{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
CISOオフィスによるNECグループのサイバーセキュリティガバナンスの取り組み
2021-06-24
新型コロナウイルス感染症(COVID-19)の影響で、私たちの働き方は大きく変化しました。リモートワークに代表される「ニューノーマルな働き方」が急速に拡大し、企業はサイバー攻撃の増加に直面しています。環境の変化とサイバー攻撃リスクに、企業はどのようなセキュリティ体制を敷いて対峙するべきか。NECグループでサイバーセキュリティ対策を統括するCISO(Chief Information Security Officer)オフィスの田上 岳夫氏に、その取り組みを伺いました。(本文敬称略)
*本対談はPwC’s Digital Trust Forum 2021におけるセッションの内容を再編集したものです。
*法人名・役職などは掲載当時のものです。
登壇者
田上 岳夫 氏
日本電気株式会社
経営システム本部 本部長代理
海老原 直樹
PwCあらた有限責任監査法人 マネージャー
(左から)田上 岳夫 氏、海老原 直樹
「3つのラインモデル」を軸に多層的なセキュリティ体制を構築
海老原:NECグループは連結従業員数11万人以上、連結子会社数300社以上からなる大きな組織です。事業領域も海底ケーブルの敷設から宇宙開発まで幅広く展開していらっしゃいますね。デジタル化の進展に伴い、あらゆる領域がサイバー攻撃の対象になっています。こうした状況下、NECグループはどのようなセキュリティ対策を講じられているのかを伺っていきます。初めに、NECグループのセキュリティ対策は「3つのラインモデル」*1の考えに則っているそうですね。
田上:はい。第1線である事業部門は、日々の業務の中でセキュリティ管理を行っています。第2線のリスク管理部門は、事業部門が確実にセキュリティ対策を運用できるようにルールとプロセスを整備し、確実に実行されているかを監視・点検します。第3線の内部監査部門は、独立した立場でそれぞれの取り組みを監査し、保証を与えています。
私が統括するCISOオフィスは第2線に位置付けられ、「社内のセキュリティ対策」「サプライチェーンのセキュリティ対策」「提供製品・サービスのセキュリティ対策」の3本柱をベースに、各種対策を推進しています。セキュリティを統括する各部門であるサイバーセキュリティ戦略本部(セキュア開発・運用を担当)、プライバシー関係を統括するコンプライアンス推進部、そしてサプライチェーンを統括する調達本部の責任者といったメンバーからなっています。
海老原:NECグループのセキュリティに関する組織構成についても教えていただけますか。
田上:簡単に説明しますと、セキュリティ全般を司るCISOの下に、情報セキュリティのノウハウをもってCISOを補佐するCo.EX(コーポレートエグゼクティブ)とCISOオフィス、CSIRT(Computer Security Incident Response Team)が存在します。グループ全体のセキュリティ対策の立案や承認は、各部門の代表者から構成される情報セキュリティ戦略会議が司ります。ここで決められた方針を、その下に存在する各推進会議・ワーキンググループに伝え、彼らから各部門に周知、対策の徹底を促すといった指示系統になっています。そうして行った対策の結果をCISOに報告するのも、私たちの役割です。
日本電気株式会社 経営システム本部 本部長代理 田上 岳夫 氏
PwCあらた有限責任監査法人 マネージャー 海老原 直樹
脅威インテリジェンスを活用した事前防御に注力
海老原:COVID-19の影響でリモートワークの割合が劇的に増加しました。それに伴い、エンドポイントの数も種類も増加しました。NECグループでも、働き方やセキュリティ対策に変化はあったのでしょうか。
田上:まずリモートワークについてですが、コロナ禍以前から環境整備を進めていたため、出社を基本とするワークスタイルからリモートワークを基本とするワークスタイルへの移行はスムーズでした。現在、グループ全体でのリモートワーク率は85%です。ウェブ会議は1日平均3万1,000回で、テキストベースのやり取りは24時間で120万件です。
海老原:膨大な量ですね。
田上:はい。こうした環境で重要なのは、社外に情報を持ち出せないようにすることです。リモートで働く社員は、DaaS(Desktop as a Service)を活用して社内のPCにアクセスしています。現在は5万人の同時アクセスが可能になっています。
今後さらに考慮しなければならないのが、会社や組織を超えたコラボレーション環境の構築です。「社内・社外」という境界ベースのセキュリティ対策は通用しなくなりますから、ゼロトラストベースのセキュリティプラットフォームの構築が不可欠です。現在は、多様な端末を多要素で認証し、ユーザーごとにアクセス権を付与して、必要なシステムに必要なユーザーだけがアクセスできる環境の構築に取り組んでいます。
海老原:デジタルトランスフォーメーション(DX)の推進やニューノーマルな働き方の実現を語る上では、そうしたアプローチがもはや欠かせないものになりつつありますね。攻撃が複雑化・巧妙化する中、サイバーセキュリティ対策においては特にどういったことを心掛けられていますか。
田上:2つあります。1つは多層防御です。防御を突破された場合を想定し、多層的に備えることでリスクを軽減できるよう努めています。もう1つは「数えるマネジメント」です。「どの端末がどこにいくつあるのか」「どこに脆弱性があるのか」を可視化する管理体制を敷いています。
