サイバーセキュリティで「最も成功した企業」は何が優れているのか

Walmartのサイバーセキュリティ体制は他社にまねのできないレベルかもしれない。情報はあまり出てこない同社セキュリティ部門の様子を取材した。

[Naomi Eide，Cybersecurity Dive]

　巨大な小売企業WalmartはDX（デジタルトランスフォーメーション）の成功事例としてよく取り上げられるが、セキュリティ施策についても同様に高く評価されている。同社がアーカンソー州ベントンビルにあるテクノロジー部門に少数のジャーナリストを招待してセキュリティの取り組みを説明した。何が優れているのだろうか。

　Walmartのサイバーセキュリティの取り組みを取材した結果分かったことは、「企業がセキュリティを維持するためにどのような努力を払わなければならないのかということだ」と取材に参加した記者は語った。

Walmartのセキュリティとは

　Walmartは「世界で最も信頼される小売業者」になることを目指していると、同社のグレッグ・シェイファー氏（法務担当役員）は語った。これはどのような意味なのだろうか。

　同社のサイバーセキュリティ担当最高顧問兼デジタルトラストコンプライアンス担当バイスプレジデントのシェイファー氏と、シニアバイスプレジデント兼CISO（最高情報セキュリティ責任者）のジェリー・ガイズラー氏が、Walmartにおける信頼とは何かについて、フォーマルな炉辺談話に臨んだ。

　2023年1月中旬に開催されたWalmartのセキュリティオペレーションショーケースで語られたこの談話は、どのテクノロジーカンファレンスでも通用する内容だった。Walmartのセキュリティ担当者二十数人との対話と施設見学から分かったことはWalmartのサイバーオペレーションの範囲が幅広いものであること、さらに同社の努力が顧客に気付かれないにもかかわらずなぜこれほどまでにセキュリティに気を遣っているのかという点だ。

　「私の意見は偏っていると言ってよいだろう。私にとってサイバーセキュリティは常に最重要課題だからだ。だが、全ての人が同じ視点を持っているわけではない」とガイズラー氏はシェイファー氏に語りかけた。

　「顧客にとって最重要事項であるのなら、私たちが進めていることを顧客にも見せて、情報保護に関して顧客と交わした約束を厳守していることに高い信頼感を持ってもらいたい。サイバーセキュリティが顧客にとって優先事項でない場合でも、Walmartは正しいことをしていると顧客に信頼してもらいたい」（ガイズラー氏）

サイバーセキュリティは軽視されている

　多くの企業は、手遅れになるまでセキュリティの優先度を高めることをしない。サイバーセキュリティに関する研究機関Cybersecurity Venturesはサイバー犯罪の被害額が2022年の6兆ドルであり、これが2023年には8兆ドルに達すると予想している。世界経済フォーラムはサイバー空間において壊滅的なインシデントが起こり、世界的に不安定になる可能性を警告する。

　しかし、市場が低迷し始めている影響で、サイバーセキュリティへの継続的な投資は確実にはなっていない。

　現代は情報漏えいが常態化しており、消費者は自身のプライバシー保護にさほど関心を寄せない時代といえる。企業がセキュリティや信頼性を重視することはあまり評価されない。連邦取引委員会が課した罰金や欧州連合のデータプライバシーに関する取り組みがあっても、企業はデータの取り扱いをあまり変えていない。サイバー侵害を繰り返し受けている企業はセキュリティに投資していると公言するものの、追加の支出を重ねても企業のセキュリティ文化が変わった事例はほとんどない。

Walmartはどの程度セキュリティを重視しているのか

　Walmartのセキュリティに対する真剣な姿勢は、まず規模に現れている。同社のサイバー対応チームはグローバルに展開されており、シフト勤務やタイムゾーンを利用して24時間365日体制でセキュリティオペレーションを実現している。例えば、インドのバンガロールにあるセキュリティオペレーションセンター（SOC）は、米国に拠点を置くセキュリティスタッフのスケジュールを補完している。

　これらのSOCでは毎年平均6兆件のデータが処理される。これらのデータは、Walmartが取り扱った後、幅広いセキュリティコミュニティと共有される。また、データ復旧のための「フォレンジックラボ」を運営しており、クリーンルームや特殊なX線技術、熱風はんだ付けなどの設備が整っている。これは半導体チップレベルのセキュリティ対策に用いる設備だ。データセンターを見学すると、警備スタッフが好奇心旺盛なゲストに囲まれながら、セキュリティオペレーションの冗長性を説明してくれる。

　稼働中のシステムで問題が生じてシステムやサーバが停止した際に、自動的に待機システムに切り替えるフェイルオーバーを確実なものにするには失敗は許されない。

　Walmartはサイバーセキュリティにいくら費やしているかという情報を公開していない。また、同社の基盤テクノロジーの運用を担当するWalmart Global Techの約2万人の従業員のうち、何パーセントが情報セキュリティに携わっているかということも明らかにしていない。Walmartの施設を見学すれば、その事業規模をうかがい知ることはできるが、間近で見るとこれほどの規模を独自に運営できる企業はほとんどないことが分かる。

