2022-05-16
日本を牽引する企業・組織のセキュリティ責任者をお招きし、サイバーセキュリティとプライバシーをめぐる最新の取り組みを伺った「Digital Trust Forum 2022」。本シリーズでは各セッションをダイジェストで紹介します。
今回のセッションに登壇いただいたのは、日本の重要な社会インフラを提供する日本電信電話株式会社(NTT)で執行役員 CISO セキュリティ・アンド・トラスト室長を務める横浜信一氏と日本郵政株式会社常務執行役グループCISOの正村勉氏です。デジタルトランスフォーメーション(DX)推進やデータドリブン経営の必要性が指摘される中、どのようにセキュリティリスクを捉え、セキュリティガバナンスを確立しているのか。その具体的な施策をお伺いしました(本文敬称略)。
登壇者
日本電信電話株式会社
執行役員 CISO
セキュリティ・アンド・トラスト室長
横浜 信一 氏
日本郵政株式会社
常務執行役 グループCISO
正村 勉 氏
モデレータ
PwCコンサルティング合同会社 CISO
パートナー
外村 慶
(左から)外村、横浜氏、正村氏
外村:
最初に企業におけるセキュリティ対応の現状を説明させてください。サイバー脅威は年々深刻化しています。その背景には攻撃力の高度化だけでなく、OT(制御技術)とITの融合、グローバル拠点の増加、BYOD(個人デバイスのビジネス利用)の普及など、守るべき対象範囲の拡大も挙げられます。
横浜さんも正村さんも、グループ傘下に複数の企業を抱えるCISOです。いくつもの組織をまたぐ形でセキュリティガバナンスを確立するためには、何が必要でしょうか。
横浜:
NTTグループには「情報セキュリティ規程」と呼ばれると呼ばれるルール、ポリシーがあります。しかし、ドキュメントをグループ会社に提示し、「守ってください」と言うだけでは浸透しないでしょう。またご指摘のとおり、攻撃手法は複雑化しています。新しい攻撃が発見されるたびにドキュメントを更新することも現実的ではありません。
もちろん、規程を策定し、合意のうえで遵守することは重要です。しかし、本当に実効性のあるセキュリティガバナンスは、「組織の構成員が、組織にとって最適な行動を自発的にとる、そんな仕組みを作ること」だと捉えています。
「ガバナンス」という言葉は、中央集権的(セントラルコントロール)に上位組織が指示を出して全体に守らせるという意味で使われることが多いです。それも1つの方法ですが、NTTグループのように海外拠点や子会社まで含めると1,000近くの会社を擁し、かつ通信やITサービス、金融業など多様なビジネスを展開しているような組織では、一律の規程や指示で仕切ることは難しいのです。
したがって、セキュリティガバナンス策定の理想型は「ボトム(ミドル)アップ」だと考えます。各グループ会社から「最適なセキュリティ対策を講じるにはこのような行動が必要だ」という自発的なアクション・提起があり、そうした行動が取りやすいような仕組みを(持株会社の)私たちが作ってサポートしていくというアプローチが、適切なセキュリティガバナンスの確立に求められると考えています。
正村:
横浜さんのおっしゃるとおりです。一般的に「ガバナンス=統治」というイメージですが、実効性のあるセキュリティガバナンスは、現場から湧き上がってくるものをベースにすることが理想的です。
日本郵政グループは2007年の日本郵政公社民営化を受け、「日本郵便」「ゆうちょ銀行」「かんぽ生命保険」に分割した組織体です。そして、セキュリティガバナンスについては現在各社が独自にルールを策定している段階です。当然、金融(ゆうちょ銀行)には強固なセキュリティガバナンスが必要ですが、同レベルのガバナンスを物流(日本郵便)に当てはめる必要はありません。ですから、日本郵政グループとして一律のセキュリティガバナンスを一方的に押しつけることは、現実的ではないのです。
グループのCISOとしては、現場が「自分たちはこうしたい。だからこういうルールを策定している」と自発的に行動してくれることがベストです。CISOとしてはその行動を支援しつつ、さらに良いルールにするため、お互いに意見を出し合いながら実効性のあるセキュリティガバナンスを策定していくことが理想です。
日本電信電話株式会社 執行役員 CISO セキュリティ・アンド・トラスト室長 横浜 信一 氏
