NTTグループ横浜CISOに聞く「一歩先行くセキュリティとは」

2021-12-03

サイバーセキュリティを取り巻く環境は、グローバルレベルで変化しています。サイバー攻撃の手法は高度化かつ巧妙化しており、その目的も金銭や知的財産の窃取から国家の関与が疑われる諜報活動まで多岐にわたります。こうした状況下では、企業は攻撃者の目的や能力を能動的に把握および予測し、先手を取って対策を講じなければなりません。日本のデジタルインフラを支えるNTTグループにおいてセキュリティ領域を統括する横浜信一氏に、CISOとしての方針、組織運営の現状、今後の取り組みについてお話を伺いました。（本文敬称略）

対談者

NTT執行役員 Chief Information Security Officer セキュリティ・アンド・トラスト室長
横浜信一氏

PwCコンサルティング合同会社パートナー
外村慶

（左から）横浜信一氏、外村慶

情報の品質をあげるために、「現場で次の行動につなげられる情報」にこだわる

外村：
初めにNTTグループ全体のセキュリティ推進体制について教えてください。

横浜：
持株会社である日本電信電話株式会社（以下、NTT）のCISOを責任者とするセキュリティ・アンド・トラスト室がNTTグループ全体のセキュリティ推進へのイニシアチブをとっています。そして傘下の各事業会社のセキュリティチームと緊密に連携しながら情報セキュリティマネジメント体制を整備しています。

外村：
具体的にはどのような体制で連携しているのでしょうか。

横浜：
セキュリティ・アンド・トラスト室が全体のセキュリティ施策や方針を策定し、各事業会社のセキュリティ活動を支援しています。セキュリティ・アンド・トラスト室の人材は、各事業会社で活躍しているセキュリティ担当者が出向する形でチームを編成しています。

セキュリティ・アンド・トラスト室の担当者が地に足のついた活動をするには、現場の状況を理解し、現場目線で情報を提供したり指示を出したりしなければなりません。そのためには、平時から事業会社の担当者と密にコミュニケーションをとり、信頼関係を構築していることが重要です。その点、セキュリティ・アンド・トラスト室と各事業者のセキュリティ担当者は人事交流で行き来してお互いがさまざまなコミュニケーションチャネルを持っていますから、フランクに意見交換や情報共有ができる環境があります。

外村：
脅威情報の収集とトリアージ（対応の優先順位付け）はセキュリティ・アンド・トラスト室が実施しているのでしょうか。

横浜：
はい。私たちが実施し、プライオリティをつけて指示を出しています。

脅威情報の量は膨大で、毎日のようにソフトウェアの脆弱性が報告されています。例えば、あるソフトウェアの脆弱性が発覚した場合、現場では「自社でそのソフトウェアを導入しているのか」を調査しなければなりません。そして、導入していることを発見したら該当するシステムを停止させて修正プログラム（パッチ）を適用し、再起動させる必要があります。停止させられないシステムであれば、次のメンテナンス時期に合わせて調整しなければなりません。しかし、多数ある脆弱性情報の全てに対してこのように対応することは不可能です。ですから、適切なトリアージが必要なのです。

セキュリティ・アンド・トラスト室が現場の状況を把握せずに上意下達で指示を出すと、現場は離れていってしまいます。私たちが留意すべきは、「現場の悩みをいかに解決できるのか」を旨として信頼を得ながら動いていくこと。指示を出す側と現場の担当者との相互理解が大事なのです。

外村：
事業会社によって異なるトリアージの結果を伝えることもありますか。

横浜：
基本的に出す指示は同じです。それを各事業会社が咀嚼して、それぞれの判断でどのレベルまで対応するのかを決定しています。セキュリティ・アンド・トラスト室の役目は現場をエンパワーすること。そうしたスタンスで関係を構築しています。

外村：
セキュリティ・アンド・トラスト室では情報の“品質”をどのように見極めていますか。

横浜：
その情報をもらった側が「次の行動につなげられるか」を判断基準としています。受け取っても何の役にも立たない情報は多数あります。例えば、「ダークウェブでNTTというキーワードでつぶやいている人がいた」「どこかで何かの攻撃が起きたらしい」という情報だけでは何もできませんよね。

誤解を恐れずにいえば、情報の絞り込みは、現場のセキュリティ運用を経験した人材であれば、誰でもできると思います。「自分がこの情報を受け取った時どのようなアクションを起こすのか」を考えれば、情報の絞り込みは難しいことではありません。私のように現場を知らない経営層が指示を出すとディスターバンス（余計な行為）になる恐れがあり、現場は疲弊します。

NTT執行役員 Chief Information Security Officer セキュリティ・アンド・トラスト室長横浜信一氏

PwCコンサルティング合同会社パートナー外村慶

グローバルでの「ベスト・イン・クラス」であるために見極めるべき視点

外村：
セキュリティ・アンド・トラスト室のサイバーセキュリティ対応に関連したインテリジェンスの活用についてもう少し深掘りをさせてください。横浜さんはNTTのCISOに就任した2018年、自らのミッションとして事業会社のセキュリティ活動をエンパワーすることに加え、NTTの経営陣をサイバーセキュリティの観点から支援することを掲げました。これはどのような活動でしょうか。

