第6回 通信業界におけるセキュリティ変革の最前線

通信業界の変革の最前線を紹介する「Telecom Transformation」。第6回では、近年AIをはじめとするテクノロジーがビジネス基盤となる中で、重要性が一段と高まる「セキュリティ」に焦点を当てます。

近年、重要インフラを標的としたサイバー攻撃が国内外で相次ぎ、通信インフラやサービスの安全性に対する関心が高まっています。あらゆるモノや人がネットワークでつながり、クラウドやSaaS（Software as a Service）がビジネス基盤となる現在、通信事業者にはインフラ提供にとどまらず、利用者の安全を確保し、ビジネスを止めない役割が求められています。

しかし、その実現には多くの課題があります。通信事業者は、多種多様な機器・ソフトウェアを外部ベンダーから調達しており、サプライチェーン全体に潜む脆弱性を管理する必要があります。一方で、現場ではサービスごとに積み上げてきた個別対応に依存しており、分散した環境の中で一貫したセキュリティ対策を推進することが難しくなっています。

では、こうした課題を克服し、全社横断で統合された高度なセキュリティ対策を実現するには、どのようなアプローチをとるべきでしょうか。本稿では、長年にわたり通信業界のクライアントを支援してきた能田啓史に、通信業界におけるセキュリティの重要性と、全社・業界横断で求められる変革の方向性を聞きました。

▼プロフィール

PwCコンサルティング合同会社
ディレクター
能田 啓史

（聞き手）
PwCコンサルティング合同会社
シニアアソシエイト
大平 亮

なぜ今、通信業界でセキュリティリスクが高まっているのか

大平：
最初に能田さんの経歴と担当している領域を教えてください。

能田：
キャリアのスタートは外資系ITベンダーです。エンジニア・セールス・マーケティングなどを経験した後、日系コンサルティングファームに移り、グローバルガバナンスやグループ組織改革、デジタル活用による業務変革などを約10年にわたり手掛けてきました。PwCコンサルティングでは、一貫して通信業界のクライアント支援を担当しています。

通信業界は規制産業でありながら、価格競争の激化やオペレーション効率化への圧力が高まっており、変革の必要性が一段と増しています。なかでも、レガシーシステムのモダナイズやAIなどをはじめとしたデジタル技術導入のニーズは特に強く、直近の2年間はこの領域を重点的に担当してきました。

大平：
急速に変化する通信業界でセキュリティリスクが高まっている背景には、どのような要因があるのでしょうか。

能田：
大きく三つあります。一つ目は、通信インフラ自体の技術進化です。かつては特定ベンダーの専用機器に依存したクローズドなインフラが主流でしたが、オープン化・ソフトウェア化の進展により、現在は汎用ハードウェアとソフトウェアを組み合わせる分散型のアーキテクチャへと大きく転換しています。

また、クラウドネイティブ設計やコンテナ、API（Application Programming Interface）連携によるサービス構成、汎用OSを用いた仮想化、さらにOpen RAN^※といった新技術が当たり前に使われるようになり、ネットワークの柔軟性は格段に上がりました。

こうした変化は、調達や開発の柔軟性を高める一方で、構成要素の増加と責任範囲の複雑化を招き、従来とは異なるレベルでのセキュリティ統制を求める要因となっています。例えば、コンテナやAPIの実装ミスによる情報漏洩、仮想環境における隔離不備、Open RANにおけるマルチベンダー連携での認証・アクセス管理の複雑化などが挙げられます。

^※ 無線アクセスネットワークをソフトウェア化し、複数ベンダーの機器を組み合わせて構築できる仕組み

大平：
新しい技術の導入とともに、それぞれ固有のリスクも増えているということですね。

能田：
そのとおりです。二つ目は、マルチベンダー化の進展とサプライチェーンリスクです。通信事業者の設備やソフトウェアは、中国・米国・欧州にまたがる複雑なサプライチェーンの中で、多様なベンダーから調達されています。そのため、個々の機器やソフトウェアだけでなく、それらを含むサプライチェーン全体を評価・管理する必要があります。つまり、どこにリスクが潜んでいるのかを、調達側自身が見極めなければならないのです。

自社のセキュリティがいかに堅固であっても、サプライチェーンのどこか一箇所に脆弱性があれば、そこが攻撃の起点となります。特に、複数ベンダーが関与する層が増えるほど責任範囲が分散し、脆弱性が見落とされやすくなります。また、取引先や委託先のセキュリティ成熟度にもばらつきがあります。結果として、サプライチェーン全体でのセキュリティ方針の共有や、継続的な監査・安全性確認が不可欠となっており、対応の難易度は一段と高まっています。

三つ目は、地政学的リスクや、国家的な関与が疑われるサイバー攻撃です。近年では、ランサムウェアや標的型攻撃など、組織的かつ高度な攻撃が顕在化しています。また、大規模なサイバー攻撃も発生し、脅威がより多様化・高度化しています。通信事業者は社会インフラの中核を担う存在であるため、攻撃の対象になり得ることを前提とした対応が求められます。

