていくとことが予想され、常にアップデートをし続けられるセキュリティ体制は継続していくとする同社。未然により多くの脅威の芽を摘み取るため、内部不正なども含めた、社内システムのログをTrend Vision Oneや他社製品と組み合わせてSOAR(Security Orchestration, Automation and Response)で分析し、Threat Huntingの体制強化を目指しています。
加えて、同社のDX戦略の起爆剤でもあるクラウドネイティブ環境をいかに守るのかも重要なトピックです。具体的には、SASE(Secure Access Service Edge)やSDP(Software Defined Perimeter)によるアクセス制御を視野に入れており、それに伴うモバイル端末の利用用途の広がりに合わせたモバイルセキュリティの強化も同時に進めようとしています。
クラウドネイティブをキーワードに、DXをさらに加速させるヤオコー。それに追随する柔軟なサイバーセキュリティ戦略を講じる同社の姿勢は、クラウド活用を考えるすべての組織の参考となりそうです。
Security GO新着記事
PCI DSSとは? クレジット産業向けのデータセキュリティ基準を解説
(2024年10月11日)
委託先へのサイバー攻撃、どう防ぐ
(2024年10月9日)
能動的サイバー防御とは?日本でも必要性が高まる理由を解説
(2024年10月9日)