横浜：
私が考えるサイバーセキュリティに関連したインテリジェンス活用の取り組みは2種類あります。1つは先述した技術面でのテクニカルなインテリジェンス。もう1つは、経営陣が長期的かつ包括的な視点から意思決定をする判断材料となる、ノンテクニカルなインテリジェンスです。

ノンテクニカルなインテリジェンスとは、各国の法規制や米国連邦政府の方針、EUのGDPR（一般データ保護規則）などの情報が対象です。これらの動向がNTTのビジネスにどのような影響を及ぼすのかという視点で情報を収集し、経営陣が次のアクションにつなげられるように支援しています。

NTTではこうした活動を随分と前から行っていたのですが、2014年に体制を強化して日本企業で初めてサイバーセキュリティに特化したアドボカシーチームを置きました。当時はNTTの海外事業が拡大する一方、サイバーセキュリティが今後の大きな課題として取り上げられ始めた時期でした。各国の政策・方針はまだ揺籃期と言え、揺籃期だからこそ傍観ではなく形成に参加しよう、シェーパーの一員になろう、そういう狙いを持ちました。

体制強化後、私は1年に4回ぐらいワシントンDCに出向き、官民連携の協議会メンバーや通信業界でインテリジェンス活動をしている担当者たちと交流し、「キーパーソンたちがどのような動向に注視しているのか」をヒアリングして回りました。そうした活動を通じて、米国で抱えている問題は、将来的に日本や欧州を含めた世界全体の問題になっていくことを確信しました。

外村：
米国の動向を把握することが、予知情報につながるということですか。

横浜：
はい。そうして収集した情報をNTTの中に取り込んで対応を積み重ねていくことで、“勘所”もわかってきます。そうすると、ある程度の予測も立てられます。こうした情報を提供することで、経営層は正しいタイミングでセキュリティに関する的確な経営判断や会社の方向性を示せるようになると考えています。

外村：
これまでのセキュリティ対策は、攻撃を防御する――つまりインシデントが発生してから対応する「受け身のセキュリティ」が大半でした。「レジリエンス」という概念も、攻撃からの素早い回復力を高めるものです。しかし今後はインテリジェンスを駆使して攻撃者の行動を予測し、あらゆる可能性を想定して対策を講じることが不可欠です。お話を伺って、NTTが実践しているのは、受け身ではなく「攻めのセキュリティ」であると感じました。

横浜：
自動車のヘッドライトのハイビームのようなものかも知れません。例えば、ランサムウェア攻撃は「いつ、誰から攻撃されるか」を予測することが難しい。しかし、地震予知のように「いつ発生するかわからないが、可能なかぎり準備をしておく」ことはできます。「攻撃を受けた場合には、誰が何を判断し、どの部門が、どのようなプロセスで対応するか」を決めている企業と、何もしていない企業では対応力が大きく異なります。

また、ノンテクニカルなインテリジェンスでは、ある程度の不確実性の幅の中でどのようなことが発生するのか“アタリ”はつけられます。その中で何を優先するかを決めるのは、経営判断です。

さらに言うと、「NTTとして（将来的に課題となるリスクに対しての備えを）どのレベルまで実施すべきか」を見極めるためにも、ノンテクニカルなインテリジェンスは重要です。

外村：
それは日本を代表する通信事業者として、世界の先進的な通信事業者に比べても遜色ない対応ができるように備えておくということでしょうか。

横浜：
そうですね。モチベーションとしては、世界の通信事業者のアドバンスドグループが実施しているレベルのことはやっておきたいという矜持です。脅威環境も技術も変化する中、サイバーセキュリティは終わりのない戦いではありますが、NTTとしてグローバルでの「ベスト・イン・クラス」でありたいと考えています。

そうした意味からも、世界を代表する先進的な通信事業者たちの取り組みと視座を「機先を制するためのセンサー」として、「相場観」や「バウンダリー（これ以上はやりすぎとなる限界線）」を見極めるようにしています。なぜなら米国や欧州で新たな規制が策定された場合、策定後に取り組むのと、それ以前から準備しているのとでは、対応に大きな差が出るからです。

規制の策定は、ある程度事態が進行してから議論されますよね。ですから規制が策定されるか否かにかかわらず、（規制に見合った）一定レベルのことを実施するのが、アドバンスドグループとしての在り方であると考えています。

ポストコロナ時代は「トラスト」が基本通貨に

外村：
最後に、今後の取り組みについて教えてください。CISOとしてどのような活動に注力されるのでしょうか。

横浜：
「トラスト」を普遍的なものにしたいと考えています。日本では「トラスト」という言葉が特別な意味として受け止められていたり、「よくわからないけど大事だよね」程度の曖昧な意味に捉えられていたりするように感じます。しかし、ポストコロナ時代は「トラスト」が世界の基本通貨になると考えています。