通信事業者が直面するセキュリティ対策の構造的課題とは

大平：
技術進化の恩恵を受ける一方で、企業はこうした複雑なリスクと向き合う必要があるのですね。現在、通信事業者が直面しているセキュリティ課題を教えてください。

能田：
生成AIの登場により、攻撃が高度化する一方、防御にもAIの活用が進み、検知のスピードやカバレッジも大きく変わりました。一方で、本質的に求められる対策の構造は変わっていません。通信業界のセキュリティ課題は、大きく三つに集約されます。

一つ目は、境界防御の限界と対策の陳腐化です。従来はファイアウォールや侵入検知といった境界防御が中心でしたが、AIを用いた高度な攻撃手法により脆弱性の悪用が容易になり、境界防御だけではランサムウェアや標的型攻撃には対処できません。ゼロデイ脆弱性を突くような攻撃もあり、旧来の対策を繰り返すのではなく、継続的に進化させていくことが不可欠です。

二つ目は、マルチベンダー統制の難しさです。サイバー攻撃を受けたベンダーのクラウド環境が停止すれば、その影響が自社サービスに及ぶ可能性があります。多数のベンダーが関わる環境では、セキュリティ統制やリスク評価が曖昧になりやすく、適切なネットワーク分離や責任統制をどう担保するかが重要な課題です。

三つ目は、現場主導・属人化の限界と「自前主義」の壁です。通信事業者はサービスが多岐にわたり、新しいサービスを立ち上げるたびに新たな脆弱性リスクが生まれます。各部門が独自にセキュリティ対策を行う現状では、属人的な対応に陥りやすく、全社統一のリスク管理や迅速なインシデント対応が難しくなっています。さらに、自前主義や垂直統合の文化が強い組織では、外部知見の取り込みや横断的な統制が進みにくく、結果として統合的なセキュリティ体制の構築を阻む要因となっています。

大平：
構造的な課題が重なっているのですね。そうした課題解決に向け、経営層はどう関与すべきだとお考えですか。

能田：
セキュリティの専門家に判断を委ねたり、「現場力」に頼って改善を積み上げたりするだけの従来型のやり方では、もはや対応しきれません。経営層には、インフラ・サプライチェーン・サービスのリスクを横断的に管理する組織を構築し、適切な投資とリソースを配分する役割があります。そのためには、経営層が主導することが不可欠です。さらに、AIなどの新技術を活用して運用を高度化・効率化していく必要があります。この両立を本気で進めなければなりません。

大平：
グローバル企業では全社横断のセキュリティ部門が機能している一方、日本企業では十分に機能していない印象があります。セキュリティ担当者がいても、全社横断で統制しきれないのはなぜでしょうか。

能田：
日本企業が「現場の創意工夫を重視する」という文化を持っていることも、要因の一つだと考えます。外資系企業では統制が強く、現場が独自にツールを導入すれば厳しい制約やペナルティが課されることがあります。一方、日本企業では個々の工夫によって組織全体が有機的に動くことの方が重視されてきました。

こうした文化は強みでもありますが、意思統一に時間がかかり、対策のスピードが落ちやすい側面もあります。そのため、外部の脅威や環境変化を十分に取り込めていないケースも少なくありません。しかも、サイバー脅威は待ってくれません。

日本の大手通信事業者でも、セキュリティ対策を経営戦略と位置づけた取り組みは進んでいますが、そのアプローチにも課題があります。多くの日本企業が得意とするボトムアップ方式は、各部門が独自に対策を進めるためそれぞれがサイロ化しやすく、全社レベルでの俯瞰や実態把握が行いにくくなります。各部門からは「自部門の対策はできている」という報告が上がるため、経営層には全社的に対策が進んでいるように見えてしまいますが、実際には部門間の連携や抜け漏れが見過ごされているケースが少なくありません。横串の組織自体は存在していても、十分な権限やリソースを持てていないケースが多いのが実情です。

可視化・高度化・ガバナンス——セキュリティ変革の3本柱

大平：
では、こうした課題に対し、具体的にどのようなアプローチでセキュリティを変革すべきでしょうか。

能田：
経営層が主導しながら全社横断で取り組むには、優先順位と順序が重要です。アプローチは、以下の3本柱で進めることが重要です。

一つ目は「リスクと対応能力のアセスメントと可視化」です。何が起きていて、どこにリスクがあるのかを正確に把握し、継続的に評価・可視化していくことが出発点になります。ここで大切なのは「継続的」という点です。通信業界を取り巻く環境は常に変化するため、一度の診断で終わらせず、継続的に見直し続ける必要があります。また、診断・評価から得た情報を経営層から現場までリアルタイムに共有できる状態を整えることも不可欠です。

二つ目は「最新リスクシナリオに基づく対策の高度化」です。変化する脅威に対抗するためには、AIを活用した脅威検知・防御の高度化や、クラウドネイティブ／コンテナ環境に対応したセキュリティ設計など、最新技術の組み込みが求められます。あわせて、内部不正や人的ミスへの対策として、ID・アクセス管理や行動分析の強化も不可欠です。

