ニトリグループは、加速する海外進出に向け、グローバルに統一された情報セキュリティ体制の整備を進めています。EnterpriseZine主催の「Security Online Day 2025 秋の陣」で、ニトリホールディングスCISO兼情報セキュリティ室長の鈴木一史氏が、同社のセキュリティ戦略と課題を語りました。

自前主義に支えられたビジネスとIT

ニトリは「製造物流IT小売業」という独自モデルで、商品企画から製造、物流、販売まで一気通貫で管理し、コストと品質の両立を実現しています。この自前主義はIT分野にも適用され、システムの8割以上を内製化。2022年にはデジタル戦略を担う子会社「ニトリデジタルベース」を設立し、DX推進を加速させています。

CISOは経営計画に基づくセキュリティ戦略の立案、教育・啓蒙、規程整備、リスクアセスメント、CSIRT活動統括など、グループ全体のセキュリティ体制を統括しています。

インシデントを契機に第三者評価を導入

2022年9月、ニトリアプリがリスト型攻撃による不正ログインを受けた際、情報セキュリティ室が速やかに関係機関に報告し、公式サイトで状況説明を公開。大事には至りませんでしたが、鈴木氏は“自前体制”だけでの対応には限界があると判断。

翌2023年、国内外グループ会社を対象にセキュリティ成熟度ヒアリングやアタックサーフェス調査、レッドチームテストを実施。その結果、NIST CSFでニトリ本体に比べ海外グループ会社の成熟度が低いことや、速やかな対応が必要な弱点が明らかになりました。

今後の課題と展望

今回の取り組みを通じて、ニトリはグローバル展開におけるセキュリティ体制の統一と強化の必要性を再認識。CISO主導で、国内外の拠点における防御力向上と、全社的なセキュリティ文化の定着を目指しています。

引用元記事：https://enterprisezine.jp/article/detail/22961