日本郵政株式会社 常務執行役 グループCISO 正村 勉 氏
外村:
セキュリティガバナンスの構築にあたっては、上から押しつけて「統治」をするのではなく、現場が自発的に行動できる仕組みと環境を作ることが重要なのですね。しかし、セキュリティガバナンスの(ルール)策定は堅牢なセキュリティ対策のための「入口」でしかなく、セキュリティガバナンスを実現するためには具体的な強化策も必要です。NTTグループと日本郵政グループではそれぞれどのような施策を講じていますか。
横浜:
私が重要視しているのは、平時から事業会社のキーパーソンと密にコミュニケーションをとり、信頼関係を構築することです。各事業会社はそれぞれセキュリティチームを擁しており、CISOがいます。私はNTTグループ全体のCISOとしてグループ企業全体のセキュリティ推進を統括しており、各事業会社のCISOやそのスタッフと定期的に意見交換の場を設け、チームワークとしてグループのセキュリティを強化していけるよう努めています。
そのため、数年かけてインフォーマルな形で気軽に情報交換できる環境作りを進めてきました。例えば、グループCISO着任以来、毎年夏に国内の主な事業会社のCISOと個別に意見交換する機会を作っていますし、海外事業会社のCISO達とは約2か月に1回の頻度で全員参加の電話会議を開いています。国内外の組織を問わず多くの対話チャンネルを作ることで、持株会社と事業会社の間だけではなく、事業会社同士のコミュニケーションにまで広がっていくことが理想です。各社のCISO同士が悩みや課題、経験などを共有し、知恵を出し合って課題解決する環境があれば、NTTグループ全体としてセキュリティの底上げができると考えています。
正村:
私も全く同じ考えです。CISOに情報が上がってこなかったり、聞き心地の良い情報しか報告されなかったりすれば「裸の王様」になってしまいます。ネガティブな情報もフランクに上げてもらうことで「この問題を解決するにはどのようなガバナンスが必要か」を議論し、具体策に落とし込めます。そうした関係の構築がセキュリティバナンス強化の最初の一歩です。
外村:
なるほど。ネガティブなものであってもフランクに情報交換できる環境の構築が重要なのですね。では、経営層に対してはどのような働きかけをしていますか。
正村:
日本郵政グループの経営層の皆がIT(サイバーセキュリティ)に精通しているわけではありません。ですからセキュリティ対策の必要性を理解してもらうには、「脅威」と「安心」の両方を伝えることが大事だと考えます。例えば、私たちは四半期に1度、経営会議の場でセキュリティ対策に関する報告をしています。
その際には「今四半期にセキュリティインシデントは発生しませんでした」ではなく、実際の脅威を経営層がわかるように可視化し、「これだけの脅威がありましたが、こうした方法で防御しているのでインシデントは発生しませんでした。ですから安心です」と伝えるようにしています。「攻撃されたけど防御できた」ことを明確にすることで、「セキュリティには予算を付けないといけない」ことを理解してもらうのです。
横浜:
NTTでは経営会議に相当する執行役員会議を、毎週月曜日に実施しています。私もこの会議のメンバーなので、自らが議題提起をすることがあります。加えて、インフォーマルな形で経営陣に情報共有をするようにしています。例えば、新聞に大きく報じられたサイバーインシデントや脅威について全役員に分かりやすい解説メールを送りますし、その際、「自社に当てはめると○○といった被害・ダメージが想定されます。そのために〇〇の対応をとっています。」という情報をインプットしています。経営層がビジネスリスクマネジメントの一つとしてサイバーセキュリティを位置付けられるよう、経営視点で最新情報を常に提供することがポイントだと考えています。
これだけデジタル化がビジネスとイノベーション、経済成長に不可欠なインフラになっている以上、サイバーセキュリティに真摯に取り組むことは企業にとって社会的責任の一環です。また、経営層が自社のセキュリティ対策を対外的に説明することも「顧客や社会から信頼を得る」という観点から益々大切になってくると思っています。そのために必要な情報を経営層にインプットすることも、CISOの役割です。
外村:
