「健康総合企業のタニタ」に聞く、サイバーリスク対応のツボ

「お母さん、おかわり！」―。今日の夕飯も、小学生と幼稚園生の息子たちは、大好きな唐揚げを目いっぱい頬張っています。つられて、40代となった自分もおかわりしようとすると、お上の声がー「ちょっと食べ過ぎじゃないの？」。
増加傾向にあるエンゲル係数と体重を尻目に、ため息とともに乗る足元には「タニタ」の体重計があります。我が家の健康と成長を見守ってくれている大切な「はかり」です。

どの家庭にも1つはあるであろう「タニタ」の体重計やクッキングスケール。これらの製造と販売を手掛ける株式会社タニタ（以下、タニタ）は1944年の設立以来、様々な技術で健康を「はかる」ことを通じて、人々の健康寿命の維持・向上を支えてきました。「変化を是とし、変化を讃え主導する団体であり続けること」を経営基本方針の1つに掲げる同社。今回は変化を恐れない同社のデジタル戦略と、それを支えるサイバーセキュリティの取り組みについて、同社情報システム部課長代理宮澤裕之（みやざわ・ひろゆき）氏にお話を伺いました。

「Healthy Habits（健康習慣）」の継続をサポートするタニタ

「人生100年時代」を支える企業

1944年の設立以来、人々の健康を「はかる」技術で支えてきたタニタ。体重計や体組成計、クッキングスケール、温湿度計などが代表的な製品です。

2000年代に入り、「健康をはかる」だけでなく「健康をつくる」分野にも事業を拡大。2012年に「丸の内タニタ食堂」をオープン。2014年には企業や自治体向けの集団健康づくりパッケージ「タニタ健康プログラム」の提供を開始するなど、「Healthy Habits（健康習慣）」の継続をサポートしています。

どれほどIT技術が進化しても、それを利用する人々の健康の大切さは変わりません。むしろ、スマホの使い過ぎやPCを使った業務過多など、IT技術が進化したからこそ損なわれる健康もあるでしょう。「人生100年時代」を迎えた現在、人々の健康を支えるタニタのような存在は、今後ますます重要になっていくでしょう。

「変化を是とする」集団

タニタの経営基本方針は、「変化を是とし、変化を讃え主導する集団であり続ける」ことを筆頭に、「人々が幸せを感じられるための健康」を追求する考え方が貫かれています。そのためには、独創的な「アイディア・システム・技術」を使い、新しいサービス・価値を提供することも重視されています。

「変化を是とする」同社のデジタル戦略とはどのようなものか？情報システム部の宮澤氏に、お話をお聞きしました。

タニタのデジタル戦略とサイバーセキュリティの取り組み

持たざるデジタル活用

「タニタの社風はデジタル技術をいろいろ使ってみよう、という社風」―。取材の冒頭で宮澤氏はこう語りました。「業務インフラで言うならば、SaaSの推進が推奨されている。『モノを持っていない』ということは、いろいろ触ってみて合わなければやめることもできるからだ」とも続けました。

SaaSやPaaSといった様々なクラウドサービスを導入している同社。新規の業務インフラやツールを変更すると、少なからず事業部門から業務効率低下などの懸念の声が上がるのが一般的ですが、同社はそうではありません。むしろ、事業部門からのニーズに応じて新しいサービスを導入することもあり、「今後はフルクラウドに移行したい」と語りました。ITにおいても「変化を是とする」組織文化が根差しているように思われました。

「クラウドサービスを主軸とした業務インフラ構築・運用の社内ニーズの高まりは、『コロナ禍』でリモートワークになったことで顕著になった。ただ、そうなってくるとサイバーリスクの様相も変わってくるもの。ただ、リスクがあるから新しい技術を導入しないのではなく、『やりたいことをやるという前提でどう守るか』という考え方が大事だと思う」（宮澤氏）。