　Walmartのサイバーセキュリティは、単なる見せかけではない。こういった大規模で実際的な取り組みを進める企業は例外なのかもしれない。

　Walmartのセキュリティに対するアプローチが実現不可能なレベルに達しているということではない。むしろ、同社が他社と一線を画しているのは、セキュリティの焦点をどのように細かく調整しているかにある。次々と現れる脅威の中で、何を優先し、何を後回しにするのかを的確に判断する手法こそを他社は見習うべきだろう。

　Walmart Global Techの施設を外部から見ても、シリコンバレーの企業のようなきらびやかな要素はない。だが、世界クラスのセキュリティオペレーションに必要な全てのものを備えている。

　各施設はアクセスバッジを使った物理的な自動アクセス制御や何重にも施錠されたドアを備えており、同社の職員がテレワークやハイブリッドワークで職務をこなしていても、物理的なセキュリティが損なわれていないことがうかがえる。

セキュリティ人材戦略に重きを置いている

　同社はサイバー人材確保に関して他の企業と同様の障壁に直面している。サイバー人材の需要が供給をはるかに上回り、その差が拡大しているからだ。サイバー人材の求人は全世界で340万人に達する。

　Walmartはリソースの面で多くの企業を圧倒する。2022年度の売上高は約5728億ドルで、およそ242億ドルの営業キャッシュフローがある。さらに、セキュリティ部門には歴史があり、組織的な知識を蓄積している。

　同社の情報セキュリティ部門は、2014年のSonyへのハッキング事件や2015年のウクライナの電力網攻撃事件など、業界に大きな変化をもたらした著名な攻撃よりも前から存在しており、20年をはるかに超える歴史を持っている。

　「20年以上前にこの分野への投資を開始したため、会社が成長し、進化し、成熟し、事業を展開するにつれて、サイバーセキュリティプログラムも成長し、進化し、成熟できた。そのおかげで、私たちは長い間ビジネスの信頼できるパートナーとして羨望（せんぼう）の的として業界全体が誤った方向に進まないように導く立場を維持できるのだと思う」（ガイズラー氏）

　Walmartのセキュリティオペレーションは業界内で大きな影響力を持つため、経験豊富な人材を集めることができる。GoogleやJPMorgan Chaseをはじめ、「Fortune 100」に名を連ねる企業で活躍した経歴の持ち主を今回の訪問でも目にすることができた。

　従業員の大学授業料と書籍代を100％負担する「WalmartのLive Better U」プログラムは、テクノロジー分野の人材のパイプラインを作ることを目的としており、サイバーセキュリティや情報技術などの分野を専攻する人材を支援する。

　リテンションも人材戦略を支えている。Walmartのオフィスでは、5年単位で在職期間を宣言するバッジを目にすることも珍しくなかった。その一人、ジャスティン・シンプソン氏は、10年以上前に大学を卒業してWalmartでキャリアを開始して、現在はデータセキュリティのディレクターとして量子暗号を担当している。

　シンプソン氏の最優先事項は、ポスト量子暗号と量子コンピュータが実現した場合に備えてWalmartが適切なセキュリティプロセスを持てるようにすることだ。

　同社にはシンプソン氏と同様に、どんなに遠い未来であっても、その実現に尽力する専門家やスペシャリストがいる。現時点での課題であるIDアクセス管理やクラウドセキュリティを担当する人もいる。オンラインで商品が発売されたときに、素早く取引を完了させるために書かれたbotプログラムも対象だ。同社の深層防護のアプローチと密接に結び付いている。

　Walmartは平均して1カ月で85億の悪質なbotをブロックしている。

　ネットミームのよくあるイメージとしては情報セキュリティ担当者は一般的な業務や雑用で忙しくしている。Walmartでは違う。各担当者は高度に専門化された役割を担っている。企業スタッフも店員も、顧客も、コンピュータとの関わり方は細部に至るまで徹底して定められている。偶然や怠慢で放置されるものは何もない。

サードパーティーをひとくくりに捉えない

　Walmartではセキュリティの強みがサイロ化していない。外部の情報共有や分析センターと連携し、ネットワーク内外の脅威に関連する情報を共有しているからだ。

　Walmartは全米小売業協会（NRF）のパートナーと緊密に連携している。今回の取材では、ランチタイムに設けられたラウンドテーブルにおいて、バイスプレジデント兼副CISOのロブ・デュハート氏が「われわれは（同業者と）ともに勝利を得る」と語った。

　全米小売業協会とRetail ＆ Hospitality Information Sharing and Analysis Center（RH-ISAC）は2023年1月初めに、悪質なサイバー攻撃への対処と顧客データの保護を強化するため、両者の協力関係を高めた。RH-ISACによると、CISO（最高情報セキュリティ責任者）の70％は、2023年の予算が増加することを期待している。

　「Walmartは規制機関とも連携しており、当社の経験から学んでもらうよう最善を尽くしている」（デュハート氏）

　外部ネットワークの捉え方にはレイヤーアプローチがある。多くの企業は外部を第3、つまりサードパーティーリスクとして漠然ととらえている。Walmartはそうではない。第4、第5、第6レベル以降の脅威を対象としている。それぞれに対して、実証的なリスク測定を実施している。

