SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年夏号(EnterpriseZine Press 2024 Summer)特集『ニューリーダーに訊く──2024年春、CxOに就任した2人が目指す姿とは』

BOOKS

3年で4万人のセキュリティ人材を育成 NTTグループのCISOが語るセキュリティ戦記

日本のセキュリティを守るために必要なのは「オールジャパン」による取り組み

 日々高度化するサイバー攻撃や脅威から、国や企業を守るのは容易ではなく、他国や他社で発生したインシデントや対策などの事例を参考にして対策を練ることも大切です。一方で、自社のセキュリティに関するノウハウを明かすことは手の内を明かすことと同じであり、リスクをともなうため、そういった事例を公表する組織はごくわずかです。しかし、日本を代表する大企業でそれを実践したのが、年間売上約13兆円、グループ社員約33万人を有する、日本電信電話株式会社(以下、NTT)グループCISOである横浜信一氏。そこで、今回ご紹介する書籍は『サイバーセキュリティ戦記 - NTTグループの取組みと精鋭たちの挑戦』(横浜信一著、リックテレコム)です。横浜氏は、NTTのセキュリティに対する取り組みが、他企業や産業界にとって参考になるのであればと、筆を執ったそうです。ここでは、本書の一部を紐解いていきます。

900の企業から成る、NTTグループのセキュリティガバナンス

 筆者である横浜氏は、2018年6月に持ち株会社であるNTTのCISOに就任。最初に頭を悩ませたのは、大規模で複雑な構成を成しているNTTグループにおいて、効果的なサイバーセキュリティのガバナンスをどのように実現するかであったと言います。

 横浜氏はガバナンスについて「その組織の構成員が、組織にとって全体最適となる行動を自然ととるようになる」(本書21ページより)仕組みを作ることだと捉え、次の2つの方針を立てました。

方針1:主要事業会社がセキュリティ中心的役割を果たす

 主要事業会社とは、持株会社が50%を超えた出資をするNTTグループ数十社の中でも、特に規模の大きな約10社。現場主導のマネジメントを普段から状態化させるため、この方針を立てていると言います。

方針2:三線構造

 部門のうち、ビジネス活動の現場を第一線、情報セキュリティ部門を第二線、内部監査部門を第三線と定義。これらと方針1で定めている主要事業会社の役割を掛け合わせ、持株会社と事業会社それぞれの第一線から第三線が、どのような役割を果たすべきかを判断。ここで最も重要なのは、事業会社の第一線でセキュアな業務運営が行われることだと横浜氏は語ります。

 他にも、NTTグループ企業であれば、規模の大小に関わらず必ず守るべきセキュリティ確保策である「ミニマムベースライン」を定め、実現を求めているそうです。

 しかし骨組みは整えたものの、横浜氏はNTTグループのガバナンスは「まだまだ道半ば」(本書33ページより)だとし、変化する環境の中で見直しを継続的に行うことが不可欠だと指摘します。

最も脆弱なセキュリティホールは“人”

 2015年、NTTグループは2020年の東京オリンピック・パラリンピックの通信分野におけるローカルゴールドスポンサーとして、「2020年までにセキュリティ人材を1万人育成する」ことを目標として掲げていました。この目標を達成するため、スキルレベルに応じて上級・中級・初級の3レベルを設定し、人材育成に取り組んできたそうです。

 まず初級の認定を受けるには、オンライン講座を8週間受講することが必要です。内容は脅威・脆弱性などの情報セキュリティ基礎やセキュリティマネジメント基礎などが含まれています。取り組みの結果、初級の認定を受けた人材は制度開始1年目の2015年に5000人となり、2016年には当初目標だった1万人を超えたとしています。

 横浜氏は「最も脆弱なセキュリティホールは人」(本書122ページより)であるとし、万一のインシデント発生時に被害最小化のために社員一人ひとりが主体的に行動できることが大切だと指摘します。

非セキュリティ部門がセキュリティの“穴”を発見

 NTTグループではセキュリティ人材育成の一環として特徴的な取り組みをしています。それが「バグ・バウンティ」です。

 バグ・バウンティとは、情報システムに潜むセキュリティホールを見つけた人に支払う報奨金のことです。NTTグループではバグ・バウンティのプログラムを2023年から本格的に開始しています。

 社内の試験運用では、90人の参加者のうち、40%以上がセキュリティ業務未経験者だったと言います。また、最高賞金獲得者はなんと情報セキュリティ部門に務めていない社員だったそうです!

 横浜氏はこうした取り組みによって、セキュリティは全社員が参加し、会社全体で進めていくものだという意識を向上させることの重要性を主張しています。

次のページ
たった3日で情報セキュリティポリシー原案を作成

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
関連リンク
BOOKS連載記事一覧

もっと読む

この記事の著者

竹村 美沙希(編集部)(タケムラ ミサキ)

株式会社翔泳社 EnterpriseZine編集部

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/18412 2023/09/29 09:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング