{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.text}}
NTTグループ 横浜CISOに聞く「一歩先行くセキュリティとは」
2021-12-03
サイバーセキュリティを取り巻く環境は、グローバルレベルで変化しています。サイバー攻撃の手法は高度化かつ巧妙化しており、その目的も金銭や知的財産の窃取から国家の関与が疑われる諜報活動まで多岐にわたります。こうした状況下では、企業は攻撃者の目的や能力を能動的に把握および予測し、先手を取って対策を講じなければなりません。日本のデジタルインフラを支えるNTTグループにおいてセキュリティ領域を統括する横浜信一氏に、CISOとしての方針、組織運営の現状、今後の取り組みについてお話を伺いました。(本文敬称略)
対談者
NTT執行役員 Chief Information Security Officer セキュリティ・アンド・トラスト室長
横浜 信一氏
PwCコンサルティング合同会社 パートナー
外村 慶
(左から)横浜 信一氏、外村 慶
情報の品質をあげるために、「現場で次の行動につなげられる情報」にこだわる
外村:
初めにNTTグループ全体のセキュリティ推進体制について教えてください。
横浜:
持株会社である日本電信電話株式会社(以下、NTT)のCISOを責任者とするセキュリティ・アンド・トラスト室がNTTグループ全体のセキュリティ推進へのイニシアチブをとっています。そして傘下の各事業会社のセキュリティチームと緊密に連携しながら情報セキュリティマネジメント体制を整備しています。
外村:
具体的にはどのような体制で連携しているのでしょうか。
横浜:
セキュリティ・アンド・トラスト室が全体のセキュリティ施策や方針を策定し、各事業会社のセキュリティ活動を支援しています。セキュリティ・アンド・トラスト室の人材は、各事業会社で活躍しているセキュリティ担当者が出向する形でチームを編成しています。
セキュリティ・アンド・トラスト室の担当者が地に足のついた活動をするには、現場の状況を理解し、現場目線で情報を提供したり指示を出したりしなければなりません。そのためには、平時から事業会社の担当者と密にコミュニケーションをとり、信頼関係を構築していることが重要です。その点、セキュリティ・アンド・トラスト室と各事業者のセキュリティ担当者は人事交流で行き来してお互いがさまざまなコミュニケーションチャネルを持っていますから、フランクに意見交換や情報共有ができる環境があります。
外村:
脅威情報の収集とトリアージ(対応の優先順位付け)はセキュリティ・アンド・トラスト室が実施しているのでしょうか。
横浜:
はい。私たちが実施し、プライオリティをつけて指示を出しています。
脅威情報の量は膨大で、毎日のようにソフトウェアの脆弱性が報告されています。例えば、あるソフトウェアの脆弱性が発覚した場合、現場では「自社でそのソフトウェアを導入しているのか」を調査しなければなりません。そして、導入していることを発見したら該当するシステムを停止させて修正プログラム(パッチ)を適用し、再起動させる必要があります。停止させられないシステムであれば、次のメンテナンス時期に合わせて調整しなければなりません。しかし、多数ある脆弱性情報の全てに対してこのように対応することは不可能です。ですから、適切なトリアージが必要なのです。
セキュリティ・アンド・トラスト室が現場の状況を把握せずに上意下達で指示を出すと、現場は離れていってしまいます。私たちが留意すべきは、「現場の悩みをいかに解決できるのか」を旨として信頼を得ながら動いていくこと。指示を出す側と現場の担当者との相互理解が大事なのです。
外村:
事業会社によって異なるトリアージの結果を伝えることもありますか。
横浜:
基本的に出す指示は同じです。それを各事業会社が咀嚼して、それぞれの判断でどのレベルまで対応するのかを決定しています。セキュリティ・アンド・トラスト室の役目は現場をエンパワーすること。そうしたスタンスで関係を構築しています。
外村:
セキュリティ・アンド・トラスト室では情報の“品質”をどのように見極めていますか。
横浜:
その情報をもらった側が「次の行動につなげられるか」を判断基準としています。受け取っても何の役にも立たない情報は多数あります。例えば、「ダークウェブでNTTというキーワードでつぶやいている人がいた」「どこかで何かの攻撃が起きたらしい」という情報だけでは何もできませんよね。
誤解を恐れずにいえば、情報の絞り込みは、現場のセキュリティ運用を経験した人材であれば、誰でもできると思います。「自分がこの情報を受け取った時どのようなアクションを起こすのか」を考えれば、情報の絞り込みは難しいことではありません。私のように現場を知らない経営層が指示を出すとディスターバンス(余計な行為)になる恐れがあり、現場は疲弊します。
NTT執行役員 Chief Information Security Officer セキュリティ・アンド・トラスト室長 横浜 信一氏
PwCコンサルティング合同会社 パートナー 外村 慶
グローバルでの「ベスト・イン・クラス」であるために見極めるべき視点
外村:
セキュリティ・アンド・トラスト室のサイバーセキュリティ対応に関連したインテリジェンスの活用についてもう少し深掘りをさせてください。横浜さんはNTTのCISOに就任した2018年、自らのミッションとして事業会社のセキュリティ活動をエンパワーすることに加え、NTTの経営陣をサイバーセキュリティの観点から支援することを掲げました。これはどのような活動でしょうか。
横浜:
私が考えるサイバーセキュリティに関連したインテリジェンス活用の取り組みは2種類あります。1つは先述した技術面でのテクニカルなインテリジェンス。もう1つは、経営陣が長期的かつ包括的な視点から意思決定をする判断材料となる、ノンテクニカルなインテリジェンスです。