外村：
どういうことでしょうか。

横浜：
1980年代から台頭したグローバリゼーションの基本通貨は、「プロフィット」でした。企業価値を最大化し、経済合理性の追求を基本通貨としてグローバリゼーションを牽引してきたのですね。しかし、これからのグローバリゼーションの基本通貨は、必ずしも「プロフィット」だけではありません。「その企業は社会的責任を果たしているか」「その企業のビジネスは信頼に足るものなのか」といった「トラスト」が重要になると考えています。

NTTのミッションは、安全なデジタルインフラを世界に対して継続的に提供し、パートナーとともに社会課題の解決を目指すことです。そのためにはNTTが社会からトラストされることが重要であり、一方で社会に対して「セキュリティ・アンド・トラスト」で貢献できるポテンシャルを持っているとの自負もあります。

外村：
セキュリティとトラストはコインの表と裏のように表裏一体であり、ひいては会社の存在意義を下支えする存在になるだろうという考えですね。本日は貴重なお話をありがとうございました。

主要メンバー

外村慶

パートナー, PwCコンサルティング合同会社

特別対談：デジタルトラストの構築に向けたPwCのアクション

27 results

2023-08-03

ISMAPの現在地と今後の展望―さらなるデジタルトラストの構築に向けて（経産省）

政府の情報システム調達におけるクラウドサービスのセキュリティ評価制度ISMAPについて、その仕組み作りに携わった経済産業省の國澤朋久氏に現状と今後の展望、そしてその先にあるデジタルトラストの在り方について、お話を伺いました。

2023-07-10

車両サイバーセキュリティの未来―活用が期待されるテクノロジー最前線（横浜国立大学／トヨタ／リチェルカセキュリティ）

自動運転自動車やコネクテッドカーの普及が進む中、車両サイバーセキュリティの重要性が増しています。この問題に取り組んでいる横浜国立大学、トヨタ自動車、リチェルカセキュリティのお三方をお招きし、それぞれの取り組みについてお話を伺いました。

2023-06-27

デジタル化する工場や研究所のサイバーセキュリティ―OTセキュリティの課題と解消に向けたアプローチ（Nozomi／Tenable／TXOne）

現在、製造業や研究所では、生産性向上やコスト削減、新たな価値創出を目的にスマートファクトリーや製造DX（デジタルトランスフォーメーション）の進展が加速しています。本稿ではOTセキュリティに取り組む3社から有識者の方々をお迎えし、デジタル化が進む工場や研究所におけるセキュリティ対策の重要性についてお話を伺いました。

2023-06-15

「インテリジェンス連動型セキュリティメトリクス」が企業にもたらす価値-セキュリティ態勢の進化と透明性の確保（慶應義塾大学）

PwCコンサルティング合同会社と慶應義塾大学は2021年10月、セキュリティに関する共同研究を開始しました。本対談では、研究から生まれた「インテリジェンス連動型セキュリティメトリクス」をテーマに、同大の砂原秀樹氏と佐藤千尋氏をお迎えし、お話を伺いました。

インサイト／ニュース

20 results

2025-06-27

グローバルで本格化するAI関連法規制整備を受け、AI活用を推進するために日本企業はどうするべきか

慶應義塾大学大学院特任准教授の吉永京子氏、アレシア国際法律事務所代表弁護士の有本真由氏をお迎えし、AI活用におけるガイドラインや規制に関する世界の最新動向を踏まえつつ、日本企業に求められる戦略と実務対応について考察します。

2025-06-26

国内で進む経済安全保障関連法整備の狙いと企業の対応

世界に先駆けて経済安全保障の包括的対策を法制化した日本。法制度の趣旨や既存法制との違いについて法律の専門家に解説いただくとともに、日本電気の実例を基に、リスクと機会を正しく捉える企業対応のあり方を探ります。

2025-06-25

日本企業は新世界秩序と大国間の対立をどう乗り越えられるか

コロンビア大学ロースクール教授でPwC Japanグループ顧問のアニュ・ブラッドフォードが、米国の新政権誕生によって米国・欧州・中国関係が転換点を迎える今、国際貿易とデジタル規制の最新動向を分析し、日本企業がとるべき具体的な対応策を解説します。

2025-06-24

デジタル規制、いま企業に求められることビジネスパーソンとメディアの新たな関係

NIKKEI Digital Governance 編集長の中西豊紀氏とTMI総合法律事務所パートナー弁護士の大井哲也氏とともに、企業に求められるデジタル法規制対応のあり方を示し、実務担当者の意思決定を支えるメディアの役割について議論しました。

セミナー

3 results

2025-06-17

【セミナー】Europrivacy認証制度の概要と取得に向けた対応のポイント

PwCコンサルティング合同会社は6月17日（火）より、表題のセミナーをオンデマンド配信します。

2025-05-19

Digital Trust Forum 2025

PwC Japanグループは、5月19日（月）より表題のセミナーをオンデマンド配信します。

2024-10-29

【セミナー】サプライチェーン・デジタルリスク -サイバー攻撃やデジタル法規制に迅速に対応するレジリエントなサプライチェーンの構築-

PwCコンサルティング合同会社は10月29日（火）より、表題のセミナーをオンデマンド配信します。

本ページに関するお問い合わせ

フォーム