サイバーリスクも変化

現在、オフィスや工場も含め国内の従業員が使用する約700台のPCや、クラウドや一部のオンプレサーバを管理している同社の情報システム部。これまでの、「オンプレ」のサーバとPCを守るというミッションは、クラウドとリモートワーク下のPCも含めた情報資産を守るというミッションに変化しました。

「経産省のアタックサーフェス管理のガイドラインが出る前より、自組織の公開資産にリスクはないのか？という点は気になっていたのでプロアクティブに情報は集めていた」（宮澤氏）。また、他社がランサムウェア攻撃の被害に遭う事例を多数目にしたこともあり、エンドポイントのセキュリティ強化をどのように図るかも喫緊の課題となってきました。

（関連記事）経済産業省「ASM（Attack Surface Management）導入ガイダンス」を解説～ASMという組織のセキュリティ強化方法のススメ

EDR＋MDRでエンドポイント・クラウド防御を強化

エンドポイントのセキュリティ強化に当たっては、EPP（Endpoint Protection Platform）はすでに導入していたものの、万が一の侵入への対処のため、EDR（Endpoint Detection and Response）の導入は必須という結論に至りました。「他社がEDRの導入を進めているということも聞いており、EDRの導入は自然と結論が見えていた。加えて、他社のインシデント事例を気にしていた上層部から、『業務継続のリスクになりそうな事象をいち早く検知・防御する体制を整えるべし』という指示もあった」と振り返る宮澤氏。

（関連記事）EPP・EDR・XDRの違いを理解する　～サイバーセキュリティの原点回帰～

ただ、EDR導入に当たっては、「自組織の少ないセキュリティ人員で、EDRが挙げるアラートを適切に対処・運用することは難しい」と感じていました。タニタが相談した日本事務器株式会社（以下、NJC）の担当者がそこで提案したのがEDRの機能に加え、EDRの運用サービスであるMDR（Managed Detection and Response）がセットになったセキュリティサービス「ウイルスバスタービジネスセキュリティーサービスあんしんプラスManaged EDR Option」でした。

「MDRがついているセキュリティソリューションは必須と感じていたので、タイミングが良かった。また、当社の場合、工場の端末やオンプレサーバに加えて、クラウド上にも各種サーバがある。EDRのメーカーによってはオンプレ環境しか守れないものもあり、クラウドとオンプレの『ハイブリッド環境』を保護できることも、当社の事情にマッチしていた」（宮澤氏）。

アタックサーフェスの可視化・優先度付け・対処の仕組みを実現

もう一方の懸念であった自組織の公開資産、つまりインターネットに面した情報資産（公開されているサーバや複数のドメイン）のリスク管理については、「把握・管理し切れていないところがあった」（宮澤氏）とのこと。

また、同時にエンドポイントの脆弱性についても、端末上の資産管理ソフトではアプリケーションの脆弱性の有無は分からないことが多く（Windows Updateまで）、「特に、Chrome・EdgeといったWebブラウザやMicrosoft Officeや自社が認めているフリーソフト、生成AIは企業内で活用されている範囲も広いので気になっていた」と宮澤氏は語ります。

NJCがそこで提案したのが、TrendAIのサービスプロバイダ向けセキュリティサービス提供支援プラットフォーム「Trend Vision One for Service Providers」をベースとした、セキュリティサービス「CREM（Cyber Risk Exposure Management）あんしんプラス」でした。同サービスは、サイバー攻撃による侵害やインシデントとして脅威が顕在化する前に、顧客環境の潜在的なリスクを特定し、プロアクティブにリスク軽減対応につなげることができるASM(Attack Surface Management)の機能を提供しています。

実際にタニタで同サービスを検証したところ、この効果は目に見えて分かりやすかったと言います。「まず、脆弱性の有無だけでなく、その危険度を踏まえて、情報資産ごとのリスクが数値化されるところが良い。対処すべき優先度の高い情報資産を分かりやすく示してくれる」（宮澤氏）。こうしたASMツールは、一定間隔でその時点でのスナップショットを撮るサービスもありますが、同サービスではリアルタイムに近い状況を把握できるのも良い、とのこと。
特にサイバーリスクのスコアはセキュリティ専門企業が分析して算出している数値のため、他部門などにも説明しやすく協力を得やすいというメリットもあると言います。