図2にNECグループのサイバーセキュリティ対策の全体像を示しました。対策のカテゴリと内容を、サイバーキルチェーン(攻撃者の攻撃プロセス)ごとにまとめています。
5年ほど前であれば、サイバーセキュリティ対策の中心は初期潜入を防御することでした。しかしその後、それだけでは防げないという前提に立ち、エンドポイント保護プラットフォーム(EDR:Endpoint Detection and Response)などにより「侵入された後に迅速に対応する」という戦略が主流になりました。そして現在は、脅威(スレット)インテリジェンスを活用した事前防御を中心に取り組んでいます。
海老原:確かに、図2を拝見すると、サイバーキルチェーンにおける「偵察」「攻撃準備」の対策として「脅威インテリジェンス活用」に注力されていることがよく分かります。
田上:はい。私たちは、プロアクティブな防御体制の構築を目指しています。「自社がどのような攻撃を受ける可能性があるのか」を把握するために脅威インテリジェンスを収集し、事前防御対策としています。
海老原:NECグループはCSIRTを4チーム体制とし、その中の一つに「脅威インテリジェンス対応チーム(CTI)」を設けられてもいますよね。
田上:はい。図3にCSIRTの体制と機能を紹介します。CTIは脅威インテリジェンスを収集・対応するチームです。NECグループ全体に対してどのような攻撃が仕掛けられているのかを毎日調査しています。
着目している脅威インテリジェンスは主に3種類です。1つは世界・国家レベルの脅威インテリジェンス。2つ目はNECグループやその周辺業界に関する脅威インテリジェンス。そして3つ目が、NECグループが注力している事業に関する脅威インテリジェンスです。NECグループの公開情報やインテリジェンス提供サービスからの情報をもとに、上記に関する情報と、自社に対する攻撃から得られた知見などを掛け合わせて分析し、インテリジェンスに昇華させます。そして「可能性のある攻撃は何か」「その攻撃は自社にどんな影響を与えるのか」を調査しています。
こうした活動を通じて、例えばNECのある事業が狙われているという情報を事前に察知した場合には、事業部門に脅威情報として共有し、サーバーのセキュリティ設定の再点検を実施するなど、サイバー攻撃への対応・準備をするようにしています。
日本電気株式会社 経営システム本部 本部長代理 田上 岳夫 氏
あらゆるステークホルダーのためにアセスメントの活用を
海老原:脅威インテリジェンス活用に、プロアクティブな防御体制の構築のために、各種アセスメントにも重点的に取り組まれているそうですね。
田上:はい。CRA(Cyber Risk Assessment)は、重要情報がどこにあるのか、重要情報を入手できるかなど、サイバーセキュリティリスクをアセスメントするものです。ここで重要なのは、攻撃者視点で評価を行うことです。攻撃者は公開情報をくまなく調べ上げ、攻撃のトリガーを見つけ出します。ですから私たちも「NECグループが公開している情報に対して、どの程度の攻撃リスクがあるのか」を分析し、脆弱性となり得るポイントを明らかにするのです。さらには、RedTeamによるアタックアセスメントも行います。システム内に侵入された場合、「狙った情報までたどり着けるのか」といった視点から、技術的なチェックを行います。
海老原:セキュリティマネジメントシステムを対象にしたアセスメントから技術的な侵入テストまで行われているのですね。NECグループは海外にも複数の拠点をお持ちですが、そちらでのアセスメントの状況はいかがでしょうか。
田上:多数存在する海外拠点に対しても同様のアセスメントを実施していますが、国内とは異なる大変さもあります。セキュリティ対策においては地域の攻撃動向に合わせた対応が必要ですし、アセスメントにおいては現地のセキュリティ責任者とのコミュニケーションをとってリスク情報を共有し、状況や認識をすり合わせた上で実施しなければなりません。また、セキュリティ対策を一過性のものにしないよう、ルールの策定・周知・検証といったPDCAの徹底も図っています。
海老原:私自身も国内・海外を問わず多くの企業のセキュリティアセスメントを担当していますが、特に海外子会社に対しては必ずしも毎年継続的にアセスメントを提供できるわけではないので、課題が検出された場合に、いかに組織やプロセスの問題として主体的に改善に取り組んでもらうか、がポイントになってくると考えています。
アセスメントに関してですが、NECグループは第三者によるアセスメントも活用されていますね。
田上:はい。私たちには、ステークホルダーにセキュリティ管理の有効性について説明する責任があります。第三者の客観的な評価は、ステークホルダーの納得につながるだけでなく、経営層や社内の人間にセキュリティの重要性を理解してもらうことにもつながります。第2線であるCISOオフィスによる点検に加え、第3線による内部監査、さらには第三者によるセキュリティアセスメントを活用し、セキュリティの維持・向上のための課題を検出しています。
海老原:なるほど。多層的なセキュリティガバナンス体制が、レベルアップのための課題検出だけでなく、社内のセキュリティリテラシーの向上にもつながる――。非常によい示唆をいただきました。全社を挙げたこうした取り組みが、日々の安心・安全な環境の構築のために重要であることを再認識しました。本日はありがとうございました。
*1:一般社団法人日本内部監査協会, 2020. 「IIAの3ラインモデル―3つのディフェンスラインの改訂」(『月刊監査研究』2020.8[No.561])
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
