脱PPAP対策として選び抜きました。使い勝手の良さと本格的なSSO機能を評価しました。
経営方針に「高品質・Everyday Low Price」を掲げて、1都3県にディスカウント・スーパーマーケットを展開するオーケー株式会社。「シングルサインオン(以下、SSO)の本格導入」を進める中、取引先からの「脱PPAP対策」の要請を契機に、導入を決めたのがHENNGE Oneだった。同社では、HENNGE Oneを取り巻くセキュリティ全般でも対策の強化を進めるとともに、業務の実態に合ったDXを推進している。
— DXやセキュリティ対策に取り組むにあたって、貴社が直面していた課題を教えてください
DXというと、Airbnbのようなデジタルトランスフォーメーション(DX)こそが本道だとイメージされている方も多いのではないでしょうか。しかし、まずは自社の足りない部分を補うためのデジタル化を進めるという考え方をもとに取り組んでいる企業も多くあります。オーケーのDXの取り組みもまさにそうでした。「高品質・Everyday Low Price」の経営方針を維持・強化していくためには、戦略的にデータを活用し、業務を高度化していかなければなりません。そのためには、長年使い続けている基幹システムの保守や、業務で活用していたExcel帳票の保守、ユーザーリクエスト対応が急務で、セキュリティに関しては、しっかり取り組まなければならないのはわかっていたものの、当初は不十分なところがありました。
そうした折りに起こったのが、ある取引先へのサイバー攻撃事件です。システムが停止してしまい、注文をFAXで受け付けるなどの事態に陥られたのを目の当たりにして、「これは他人事ではない」と当社でも急激にセキュリティ対策への気運が高まりました。
— HENNGE Oneを導入した理由についてお聞かせください
典型的なサイバー攻撃の手法の一つに、添付ファイル付きの電子メールを装って侵入を試みる手法があります。これを受けて最近では安全なファイル送信のニーズが高まり、セキュリティ対策の一環で、Zip暗号化によるファイル送信を禁止(脱PPAP)する企業が増えていますが、まさに当社がHENNGE Oneを導入したきっかけもそれでした。もともと政府が脱PPAPを提唱し始めて、それが官公庁や金融機関に波及しました。当社のような食品を扱う業界にはそうすぐは来ないだろうと思っていましたが、取引先から「パスワード付きのZipファイルを受け付けられなくなりました。違う手段を考えていただけないしょうか」という相談が増え、急いで代替策を探すことになり、いくつか候補を挙げて検討しました。
HENNGE Oneを選んだのは、「日本の製品・サービスであるため、導入に安心があった」のと、「SSO機能を備えている」点を魅力に感じたからです。製品選定では、外資系ツールも比較検討しましたが、外資系ツールはユーザーに不親切で、サポートも不十分だったため、導入コストが高いと判断し、選択肢から外すことにしました。
また、以前から一部で使用していたSSOに関しても、機能を拡張したいと考えていました。それまではGoogleへのログインに使用していたSSOでカバーしていたのですが、今後、SSO連携するサービスを追加する予定だったため「脱PPAP対策を進める」対応をすれば、「SSOツールを本格展開したい」というニーズに応えられるHENNGE Oneはまさに最良の選択肢でした。
CMキャラクターのウルトラマンも心に響きました。脱PPAPやSSOの推進を支援してくれるお助けツールのキャラがウルトラマンなんて、ダジャレが効いていて面白い、と思いました。
— HENNGE Oneを取り巻くセキュリティ対策全般に関して、現在の取り組み状況はいかがでしょうか
セキュリティ対策への重要度、緊急度が急速に高まったものの、当初はどこから手をつけていいのかわからない状態でした。そこでまず現状の診断をしてみようと、セキュリティ診断サービスを受けたところ、想像以上に怖いスコアが出てしまい、これはまずいとセキュリティ対策全般について本格的な対応を進めました。
IT投資という観点でいうと、古いPCの一掃と、EDRツールの導入を行いました。また、従来は社外からVPNでアクセスしていましたがZscalerの方がやりたいことを安く実現できたため、意図せずゼロトラスト対応も進みました。
セキュリティツール導入にあたってはセキュリティポリシーの見直しも必要でした。ID管理も強化し、それぞれのIDはActive Directoryで集中管理するとともに、勤怠管理システムと連携させることで、退職者アカウントが不正に利用されるのを防いでいます。
ただ、ツールで武装しルールを強化しても、最近の標的型メールは非常に巧妙に仕掛けられており、侵入リスクはゼロにできません。そのため、全社員を対象としたセキュリティ勉強会を開催しました。セキュリティの専門家の話はなかなか興味を持って聞いてもらえないため、新入社員に運営を託したところ、女性らしい視点でトレーニング教材を作成してくれました。また、YouTubeでハッカーとディフェンダーの攻防をショートコント風に仕立てた海外の動画を見つけ、それを日本語に吹き替えて再生するなどしたところ、参加者の興味をひき、効果的な研修となりました。
このような勉強会を開く一方で、標的型メールの訓練ツールを導入し定期的にテストを繰り返しています。今では怪しいメールが来るたびに、従業員から「これは訓練のメールではないのか」と問い合わせが来るようになりました。
— 会社全体でDXの取り組み状況はいかがですか
DXへの取り組みは、ハードウェア、データ、人材という3つの領域について進めました。
まずハードウェアについては、PCを最新スペックにアップグレードするとともにサブモニターの配布などを進め作業環境の改善を図っています。また、店舗での情報アクセスとコミュニケーションを強化するためiPhoneやiPadの導入も進めています。
データ活用では、オンプレのDHWをBigQueryに置き換えるとともに、従来使用してきたデータ分析用のツールの代わりにDr.Sum + Datalizer for Excelを導入しました。
実は古い分析ツールが200個くらいあり、OSアップグレードの妨げになっていました。Dr.Sumの導入で、PCのスペックが上がるとともにデータ活用もレベルアップしました。
人材の観点では、他部署に修行に行き、業務だけでなくユーザーの気持ちを理解することを重視しています。またGrowthXというスマホ用のe-learningツールを導入してAIやマーケティングの勉強会を行っています。勉強会にはIT本部だけでなく、本社の関係各部署のメンバーに参加してもらい、月次で合同勉強会を開催しています。このような取り組みにより、ITリテラシーの向上や相互の業務理解が深まり、部門を超えて共通言語でコミュニケーションが取れるようになってきました。
このような取り組みを進めながらDXのベースとなる構造改革・組織改革を進めていきたいと思っています。