先ほど、セキュリティガバナンスの策定は「入口」だと申し上げました。一方、セキュリティガバナンスの「出口」は、策定した内容を具体的な施策に落とし込み、実効力を強化することだと考えます。そうした実効力を強化するために、どのような施策を講じていらっしゃいますか。
正村:
日本郵政グループは全国2万4,000の郵便局をネットワークで結んでおり、約15万台のパソコンがインターネットに接続しています。もちろん、ATM(現金自動預払機)などのネットワークとは分離していますが、インターネットに接続しているパソコンをいかに脅威から防御するかは、日本郵政グループ企業の共通課題であり、各企業が連携して防御しなければなりません。
その対策の1つが「脅威と防御の可視化」です。「この対策を講じた結果、脅威がこれだけ削減でき、これだけの効果があった」ということが可視化されれば、継続的な実効につながります。
各社の個別対策では限界があることでも、共通化することで防御できていることが分かれば、実効力の強化につながります。
横浜:
NTTグループでも「各社で最適なセキュリティを考えてください」、ただし「最低限これだけは守ってください」という最低限の要求を決めて、それをグループ共通の規程に反映しています。
その際に直面するのが、「共通部分の“厚さ”をどのように決めるか」です。当然、各社は自由度が欲しいので共通の必須事項は少なくしたい。しかし、グループCISOの立場としては必須事項を多くしたい。そのようなせめぎあいの中で両者の合意ポイントを見出すには、「グループにとって最適は何か、を個社の立場を超えて各社に考えてもらう」ことだと考えます。「共通部分での取組みが効果を上げたことを可視化し、その必要性を納得してもらう」ことも有用ですが、議論の土俵をグループ全体の視点にすることがより大事だと考えます。
実はNTTグループでは以前、各社が実行可能で合意がとれる事項を共通部分にしていました。ベン図でいえば、全社が重なっている部分ですね。この方式をとれば各社から反対意見は出ませんが、その反面で最低限の対策しか採用されない可能性があり、高度化する脅威に対峙できません。ですから、先見性を持って将来的に必要になる部分を見込んで各社が納得する形で共通部分を厚くしていくリーダーシップが必要です。
外村:
CISOには時代の潮流を見極めることが求められるのですね。具体的にはどのような対策を実施されているのでしょうか。
横浜:
具体的な例としては、振る舞い検知であるEDR(Endpoint Detection and Response)の導入をまだ黎明期の段階で決定しました。各社のCISOと議論し、NTTグループ全体で義務化しました。一部からは「必要ない」との意見もありましたが、時間が経つにつれ、その必要性を理解してもらっています。そうした一歩先を行くアプローチで、共通化を支えていくことが大切だと思います。
外村:
正村さんも「共通部分の厚さのせめぎ合い」という言葉に深くうなずいていらっしゃいましたね。
正村:
はい。私たちも全く同じ課題を抱えています。先述したとおり、日本郵政グループでセキュリティ対策を厚くしたいのが金融(ゆうちょ銀行)で、薄くしたいのが物流(日本郵便)なのです。仮に“共通の厚さ”にするとなると、金融のほうはコスト負担が少なく、物流のほうが負担増になってしまうのです。
外村:
それはなぜでしょうか。
正村:
金融と物流の会社規模が違いすぎるからです。共通化によって物流システムに対して必要以上のセキュリティ対策を強要すると、負担増となり経営層に納得を得ることが難しくなってしまう。どのように納得して取り組んでもらえるようにするのかが現在の課題です。
横浜:
「どの部分に、どれだけ堅牢なセキュリティ対策を、どのような技術を導入して講じるか」は複合的に考える必要があります。その際に必要なのは、CISOである私自身が強い確信を持てるかどうかです。そのためには、技術や現場の環境、また他社がどこまでやっているのかという「相場観」を見極める、そうしたアンテナ機能を高めることが役に立つと思います。
外村:
実効性のあるセキュリティガバナンスを確立し、プロアクティブなセキュリティ対策を実現するには組織全体のセキュリティのボトムアップを図ることと同時に、CISOのリーダーシップ、確信とそれを支える広義のインテリジェンス活動も重要な要素となるのですね。本日はありがとうございました。
PwCコンサルティング合同会社 CISO パートナー 外村 慶
