日本郵政グループは、全国約2万4000局の郵便局を持つ日本郵便、口座数約1億2000万口座のゆうちょ銀行、保有契約1500万件のかんぽ生命を傘下に持ち、日本最大級のネットワーク網で、郵便・物流、銀行、生命保険などのサービスを提供している。その巨大なサイバー空間のセキュリティを確保するために、徹底した入り口・出口・内部対策、境界型防御を実践する同社から学ぶべきことは多い。日本郵政 常務執行役 グループCISOの正村勉氏が、最新の取り組みを紹介する。

※本コンテンツは、2022年8月2日(火)に開催されたJBpress/JDIR主催「第1回サイバーセキュリティフォーラムDay2」の特別講演2「日本郵政グループのサイバー空間を守る」の内容を採録したものです。

日本郵政グループ統一のサイバーセキュリティ方針とガバナンスの考え方

 日本郵政グループ共通のセキュリティ目標は、「日本郵政グループ情報セキュリティ宣言」と「日本郵政グループサイバーセキュリティ経営宣言」という2つの指針にまとめられている。これに沿ってセキュリティを守る組織は、「3線防御」という仕組みにのっとって構成されている。この「3線」とは、COSO(コソ:Committee of Sponsoring Organizations of the Treadway Commission、米国トレッドウェイ委員会組織委員会)が定義する「内部統制の統合的フレームワーク」が示す3つのディフェンスラインだ。

 第1線は、現業または事業部門、第2線は、間接管理部門(情報セキュリティ部門)で第1線をモニタリングする。さらに第3線の内部監査部門が、監査・助言および報告を行うというかたちだ。そして日本郵政ではさらに、グループ全体を統括する「2.5線」を置く。

「持ち株会社である日本郵政の中に、グループサイバーセキュリティ室を置いて、グループ4社の2線を束ねて横串に刺して中身を見るということを行っています。私たちはこれを2.5線と呼んでいます」と、日本郵政 常務執行役 グループCISOの正村勉氏は説明する。2.5線の上に4社のCIO、CISOが参画するグループサイバーセキュリティ委員会があり、このモニタリングした内容を各社でシェアして、より良いセキュリティのあり方を検討するのだ。

 ここで重要になるのが、現状を把握するためのモニタリングツールだ。日本郵政では、金融機関で広く利用されているFFIEC(Federal Financial Institutions Examination Council、米国連邦金融機関検査協議会)のCAT(Cybersecurity Assessment Tool)、セキュリティマネジメントシステムの世界標準規格であるISO27001、同じくリスク管理のISO27005など、複数のフレームワークからガバナンスに関連する項目を抽出し、2線でやるべきことを定義。9カテゴリ、91の必須項目と46の推奨項目からなる、日本郵政グループ独自のフレームワークを策定している。

「特に大事なのは1線、つまり現場のコントロールではなく、2線がきちんとマネジメントできているかを判断することです。その観点で洗い出した137の各項目を毎年評価し、報告して向上を目指すという活動をしています。またモニタリングツールの陳腐化を防ぐために、2年に1回程度、専門家による第三者チェックも行っています」