「根拠を示せるセキュリティがコンセプト」NECのサイバー戦略
講演の冒頭では、まずNECの淵上真一氏が同社のセキュリティ全体像について触れた。同社では情報セキュリティのガバナンスを頂点に重要情報管理を置き、土台として社内のICTやサプライチェーンのほか、システムインテグレーターでもあることから顧客向けのセキュリティという三つの大きな土台を有している。淵上氏は重要なポイントとして、“ガイドラインに則った取り組みを進めている”ことを強調する。
「我々としては“なぜそうしているのか”という説明責任をきちんと果たすために、根拠を示せるセキュリティをコンセプトに進めています」(淵上氏)
NECではCISOをトップに、もう1名役員級のCo.EX(コーポレートエグゼクティブ)を置き、役員級のセキュリティ担当を設置することで関係部門が連携して対応するといった体制になっている。
また情報管理の考え方としては、Three Lines Modelを採用。それぞれ役割と責任を明確化して管理しており、「セキュリティの専門部隊がいて、そしてそれらがうまく回っているかを経営監査のような形で監査するといった形で、我々はセキュリティに取り組んでいます」と淵上氏は語る。
具体的なシステム面に関しては、ゼロトラストベースのセキュリティプラットフォームとなっており、認証基盤をまさに土台とし、それを支えるネットワーク基盤とその認証基盤上に脅威インテリジェンスや属性アクセス権限のコントロール、各種国内法に従ったシステムを展開。
また、同社の特徴的なポイントとして、全社員向けのセキュリティダッシュボードがある。これは社内で観測したセキュリティ脅威動向のデータを共有するもので、どういった状態に自社があるのかを全社員に対して公表するというものだ。
「セキュリティダッシュボードということで、脅威やリスクであったりと、今自分たちにどんな弱点があるのか。そして脅威があるのかを全社で共有することによって、セキュリティの意識を高めるといった取り組みをしています」(淵上氏)
そしてこれらの様々な取り組みを支えるためのセキュリティ人材のタレントマネジメントという点で「採用から育成、ローテーションも含め一括してセキュリティ部門が担当しているというのも我々の特徴的な点であると思っています」と語り、同社の解説を締めた。
