ミュンヘン再保険、グローバルなセキュリティチームを統合し、レジリエンス強化とコスト削減を実現

しかし、時間の経過とともに、このグローバルな規模が課題となりました。ミュンヘンの規模と複雑さにサイバーセキュリティサービスが追いついていなかったのです。各ブランドの事業部門は独自のITおよびセキュリティ部門を持ち、それぞれ独立したネットワークで運用していました。多くの部門が買収によって加わったため、最初から構成が異なっていたのです。

この寄せ集めの構造により、組織全体で効果的にセキュリティを管理することが困難になっていました。セキュリティチームは高いスキルを持っていましたが、世界中に分散し、異なるツールやプロセス、成熟度でサイロ化して働いていました。

2023年までに、同社は拡大するミュンヘンのブランドを完全に保護するため、グローバルなサイバーセキュリティ体制の強化が必要であると認識しました。

その解決策として、2024年4月に「サイバーセキュリティ・インシデント対応チーム統合プロジェクト」が始動しました。この取り組みにより、ミュンヘン再保険グループの個別のインシデント対応、脅威インテリジェンス、脅威ハンティングチームが統合され、24時間365日のグローバルオペレーションとなりました。

1つのセキュリティチーム、1つのミッション

ミュンヘンのITおよびセキュリティ組織にとって目標は明確でした。コストを膨らませることなく、業界トップレベルのインシデント対応、脅威インテリジェンス、脅威ハンティングを全社に提供することです。

「全ブランドに共同でサービスを提供できるよう、セキュリティチームを統合する必要がありました」と、ミュンヘン再保険グループのグローバルCSIRT責任者、マルクス・エンゲルケ氏は語ります。

エンゲルケ氏によると、このプロジェクトの主な目的は以下の通りです：

• 機能を統合し、1つのインシデント対応チーム、1つの脅威インテリジェンスチーム、1つの脅威ハンティングチームを作り、全ミュンヘンブランドに24時間体制でサービスを提供する。
• 各チームの強みを融合させ、より成熟しバランスの取れた機能にすることで、チームの能力を向上させる。
• 責任、ツール、プロセスの重複を減らし、コストを削減する。

これらの目標を達成するために、ミュンヘンはさまざまな戦術を展開しました：

• サイバー脅威インテリジェンス、脅威ハンティング、サイバーセキュリティインシデント対応チームのベストプラクティスを組み合わせ、新たに改良されたサービスを創出。
• チーム間で一貫した情報共有モデルを確立し、ITやビジネス機能との統合を円滑化。
• SIEM、EDR、CTIプラットフォームなどのクラウドベースのセキュリティツールに移行し、あらゆる環境からアクセス可能に。
• スタッフを疲弊させることなく24時間体制を実現する「フォロー・ザ・サン」カバレッジモデルを導入。
• グローバルなワーキンググループや日次の引き継ぎを実施し、チームの団結力を強化。
• 検知、保護、対応チームが自由に参加できる「教訓共有セッション」を開催。
• ニッチなスキルを持つ人材を採用するため、グローバルな労働市場を活用。
• これまで外部委託していたスキルを社内で育成。
• 単なるチケット数ではなく、質に基づく指標を重視。

最大の課題：国境を越えたセキュリティチームの統合

セキュリティチームを統合する上で最大の障害は、多くの事業部門がミュンヘンのセキュリティ組織によって直接管理されていなかったことでした。これらの環境を完全に把握できなければ、統合チームはリスク全体を把握できず、必要な保護も提供できませんでした。

このギャップを埋めるため、エンゲルケ氏とそのチームは以下のような具体的なステップを踏みました：

• 各チームに必要なセキュリティツールを展開し、従業員をトレーニング。
• 今後の統合を迅速化するための統合プレイブックを作成。
• すべての事業部門を2年以内に完全統合する計画を立て、すでに第1波の統合が進行中。

しかし、技術的な分離も別の障害となりました。ミュンヘンの事業部門は別々のネットワークやドメインで運用されていたため、相互に直接システムアクセスができませんでした。

これに対する解決策は2つあったとエンゲルケ氏は説明します。まず、どの環境からでもアクセス可能なクラウドベースのツールへ移行。次に、統合ネットワークが整うまでの暫定措置として、短期間利用できる社内横断アカウントを導入しました。

これらの取り組みにより、セキュリティチームは予想より早く協働を開始できるようになりました。

インパクト：効率向上、リストラなし

チーム統合の過程で最も注目すべき成果は、大規模な再編成にもかかわらずリストラが一切なかったことです。セキュリティチームの全従業員がそのまま残り、コスト削減はツールや外部委託サービスの統合によって実現されました。

そのコスト削減効果は大きなものとなります。SOC運用、SIEMプラットフォーム、脅威インテリジェンスツール、脅威ハンティング機能、EDRシステムを統合することで、完全導入後は年間400万ドルの節約が見込まれています。

メリットはコスト削減だけにとどまりません。統合により、チーム全体の専門性も向上しました。

「プロジェクト前は、あるチームはデジタルフォレンジック、別のチームは脅威インテリジェンス、また別のチームはプロアクティブな脅威ハンティングに秀でていました」とエンゲルケ氏。「今では、統合チームが3つの分野すべてで高いレベルで機能しています。」

当初から、ITリーダーシップは文化がプロジェクトの成否を分けると認識していました。すべてのITおよびセキュリティ従業員が新しいグローバルな役割で価値を感じ、アイデアを共有し、チーム全体の成功に貢献できることが最優先事項でした。

早期の成功から始め、文化を重視

同様の統合を検討しているセキュリティリーダーに向けて、ミュンヘン再保険グループは次のアドバイスを提供しています：

• 早期の成功を優先：ITおよびセキュリティの完全統合には数年かかる場合もあるため、迅速に統合できる機能から始めて勢いをつけましょう。
• クラウドベースのツールに投資し、早期からネットワークを越えた協働を可能にしましょう。
• 文化を中心に据える：統合はシステムだけでなく「人」が重要です。
• 文書化されたプレイブックを作成し、各統合が確立されたプロセスに従うようにしましょう。
• 成功を祝うことで、チームのモチベーションを維持しましょう。

「統合を始めるのに完璧な環境を待つ必要はありません」とエンゲルケ氏。「前提条件が少ない脅威インテリジェンスなどから始め、その成功をより複雑なステップへとつなげていきましょう。」

グローバルセキュリティチーム統合の青写真

ミュンヘンの「サイバーセキュリティ・インシデント対応チーム統合プロジェクト」は、大規模組織でも従業員の士気や予算を損なうことなくセキュリティ運用を統合できることを証明しています。

セキュリティチーム、ツール、専門性を統合することで、ミュンヘン再保険グループはコスト削減だけでなく、サイバー脅威に対するより一体的な防御体制を構築しました。

ミュンヘン再保険の受賞歴のあるサイバーセキュリティへの取り組みに刺激を受けましたか？CSOカンファレンス＆アワードで、セキュリティリーダーシップの未来を形作る戦略、ツール、インサイトを発見しましょう。今すぐ登録