
以前よりも重要性が世間に認知されつつも、依然として気苦労が絶えないセキュリティ担当者。特に大企業などは、多くの社員やデジタル端末・情報資産を抱えているほか、利害関係も多く、その調整にあたって現場の苦労は想像に難くない。では、日本の大企業セキュリティリーダーたちはこれらの課題にどう向き合っているのか。「Security Online Day 2023 秋の陣」セッションにて、NECからはサイバーセキュリティ戦略統括部 統括部長である淵上真一氏、東芝からは同社サイバーセキュリティセンター ゼネラルマネジャーである下田秀一氏が、セキュリティ現場の苦労と課題、実は気になる他社への想いを語り合った。
「根拠を示せるセキュリティがコンセプト」NECのサイバー戦略
講演の冒頭では、まずNECの淵上真一氏が同社のセキュリティ全体像について触れた。同社では情報セキュリティのガバナンスを頂点に重要情報管理を置き、土台として社内のICTやサプライチェーンのほか、システムインテグレーターでもあることから顧客向けのセキュリティという三つの大きな土台を有している。淵上氏は重要なポイントとして、“ガイドラインに則った取り組みを進めている”ことを強調する。

「我々としては“なぜそうしているのか”という説明責任をきちんと果たすために、根拠を示せるセキュリティをコンセプトに進めています」(淵上氏)
NECではCISOをトップに、もう1名役員級のCo.EX(コーポレートエグゼクティブ)を置き、役員級のセキュリティ担当を設置することで関係部門が連携して対応するといった体制になっている。
また情報管理の考え方としては、Three Lines Modelを採用。それぞれ役割と責任を明確化して管理しており、「セキュリティの専門部隊がいて、そしてそれらがうまく回っているかを経営監査のような形で監査するといった形で、我々はセキュリティに取り組んでいます」と淵上氏は語る。

具体的なシステム面に関しては、ゼロトラストベースのセキュリティプラットフォームとなっており、認証基盤をまさに土台とし、それを支えるネットワーク基盤とその認証基盤上に脅威インテリジェンスや属性アクセス権限のコントロール、各種国内法に従ったシステムを展開。
また、同社の特徴的なポイントとして、全社員向けのセキュリティダッシュボードがある。これは社内で観測したセキュリティ脅威動向のデータを共有するもので、どういった状態に自社があるのかを全社員に対して公表するというものだ。
「セキュリティダッシュボードということで、脅威やリスクであったりと、今自分たちにどんな弱点があるのか。そして脅威があるのかを全社で共有することによって、セキュリティの意識を高めるといった取り組みをしています」(淵上氏)

そしてこれらの様々な取り組みを支えるためのセキュリティ人材のタレントマネジメントという点で「採用から育成、ローテーションも含め一括してセキュリティ部門が担当しているというのも我々の特徴的な点であると思っています」と語り、同社の解説を締めた。
この記事は参考になりましたか?
- Security Online Day 2023 秋の陣 レポート連載記事一覧
-
- 「願わくば、より多くの企業同士で交流を」NEC×東芝のセキュリティリーダーが語る現場のホン...
- 積みあがったレガシー刷新と並行して行ったセキュリティ改革、UCCグループCISOが語る4つ...
- “セキュリティ原理主義”に陥らない文化醸成法とは 「教科書のない」人材育成に挑むメルカリと...
- この記事の著者
-
この記事は参考になりましたか?
この記事をシェア