三つ目は「ガバナンスの刷新」です。これからのサイバーセキュリティは、人と人の戦いではなく、AIを使う攻撃者と、AIを組み込んだ企業オペレーションとの戦いになっていきます。セキュリティを経営課題として位置付け、全社横断でリスク管理を統制できる体制への転換が求められます。

大平：
その3本柱のアプローチを着実に実行するうえで、PwCコンサルティングとしてはどのような支援が可能でしょうか。

能田：
私たちはこうした複合的な課題に対して、戦略策定から実行・運用までを一貫して支援できる体制を備えています。独自のフレームワークと豊富な実績をもとに、クライアントのセキュリティ強化とサイバーリスク低減を包括的に支援しています。

まず「リスクの可視化」については、独自のサイバーリスク評価フレームワークを活用し、技術的脆弱性から組織体制、サプライチェーンまで横断的にリスクを洗い出します。さらに、シナリオベースの演習や実戦的なペネトレーションテストを通じて実務での対応力を検証・強化するとともに、把握したリスクと対応状況を経営層も含めてリアルタイムに共有できる仕組みの構築も支援します。

次に「対策の高度化」については、最新のセキュリティアーキテクチャ設計やAIの活用、内部統制の強化まで幅広く対応しています。なかでも、当社が提供するサイバーリスクインテリジェンス機能を活用することで、世界中の脅威情報や攻撃者の動向をリアルタイムに把握し、リスク評価や対策の優先順位付けに役立てることができます。これにより、脅威アクターに先手を打つ高度な防御戦略、いわゆる能動的サイバー防御（アクティブ・サイバー・ディフェンス）の実現を支援します。

そして「ガバナンスの刷新」については、セキュリティガバナンスのベストプラクティスに基づく組織構築、リスク管理プロセスの最適化、サプライチェーンを含む統制体制の強化まで、豊富なフレームワークとユースケースをもとに支援します。こうした外部知見をも取り入れ、全社的に一貫したリスク対応体制の構築が可能になります。重要なのは、単に「人の対応作業を速くする」ことではありません。脅威を検知し、分析し、優先順位をつけ、初動対応する一連のプロセスを、マシンスピードで回せるようにAIを前提にして再設計する変革が必要不可欠です。

大平：
PwCコンサルティングの総合力でリスク把握から対策実装、運用・ガバナンス整備までワンストップで支援できるのですね。

能田：
はい。通信業界固有の複雑なリスク環境を踏まえ、最新のテクノロジーを生かし、技術面・組織面の両方から強固かつ持続可能なセキュリティ基盤の構築を支援することが私たちの使命です。

文化・継続・連携——次世代通信セキュリティの実現に必要な視点

大平：
最後に、通信事業者が今後セキュリティに向き合ううえで、どのような視点を持つべきかを教えてください。

能田：
通信業界は社会インフラとしての役割を担う以上、セキュリティへの取り組みは単なる対策の積み上げではなく、企業の競争力そのものを左右するテーマになりつつあります。その前提に立ったうえで、今後特に重要になる視点は三つあります。

まず、セキュリティを「文化」として定着させることです。現場に頼った対策の積み上げだけでは、変化のスピードに追い付くことはできません。経営層が自らリスクを引き受ける姿勢を示し、全社横断で意思決定とリソース配分を行う。そうした状態があって初めて、組織として継続的に変化に対応できる基盤が整います。

次に、可視化と改善を回し続ける力を持つことです。サイバー脅威は常に進化しており、一度整備した対策が長く有効であり続けることはありません。重要なのは、現状を把握し続け、変化に応じて見直しをかけ続ける仕組みを持てるかどうかです。単発の対策ではなく、継続的な運用能力そのものが競争力になります。これまでのように人的資源を大量投入して頑張る、という精神論アプローチではなく、限られた人的資源でこれまで以上の成果を得られるようにするための仕組みのイノベーションも必要です。

そして、「単独では守れない」という前提に立った連携です。サプライチェーンが高度に連結した現在、自社だけでリスクを閉じることはできません。関係省庁・パートナー企業等と業界横断で情報共有や連携をし、脅威に対する共通認識と迅速な対応体制を構築することが不可欠です。通信インフラの安全性は、企業単体の問題を超え、社会全体の安定に直結するためです。

これら三つは個別の施策ではなく、いずれも継続的に実行できる組織と意思決定の在り方に関わるものです。これを実現できてはじめて、通信事業者として安心・安全なサービスをユーザーに提供できると言えるのではないでしょうか。

大平：
技術・組織・文化、それぞれの変革が一体となって初めてセキュリティが機能するのだと、本日の対談を通じてよく理解できました。ありがとうございました。

能田：
ありがとうございました。通信インフラの安全性は企業の枠を超え、社会の信頼や国家の安定に直結するテーマです。その前提に立てば、セキュリティはコストではなく、持続的な競争力の源泉と捉えるべきだと考えています。PwCコンサルティングとしても、こうした視点を共有しながら、変化に耐えうるセキュリティ基盤の構築を支援していきます。