SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

EnterpriseZine Day 2024 Summer

2024年6月25日(火)オンライン開催

予期せぬ事態に備えよ! クラウドで実現するIT-BCP対策 powered by EnterpriseZine

2024年7月10日(水)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

Security Online Press

NECのCISOが語る、セキュリティで果たす役割「自社だけでない、より循環した価値の提供へ」

 2022年、ロシアによるウクライナ侵攻や民間企業に対するサイバー攻撃など、セキュリティ環境における激動の一年が終わり、2023年が幕を開けた。今年もさらなるサイバー攻撃の増加が見込まれており、さらには国際情勢の変化などから、官民ともにセキュリティ施策への注目が一層集まりつつある。そうした中で、日本のインフラやセキュリティに深く携わるNECは今年をどう見ているのか。同社CISOである小玉浩氏に、昨年の振り返りと、2023年のセキュリティ環境、そして同社の今後について取材した。

レジリエンスの必要性を感じた2022年

──2022年は国内外でサイバーセキュリティ被害が大きく注目された年でした。 小玉様が特に注目されたセキュリティトピックはどういったものがありましたか?

 2022年、特に印象に残ったワードとしては「ランサムウェアのコモディティ化」「ワイパー型攻撃の登場」です。ランサムウェアは、攻撃に至るまでのプロセスが分業化・サービス化・ビジネス化され、専門の知識がないアクターでもサイバー攻撃を行う武器を手に入れられるようになっています。

NEC 執行役員常務 兼 CIO 兼 CISO 小玉浩氏
NEC 執行役員常務 兼 CIO 兼 CISO 小玉浩氏

 いわゆるRaaS(Ransomware as a Service)というサービスを使えば、様々なサイバー攻撃が容易にできるだけでなく、どのターゲットを狙えばいいかといった情報さえも手に入るとされています。

 特に昨年、ランサムウェアに関しては脆弱な外部公開アセットを持つ海外現地法人が起点となって侵入されるケースが散見されました。NECでは幸いランサムウェア被害は出ておらず、レッドチームの攻撃診断によるグローバルなサイバーリスクアセスメント(CRA)の効果があったと考えています。

画像クリックで拡大
画像クリックで拡大

 「ワイパー型攻撃の登場」では、サイバー攻撃による民間インフラへの破壊行為などを受け、IoTなどの技術が進化する一方で、それらを守るセキュリティなどが追いつかなければ被害に遭ってしまうということを大きく痛感させられた1年でした。我々も内部ネットワークを監視していますが、あらためて、常に脅威が侵入してくる前提で内部攻撃対策やレジリエンス強化を行う必要があると感じています。

 ワイパー型攻撃の脅威が表面化した際はその攻撃手段が民間企業にとっても脅威だったことから、弊社ではEDRなどのソリューション導入を一層推進することで、さらなるセキュリティ検知能力の向上に努めています。さらに、脅威インテリジェンスを収集・分析することにより、事前防御の対応ができる体制になっており、大きなリスクにはなっていません。

セキュリティカルチャーの変革へ

 また、2022年はデータドリブンなセキュリティカルチャー変革に取り組んだ年でした。社員のアウェアネス向上に向け、サイバー攻撃の状況や脅威・リスクをグローバルに可視化し、経営層から社員全員がそれぞれの立場でリスクへの認識や判断などのアクションを可能にする「サイバーセキュリティダッシュボード」は革新的であり、大きな成果を実感しています。

画像クリックで拡大
画像クリックで拡大

 加えて、東京2020オリンピック・パラリンピック競技大会に向けて構築したセキュリティ体制が、レガシーとして機能していることが印象深いですね。

 大会を見据えたセキュリティ対策強化や「この状態になった際はこうしよう」といった感度を上げた運用レベルの設定、そしてそれらを回せる体制と仕組みが、レガシーとして今に引き継がれています。特に大会開催前後に大きな問題となった、企業を騙る偽サイトを発見する技術などは、この時期に大きく進歩させました。

 また、テレワークを前提とし、関係役員と円滑にコミュニケーションが取れる仕組みをこの時期に構築したことで、問題があればすぐリモートでつなぐような体制ができており、組織としてなんらかのセキュリティリスクがあった際には迅速に対応できる状態になっています。

 このように、レジリエンス・インテリジェンス・アウェアネスの観点で多面的な対策強化を行ったことにより、第三者の視点で外部評価・格付けにおいても非常に高評価をいただくことができました。

画像クリックで拡大
画像クリックで拡大

次のページ
NECとして果たす役割

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
Security Online Press連載記事一覧

もっと読む

この記事の著者

西隅 秀人(ニシズミ ヒデト)

元EnterpriseZine編集部(2024年3月末退社)

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/17234 2023/02/09 08:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング