異なる業種・業界の企業と方向性を定める難しさ
──はじめに、正村様のご経歴とグループCISOとしてのお仕事内容について簡単に教えてください
1980年に日立系列の会社に入社し、当時はシステムエンジニアだったのですが、研究畑にずっといましたね。その後2013年に日本郵政へ入社し、最初はIT企画を担当していました。その頃の主な仕事は、「グループ全体で使う同じようなシステムを、1つにまとめて共有するほうが効率的である」といったアイデアを提案することでした。
そして2016年頃からセキュリティの領域へとシフトした形になります。セキュリティを適切に実行するためには、インフラとアーキテクチャの両方を理解する必要があるため、その両方を理解している私が担当することになったのです。
そうした中で私が務めるグループCISOとは、日本郵政グループを構成する、日本郵政、日本郵便、ゆうちょ銀行、かんぽ生命保険の各社それぞれのCISOを束ねる役割です。ゆうちょ銀行とかんぽ生命保険は上場企業ですのでより自立性を尊重していていますが、4社のセキュリティ状態や展開する施策を把握し、グループで協力し合いながら、セキュリティ向上に取り組んでいます。
──日本郵便は物流、ゆうちょ銀行・かんぽ生命保険は金融と、それぞれ事業領域が違うゆえに、セキュリティへの取り組みも異なるという印象があります
おっしゃる通りです。たとえば、ゆうちょ銀行のセキュリティ基準を日本郵便に適用しようとすると、とてつもないボリュームになりコストがかかります。逆に日本郵便の基準を他のグループ企業へ適用するとなると、国の規制や取り決めに適用しなくなりますので一緒にはできません。
日本郵便の場合ですと、大きく2つの業種をもっています。1つは郵便という、屋外で配達しながら端末を処理する物流事業。もう1つは、約2万4,000局ある郵便局の中で勤務する人たちが間接的に携わる金融事業です。郵便局ではゆうちょ銀行やかんぽ生命保険から委託を受けて金融関連の窓口業務を行っています。日本郵政グループ全体を含めますと、従業員は最大約40万人ほどいて、非常に規模が大きいものとなっています。
郵便は全国どこにでも配達をしなければならないため、ネットワークがまだ十分に整備されていない地域への対応も必要になりますし、そうした地域で物理的なネットワークを利用した配達を継続するために、思わぬ困難をともなうこともあります。
また、単に郵便事業だけを考えるのではなく、他の事業との調整も必要です。たとえば、金融窓口については郵便事業のシステムをゆうちょ銀行に合わせる必要があります。このような事業間の調整作業が非常に難しい点ですね。
ですがセキュリティ対策を進めるにあたり、4つの異なる企業がそれぞれ別の方向に進んでいるとコストが4倍になってしまいます。そこで数年前に、日本郵政グループとして目指すべきセキュリティ基準を設けることにしたのです。
経団連(日本経済団体連合会)の『サイバーセキュリティ経営宣言』を参考にした基準を設け、金融部門と物流部門ではそれぞれ歩み方が違うと認識しつつも、「進む方向性は同じである」という認識を得たことで、徐々に共通のセキュリティ指針を打ち出していったという形になります。生みの苦しみは当然ながらありまして、この共通の指針を作るだけでも大変でしたが、それぞれの方向性を合わせるためにも必要不可欠な行程でしたね。
