巨大組織・イオンCISOに学ぶセキュリティ戦略術 “ルールと実務のギャップ”から目を逸らさない！ ＜経営と現場をつなぐ｢現実解｣とは＞　

ほかにも、セキュリティの相談に対応したり、定期的に実施しているセキュリティのアセスメントの結果に対して各事業会社を回って対策状況を確認したりしています。心がけているのは、セキュリティのガバナンスを上げるためにグループの各事業会社と改善案など出し惜しむことなくデメリット含め活発に情報交換をすることですね。

イオン株式会社CISO TIC 吉田 俊介（よしだ・しゅんすけ）／大学卒業後、日本電信電話入社。フレッツ関連のシステムの研究開発や新サービス開発・企画等に従事。リクルートテクノロジーズにて、グループ全社向けのセキュリティ施策の企画、導入に従事。パーソルホールディングス株式会社にて、責任者としてグループ全社向けのセキュリティ施策の企画、導入やセキュリティガバナンスを推進、社内NWのゼロトラスト化の推進に従事。現職は、イオン株式会社にて、CISOとしてグループのITマネジメント・セキュリティのガバナンスを推進。IT機能会社であるイオンスマートテクノロジーにて、グループ共通のクラウド、ネットワーク、PC等のITインフラを担当（写真：本人提供）

――イオン株式会社がイオングループ全体のセキュリティを見ているのですか。

イオン株式会社にセキュリティの技術者が多く所属する組織があり、そこでグループ全体のセキュリティのルール作成やアセスメントの実施、それからインシデント発生時の対応支援も行います。ただ、実際のセキュリティ対策は各社に任せていますし、私が兼務しているイオンスマートテクノロジーはITの機能会社なので、そこでもセキュリティ対策を担当しています。また、例えばSOCの運用やセキュリティ対策のツールの導入もそちらで行います。

ただ、イオングループはPCやネットワーク、クラウド、セキュリティなどがグループ全体で統一されておらず、それぞれ別になっているのでイオンからは把握できない状態にあります。それでも全体のルールはイオン株式会社で策定しているので、セキュリティ対策状況のアセスメントはイオン株式会社が実施しています。

――グループ従業員数は約62万人（2025年2月末現在）と膨大な数に上りますが、セキュリティ教育や啓発はどのようにしていますか。

メール訓練や動画を使ったセキュリティ教育は定期的に実施しています。また、管理職と経営層にはセキュリティの意義も理解してもらう必要があるので、別の教育内容を用意しています。グループ合同・各社のサイバーセキュリティ訓練のどちらも実施しています。合同訓練には千葉県警の方も参加いただくなど、有意義なものになるよう努めています。

“ルール”と“実務”のギャップを埋める2つの鍵

――吉田さんがCISOに就任したとき、まずは何から着手しましたか。

セキュリティは業種や業態によってかなり違います。そのため、まずはセキュリティ対策とその運用、そしてガバナンスの現状の把握から始めました。イオンは非常に大きいグループなので、セキュリティルールの遵守を完璧にするのは難しく、できていないこともそれなりにあるだろうと思ったためです。