本サイトは、快適にご利用いただくためにクッキー(Cookie)を使用しております。
Cookieの使用に同意いただける場合は「同意する」ボタンを押してください。
なお本サイトのCookie使用については、「個人情報保護方針」をご覧ください。
株式会社セブン&アイ・ホールディングス様xMBSD[対談]
株式会社セブン&アイ・ホールディングス グループDX本部 グループセキュリティ統括部 サービスセキュリティ推進Unit シニアオフィサー 鈴木恭敬氏
三井物産セキュアディレクション株式会社 執行役員 田中良明
三井物産セキュアディレクション株式会社 コンサルティングサービス事業第2本部 コンサルティング事業部 部長 武藤剛
三井物産セキュアディレクション株式会社 コンサルティングサービス事業第2本部 コンサルティング事業部 副部長 中山幹夫
(インタビューを実施した2025年9月11日時点)
株式会社セブン&アイ・ホールディングスは、過去に発生したインシデントの経験を踏まえ、インシデントの未然防止を主な役割とする組織を設置しました。リスクマネジメント領域の専門家としてグループ全体のセキュリティ戦略を構築し、発生しうるリスクを想像・評価し、適切に備え、対応するためのインテリジェンスをグループ内に提供することで、グループの成長戦略を支え、その実現に貢献することをミッションとしています。
サービスやシステムの企画・設計段階からセキュリティ面を評価するセキュリティレビューを実施することで、手戻りを最小限にしたセキュリティ対策のアドバイスや、リリース前のセキュリティ診断要否を判断するプロセスを整備し、事業会社に寄り添った業務遂行を心がけています。
セブン&アイ・ホールディングスのサービスセキュリティ推進Unitでシニアオフィサーを務める鈴木恭敬氏と、約5年にわたりセキュリティレビューや脆弱性診断などを、案件開始時から支援してきたMBSDの田中良明と武藤剛、そして現場のメンバーからスタートし、現在はプロジェクトをとりまとめる中山幹夫が一堂に会し、どのようにシフトレフトを推進したか語り合いました。
サービスの企画・設計段階からセキュリティレビューを実施することで問題点の早期発見・改善によるコストとリスクの削減
Q:サービスセキュリティ推進Unitの役割を教えてください
鈴木:当社グループには、様々な事業形態および組織が存在します。各組織で実施するセキュリティ対策に加え、ホールディングとして第2線の立場で、全体を俯瞰してインシデントの未然防止の活動を行う組織が必要だと考えました。
そこで、以前の組織で実施していたセキュリティレビューやセキュリティ診断、ポイントサービス等に関する不正対策などの施策を引き継ぎ、2023年4月にサービスセキュリティ推進Unitを立ち上げ、サービスに関するセキュリティ対策全般を担当しています。
また、サイバー攻撃手法の変化に対応するため、新規サービスだけでなく既存サービスにおけるセキュリティ対策の再評価・強化に向けた活動にも取り組んでいます。
Q:MBSDの支援は、どのように始まったのでしょうか
田中:鈴木さんが、前工程でリスクヘッジするセキュリティレビューの仕組みと体制を作る時に、複数ベンダーに支援依頼された内の一つがMBSDでした。お話を伺うと素晴らしい取り組みであり、是非ご支援させていただきたく提案したのが始まりでした。
鈴木:当時、複数のベンダーに相談しましたが、このような取り組みを支援できる会社は非常に少なく「そんなの無理ですよ」と断られることもありました。セキュリティの知見や業務経験がありレビュー出来る社員が不足していたため、ご支援いただけて大変助かりました。
田中:今でこそ、企画・設計段階からセキュリティ評価した方がコストパフォーマンスに優れ、セキュリティリスクも把握できることから、シフトレフトの考え方が当たり前のように取り入れられています。
当時は、その有効性を理解しても体制を根付かせることが出来た企業は少なかったですが、本ご支援では仕組みと体制作りから一緒に挑戦し、実現に成功したことは非常に感慨深いです。
Q:リモート業務に関するエピソードをお聞かせください
田中:MBSDの支援は2020年4月から開始しましたが、出社し始めて数日後に緊急事態宣言が発出され、その後、今日に至るまでリモートでご支援しています。
武藤:当初はリモート業務に慣れずWeb会議に手間取りました。リモート業務になり良かったことは、会議室の空きを気にせず会議設定ができるので、立ち上げ初期は週に何度もWeb会議を実施しました。
鈴木:私が入社したのは2019年10月でしたが、コロナ禍以前は各社から持ち込まれるセキュリティレビューの会議が次から次へと入っており、ようやく席に戻ると新たにまた行列ができているという状況でした。その後、リモート業務が主となり、会議移動の時間が必要なくなり、効率的に業務を回せるようになりました。
セキュリティレビューのルール・体制を創ることによりセキュリティ品質の底上げと強化を実現
Q:セキュリティレビューで工夫したことを教えてください
田中:コンサルティングと言うと、偉そうなアドバイスをイメージするかもしれませんが、MBSDは、お客様に寄り添い一緒に伴走することを大切にしています。「これはやってはいけません」と言うだけなら簡単ですが、利便性を損なえば事業が動きません。ルールは守らなければなりませんが、事業の特性を理解し、意識を合わせるよう心がけました。
また、参画当初はシステム担当者への連携方法、回答の粒度や深度を合わせることに苦労しました。セキュリティ対策はコスト、利便性や応答速度など、さまざまな要素のバランスが重要です。それらを考慮したレビュー基準の作成は苦労しました。
