900の企業から成る、NTTグループのセキュリティガバナンス
筆者である横浜氏は、2018年6月に持ち株会社であるNTTのCISOに就任。最初に頭を悩ませたのは、大規模で複雑な構成を成しているNTTグループにおいて、効果的なサイバーセキュリティのガバナンスをどのように実現するかであったと言います。
横浜氏はガバナンスについて「その組織の構成員が、組織にとって全体最適となる行動を自然ととるようになる」(本書21ページより)仕組みを作ることだと捉え、次の2つの方針を立てました。
方針1:主要事業会社がセキュリティ中心的役割を果たす
主要事業会社とは、持株会社が50%を超えた出資をするNTTグループ数十社の中でも、特に規模の大きな約10社。現場主導のマネジメントを普段から状態化させるため、この方針を立てていると言います。
方針2:三線構造
部門のうち、ビジネス活動の現場を第一線、情報セキュリティ部門を第二線、内部監査部門を第三線と定義。これらと方針1で定めている主要事業会社の役割を掛け合わせ、持株会社と事業会社それぞれの第一線から第三線が、どのような役割を果たすべきかを判断。ここで最も重要なのは、事業会社の第一線でセキュアな業務運営が行われることだと横浜氏は語ります。
他にも、NTTグループ企業であれば、規模の大小に関わらず必ず守るべきセキュリティ確保策である「ミニマムベースライン」を定め、実現を求めているそうです。
しかし骨組みは整えたものの、横浜氏はNTTグループのガバナンスは「まだまだ道半ば」(本書33ページより)だとし、変化する環境の中で見直しを継続的に行うことが不可欠だと指摘します。
最も脆弱なセキュリティホールは“人”
2015年、NTTグループは2020年の東京オリンピック・パラリンピックの通信分野におけるローカルゴールドスポンサーとして、「2020年までにセキュリティ人材を1万人育成する」ことを目標として掲げていました。この目標を達成するため、スキルレベルに応じて上級・中級・初級の3レベルを設定し、人材育成に取り組んできたそうです。
まず初級の認定を受けるには、オンライン講座を8週間受講することが必要です。内容は脅威・脆弱性などの情報セキュリティ基礎やセキュリティマネジメント基礎などが含まれています。取り組みの結果、初級の認定を受けた人材は制度開始1年目の2015年に5000人となり、2016年には当初目標だった1万人を超えたとしています。
横浜氏は「最も脆弱なセキュリティホールは人」(本書122ページより)であるとし、万一のインシデント発生時に被害最小化のために社員一人ひとりが主体的に行動できることが大切だと指摘します。
非セキュリティ部門がセキュリティの“穴”を発見
NTTグループではセキュリティ人材育成の一環として特徴的な取り組みをしています。それが「バグ・バウンティ」です。
バグ・バウンティとは、情報システムに潜むセキュリティホールを見つけた人に支払う報奨金のことです。NTTグループではバグ・バウンティのプログラムを2023年から本格的に開始しています。
社内の試験運用では、90人の参加者のうち、40%以上がセキュリティ業務未経験者だったと言います。また、最高賞金獲得者はなんと情報セキュリティ部門に務めていない社員だったそうです!
横浜氏はこうした取り組みによって、セキュリティは全社員が参加し、会社全体で進めていくものだという意識を向上させることの重要性を主張しています。