ノンテクニカルなインテリジェンスとは、各国の法規制や米国連邦政府の方針、EUのGDPR(一般データ保護規則)などの情報が対象です。これらの動向がNTTのビジネスにどのような影響を及ぼすのかという視点で情報を収集し、経営陣が次のアクションにつなげられるように支援しています。
NTTではこうした活動を随分と前から行っていたのですが、2014年に体制を強化して日本企業で初めてサイバーセキュリティに特化したアドボカシーチームを置きました。当時はNTTの海外事業が拡大する一方、サイバーセキュリティが今後の大きな課題として取り上げられ始めた時期でした。各国の政策・方針はまだ揺籃期と言え、揺籃期だからこそ傍観ではなく形成に参加しよう、シェーパーの一員になろう、そういう狙いを持ちました。
体制強化後、私は1年に4回ぐらいワシントンDCに出向き、官民連携の協議会メンバーや通信業界でインテリジェンス活動をしている担当者たちと交流し、「キーパーソンたちがどのような動向に注視しているのか」をヒアリングして回りました。そうした活動を通じて、米国で抱えている問題は、将来的に日本や欧州を含めた世界全体の問題になっていくことを確信しました。
外村:
米国の動向を把握することが、予知情報につながるということですか。
横浜:
はい。そうして収集した情報をNTTの中に取り込んで対応を積み重ねていくことで、“勘所”もわかってきます。そうすると、ある程度の予測も立てられます。こうした情報を提供することで、経営層は正しいタイミングでセキュリティに関する的確な経営判断や会社の方向性を示せるようになると考えています。
外村:
これまでのセキュリティ対策は、攻撃を防御する――つまりインシデントが発生してから対応する「受け身のセキュリティ」が大半でした。「レジリエンス」という概念も、攻撃からの素早い回復力を高めるものです。しかし今後はインテリジェンスを駆使して攻撃者の行動を予測し、あらゆる可能性を想定して対策を講じることが不可欠です。お話を伺って、NTTが実践しているのは、受け身ではなく「攻めのセキュリティ」であると感じました。
横浜:
自動車のヘッドライトのハイビームのようなものかも知れません。例えば、ランサムウェア攻撃は「いつ、誰から攻撃されるか」を予測することが難しい。しかし、地震予知のように「いつ発生するかわからないが、可能なかぎり準備をしておく」ことはできます。「攻撃を受けた場合には、誰が何を判断し、どの部門が、どのようなプロセスで対応するか」を決めている企業と、何もしていない企業では対応力が大きく異なります。
また、ノンテクニカルなインテリジェンスでは、ある程度の不確実性の幅の中でどのようなことが発生するのか“アタリ”はつけられます。その中で何を優先するかを決めるのは、経営判断です。
さらに言うと、「NTTとして(将来的に課題となるリスクに対しての備えを)どのレベルまで実施すべきか」を見極めるためにも、ノンテクニカルなインテリジェンスは重要です。
外村:
それは日本を代表する通信事業者として、世界の先進的な通信事業者に比べても遜色ない対応ができるように備えておくということでしょうか。
横浜:
そうですね。モチベーションとしては、世界の通信事業者のアドバンスドグループが実施しているレベルのことはやっておきたいという矜持です。脅威環境も技術も変化する中、サイバーセキュリティは終わりのない戦いではありますが、NTTとしてグローバルでの「ベスト・イン・クラス」でありたいと考えています。
そうした意味からも、世界を代表する先進的な通信事業者たちの取り組みと視座を「機先を制するためのセンサー」として、「相場観」や「バウンダリー(これ以上はやりすぎとなる限界線)」を見極めるようにしています。なぜなら米国や欧州で新たな規制が策定された場合、策定後に取り組むのと、それ以前から準備しているのとでは、対応に大きな差が出るからです。
規制の策定は、ある程度事態が進行してから議論されますよね。ですから規制が策定されるか否かにかかわらず、(規制に見合った)一定レベルのことを実施するのが、アドバンスドグループとしての在り方であると考えています。
ポストコロナ時代は「トラスト」が基本通貨に
外村:
最後に、今後の取り組みについて教えてください。CISOとしてどのような活動に注力されるのでしょうか。
横浜:
「トラスト」を普遍的なものにしたいと考えています。日本では「トラスト」という言葉が特別な意味として受け止められていたり、「よくわからないけど大事だよね」程度の曖昧な意味に捉えられていたりするように感じます。しかし、ポストコロナ時代は「トラスト」が世界の基本通貨になると考えています。
外村:
どういうことでしょうか。
横浜:
1980年代から台頭したグローバリゼーションの基本通貨は、「プロフィット」でした。企業価値を最大化し、経済合理性の追求を基本通貨としてグローバリゼーションを牽引してきたのですね。しかし、これからのグローバリゼーションの基本通貨は、必ずしも「プロフィット」だけではありません。「その企業は社会的責任を果たしているか」「その企業のビジネスは信頼に足るものなのか」といった「トラスト」が重要になると考えています。
NTTのミッションは、安全なデジタルインフラを世界に対して継続的に提供し、パートナーとともに社会課題の解決を目指すことです。そのためにはNTTが社会からトラストされることが重要であり、一方で社会に対して「セキュリティ・アンド・トラスト」で貢献できるポテンシャルを持っているとの自負もあります。
外村:
セキュリティとトラストはコインの表と裏のように表裏一体であり、ひいては会社の存在意義を下支えする存在になるだろうという考えですね。本日は貴重なお話をありがとうございました。
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.text}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.text}}
{{contentList.loadingText}}