Q:スケジュールで工夫したことを教えてください
武藤:MBSDは、責任感を持ち実直に業務を取り組むこと、特に期限には最大限の注意を払っています。一定の基準を満たすプロジェクトには、セキュリティレビューが義務付けられているため、なるべく早く完了させるように効率的で柔軟な対応を心がけています。
中山:セキュリティレビューに必要な期間をルールで定めても、事業都合で十分なレビュー期間が確保できない場合があります。その場合は、企画設計段階のレビュー依頼ができなくても、その後の構築段階と同時並行でレビューする場合もあります。
事前にレビューするルールを守ることは大事なことですが、スケジュールに間に合わないから、セキュリティレビューを申請しないという選択は最も避けなければいけないことです。セキュリティレビューの必要性を事業部や事業会社が理解し、スケジュールが間に合わないことも含めて申請できている現状は、理想的な状況にあると思います。
鈴木:最近ではMBSDの支援もありセキュリティレビューが浸透し、あらかじめセキュリティレビューをスケジュールに組めているプロジェクトがほとんどです。
Q:品質について工夫したことを教えてください
武藤:チェックリストベースのセキュリティレビューは、似たような質疑応答が多いため、テンプレート化してセキュリティレビュー品質の底上げを図りました。また、項目によってはチェックリストの設問自体を見直すことにより想定する質疑応答数を減らす工夫もしました。
鈴木:チェックリストを利用したレビューを重ねていくうちに「回答がAなら追加質問Bが必要」のようなパターンが見えてきました。それらをテンプレート化したことで、チェックリストの品質向上および業務効率化といった効果が得られています。
Q:セキュリティレビューでAIを活用していますか
鈴木:テンプレート化可能な作業の自動化に向けて、チェックリストベースのセキュリティレビューを生成AIで質疑応答させる実証実験をしましたが、実現には至っていません。
生成AIは進化速度が早いため、もう一度チャレンジしたいですが、特定のバージョンの生成AIに特化して学習させ、プロンプトを最適化してもバージョンが変わるとやり直しになると想像しています。そのコストと、今のセキュリティレビューにかけている工数を冷静に比較する必要はありますが、何らかの形で活用すべきと考えています。
田中:多種多様な生成AIが登場する中で最適解はわかりませんが、今後も試行錯誤を重ねてAIを活用する必要があると考えます。
中山:MBSDでは、既にAIを利用したセキュリティサービスを実用化していますが、セキュリティレビューのように書面を読み込み、ベースラインと照らし合わせ、時には行間を読みながら判断する作業は、まだ生成AIには難しいかもしれません。
鈴木:SOCのログ監視のようにルールが定型化できる場合はAIに任せやすいと思いますが、業務内容や部署の事情のような不確実性の多い領域は、今のAIに任せると回答が安定しないと思います。
武藤:担当者によりセキュリティの知見が大きく異なること、事業会社やシステム特性を考慮したシステム制御によるセキュリティ対策のハードルに大きくばらつきがあることから、画一的な自動化できるセキュリティレビューは一部分ですが、ナレッジが蓄積したものから徐々にテンプレート化や自動化にチャレンジし続けることが重要だと考えます。
鈴木:全ての工程を自動化できずとも、既に取り組んでいただいているテンプレート化などを継続することにより、少しずつ前進したく今後もご協力をお願いします。
AI系のサービスは積極的に活用したいと考えています。例えば、適切なセキュリティレビューを実施するために必要な成長を支援するOJT AIのようなものがあれば良いですね。
やりがいと今後の展望
Q:どのようなところにやりがいを感じていますか
田中:新しい施策にチャレンジされている中でセキュリティレビューを実施しており、IT利活用の最先端に関わることができるため、MBSDの中でも魅力的な現場の1つです。
中山:世の中で実用化されていないサービスやシステムをレビューできることは、大きなモチベーションになっています。レビューの数ヶ月後に店舗に足を運び、自分が関わったサービスを目にすることもあり、心の中で密かに嬉しさを感じることもあります。
鈴木:店舗内で利用するIoT機器もそうですが、当社の事業はサプライチェーンに大きく依存しています。もし取引先のシステムが止まってしまえば、商品供給が止まってしまう可能性もあるため、サプライチェーンのセキュリティ管理や事業継続に、どう取り組むべきかという課題を持っています。
Q:最後に本施策について一言どうぞ
田中:セキュリティ対策は、日々歩みを止めずに進み続けることが重要です。双方で切磋琢磨しチャレンジ領域に取り組んでいきたいです。MBSDは変化する脅威や技術、事業から求められるレベルなどを踏まえて、ご支援を続けていきます。
武藤:セキュリティコンサルティングは、型にはまった作業をするだけのサービスでは長続きしません。伴走していく関係性が非常に重要だと考えます。
中山:セキュリティレビュー依頼漏れを呼び掛けずとも、自発的な連絡があることは他社に比べて、類を見ない非常に良い状況だと思います。
鈴木:トップダウンでセキュリティの重要性が呼びかけられたこともあり、文化と仕組みがうまく嚙み合ったのだと思います。何よりMBSDと一緒にセキュリティ対策を実施できたことにより、近年、大きなインシデントは起こっていないことが大きな成果だと思っています。今後とも、ご支援よろしくお願いします。