また、エンドポイントの脆弱性については、懸念していた端末上のアプリケーションの脆弱性の有無についても把握できるようになり、「見えなかったものが見えるようになった」ことで安心感が増した、と言います。

画面：Cyber Risk Exposure Managementのダッシュボード画面例（※実際の顧客環境のものではありません）

経営層レベルにまで根付くタニタのセキュリティ意識

サイバーセキュリティ強化のきっかけ

今回、検討の結果2つのNJCが提供するセキュリティサービスを導入したタニタ。宮澤氏は同社のセキュリティ意識に関する興味深い話をしてくれました。

「今回の案件については、NJCからタイミングよく提案をいただいた、ということもあったが、サイバーセキュリティ強化のきっかけとしては『経営部門』からの後押しも大きかった」（宮澤氏）。
前述した通り、他社のランサムウェア攻撃の被害事例を経営層が気にしていたということももちろんありますが、一過性のものではなく、常日頃からサイバーセキュリティの話題は経営層からも話があるというのです。

「当社の社長をはじめ、経営層にはIT知識やセキュリティリテラシーが高い人が多い。新しい技術を率先して試そうという姿勢の傍ら、新技術導入の際には必ずセキュリティ面での懸念などが経営層から出てくる。そのためサイバーセキュリティ施策の導入は、現場としてはやりやすい」（宮澤氏）。

こうした同社のセキュリティ意識の高さは、セキュリティソリューションの導入の際にだけではなく、社内で利用するSaaSのセキュリティチェックシートの開発・活用、「ヒト」を守ることに焦点を当てた年1回の情報セキュリティ教育に多くの従業員が積極的に参加するところからも伺えます。

今後の取り組み

今回のソリューション導入で、サイバーセキュリティレベルが強化されたタニタですが、次なる施策もすでに検討を始めています。

長期的に同社がサイバーセキュリティで目指しているのは、「ゼロトラスト」アプローチによるセキュリティレベルの向上です。「ゼロトラストは、コロナ禍になってから、当社のサイバーセキュリティの大きな方向性となっている。今回導入したEDRはその一環」と語る宮澤氏。

先に挙げたEDRの導入以外にも、システム面においては、ゼロトラストアーキテクチャの実現に向けた継続的なアップデートを今後も進めていく方針です。

宮澤氏が今後さらに注力していきたいと語るのは「人」のアップデートです。「システム面の対策は今回の導入で強固な基盤ができました。今後は“人”にフォーカスし、標的型攻撃メール訓練やeラーニングなどを活用して、従業員のセキュリティリテラシーを向上させる教育に力を入れていきたいと考えています」（宮澤氏）。

「今後はNJCの『CREMあんしんプラス』と他のセキュリティサービスの連携を期待したい。NJCとトレンドマイクロには、サイバーセキュリティの施策ではとても頼りにしている」と宮澤氏はコメントし、取材を締めくくりました。

終わりに

今回の取材で感じたのは、タニタの自然体とも言えるような湧き上がるセキュリティ意識の高さでした。一般的な組織では、現場から経営層にサイバーセキュリティ強化策を上申し、決裁を仰ぐことが普通でしょう。その際、「どのように経営層にセキュリティ強化の必要性を納得してもらうか」という話もよく聞きます。こうしたストーリーは、当メディアでも取り扱ったことがありますが、タニタのセキュリティ意識はそれとは異なる少し特異なものに映りました。

宮澤氏は、「（自分が入社した）最初からこうだった」と笑いながらお話をされていましたが、「変化を是とする」、「独創的な『アイディア・システム・技術』を積極的に活用する」同社の姿勢によって繰り返された試行錯誤が、「懸念しておくべきリスク」を把握しようとする文化を磨いたのかもしれません。