　ラウンドテーブルの中で、リスクコンプライアンス担当シニアディレクターのラス・バックリー氏は、「セキュリティオペレーションチームとパートナーシップチームの連携により、環境内の特定のリスクに対する攻撃方法に優先順位を付けられるようになった」と述べる。一般的なリスクとしてラベル付けするだけでなく、社内の数値を使って、人材や予算をどこに投資すべきかを定量的に判断できるようになった。

　「これによってビジネスリーダーは単なる推測ではなく、お気に入りの友人から聞いた話でもなく、実際に見て『こうしたい、こう判断する』と言えるような実証的な数字を手にできる。その決断によって、私たちが全ての顧客に全てのサービスを提供するための支えが得られる」（バックリー氏）

CVEを自社に当てはめて考える

　業界標準の共通脆弱（ぜいじゃく）性評価システム（CVSS）をどのように扱うのかも参考になる。Walmartは自社の実証分析とCVSSを組み合わせて考えており、これによって自社の環境にどのようなリスクがもたらされるのかを判断している。

　そのとき、脅威インテリジェンスを共有することが重要になる。Walmartには脅威が実際にどのようなリスクをもたらすかを判断するためのメカニズムが備わっている。ある脆弱性（CVE）がWalmartのネットワークに影響を及ぼさなくとも、業界の他の企業にどのような影響を及ぼすのかを外部と共有できるのだ。

　バックリー氏は、「私たちは他の人々がリスクについて理解し、なぜそのリスクを知らなったのかを確認するために多くの貢献をしている」と言う。そして、「Walmartに被害はなかったが、他社に被害があったのならば、そこから学びを得よう」と考えて、他の企業がセキュリティの姿勢を変えることに何らかの影響を与えるきっかけになると捉えている。

　これは、Walmartの強固なサイバーインテリジェンスプログラムを物語るものだ。多くの大企業と同様にWalmartも商用ソースからサイバーインテリジェンスの情報を入手している。だが、独自に調達した脅威情報もある。

　ラウンドテーブルではセキュリティオペレーション担当バイスプレジデントのジェイソン・オデル氏はこう述べた。

　「私たちは敵のバックエンドインフラを調査し、攻撃者がどのような動きを見せているのかを理解している。その副産物として、特定の攻撃勢力に狙われている他の企業を目にすることもある。私たちはそのような情報を迅速にコミュニティーに還元している」

　Gartnerのバイスプレジデントアナリストであるクリス・シルバ氏は、2022年、Walmartのセキュリティにおける自動化の利用についてCybersecurity Diveに話した際に、「有名ブランド企業には、一般企業とは異なる攻撃対象が存在する」と述べた。「有名企業は常に大きな標的なのだ」（シルバ氏）

　Walmartのようなブランドは、これまでにない脅威を目の当たりにすることがあり、その情報を共有することによって他の企業はいち早く対応するチャンスを得られる。

法律の制定に先駆ける

　Walmartは独自のセキュリティ指標を持っており、その重要性は規制の領域にも及ぶ。つまり、顧客のプライバシー保護への期待に対して、具体的なルール作りの支援をしたいと考えている。

　米国ではカリフォルニア州をはじめ、州レベルではプライバシーに関する法律が着実に制定されつつあるが、連邦レベルでの義務付けはない。これらの法律は、「私たちを既に進んでいる方向へ後押している」とシェイファー氏は基調講演で語った。これらの法律が成立すると、「私たちのロードマップを加速させることもある。それは望むところだ」。

　「当社の目標を繰り返すと、『最も信頼される小売業者』になることだ。しかし、同社は小売業にとどまらない事業も推進しているので、目標をもっと率直に言えば、『最も信頼される企業』になることだ」（シェイファー氏）

　これは高いハードルだが、Walmartにはそれをクリアするためのリソースがある。サイバーセキュリティでは、一歩間違えれば企業の評判が下がるが、Walmartにはそのリスクを乗り越える力がある。防衛は先を見越した取り組みであり、同社のネットワークには何一つ攻撃の可能性は残されていないのだという。

　「私たちは大規模な環境での運用に慣れているので、Walmartのサイバーセキュリティの規模にはさほど重点を置いていない。それが私たちの現実の環境なのだから」（シェイファー氏）

出典：A first-hand look inside Walmart’s robust security operations（Cybersecurity Dive）

注1：Tech priorities out of sync with security needs, CISA director says（Cybersecurity Dive）

注2：World Economic Forum officials warn global instability could lead to catastrophic cyber event（Cybersecurity Dive）

注3：Only half of companies have the budgets necessary to mitigate cybersecurity risks: study（Cybersecurity Dive）

注4：The cybersecurity talent shortage: The outlook for 2023（Cybersecurity Dive）

注5：Walmart 2022 Annual Report（PDF）

注6：Live Better U Fact Sheet

注7：NRF forms cyberthreat intelligence partnership with RH-ISAC（Cybersecurity Dive）

注8：Walmart security, operating at a vast scale, turns to automation（Cybersecurity Dive）