従業員数19万人以上のNTTデータが直面したセキュリティ課題
国内外に約19万5000人の従業員が在籍するNTTデータグループのような組織では、サイバーセキュリティに関する事件や事故も少なくない。新井氏はエグゼクティブ・セキュリティ・アナリストとして、こうした事案が発生した際に対応の指揮を執っている。
また、同グループでは4〜5年ごとにセキュリティ担当者の人事異動があり、これまでの取り組みが継続できなくなることがあるという。同氏はこうした属人的な課題を解消するため、人材育成や部門の能力維持にも力を入れていると語る。
同グループではかつて、仮想デスクトップ環境下で利用するシンクライアントを導入していたが、そこには多くの課題があった。シンクライアントは情報漏えいリスクを軽減できる一方、通信環境が整っていない場所では利用できないうえ、クラウドサービスの制限も厳しく、利便性が低いという。こうした課題を踏まえ、シンクライアントの運用を見直し、安全性を維持しながら従来のパソコン環境に近い環境を保てるファットクライアントへ移行する方針を採ったという。
また、課題はシンクライアントだけではなかった。NTTデータグループは事業買収を通じて市場を拡大し、従業員の3分の2が海外のグループ企業に属している。しかし、各拠点のセキュリティルールが統一されておらず、使用する技術や管理方針にもばらつきがあったのだ。
このような課題に対し同グループは、EDR(Endpoint Detection and Response)による監視、Oktaによる認証管理、Zscalerによるクラウドアクセス制御などを導入し、すべての従業員が活用できるグローバルなセキュリティ基盤を整備した。これにより、パソコン環境でもシンクライアントに近いセキュリティレベルを確保しているという。
また、これらのシステムによる管理を通じて最低限のルールを定め、承認されていないUSBメモリなどの記録媒体は使用できないように制限し、Microsoft 365を中心としたクラウドサービスで情報共有と連携を推進。「これにより、場所を選ばず働ける環境が整った」と新井氏は語る。
問題はセキュリティ“以外”のところにも
こうした取り組みにより、同グループは第三者機関から一般的な基準を上回るセキュリティレベルだと評価されている。ここまで聞くと、NTTデータグループのセキュリティ対策は十分かのように思えるが、「まだまだグローバル企業ならではの課題は残っている」と同氏。たとえば、海外のグループ企業に属するCISOとの意見対立があるという。
「海外では日本よりも自己主張を重視する文化があり、衝突が生じやすいです。また、各地域のサイバーセキュリティ責任者が集まるCISOミーティングを年に1回開催していますが、準備不足でビザが取得できないケースもありました。さらに、日本側が費用を負担しようとすると、利益供与とみなされ税制上の問題が発生することもあります」(新井氏)
プライバシーに対する意識の違いも大きい。ドイツではSIEMを導入して端末やネットワークを監視しようとすると「プライバシーの侵害だ」と反発され、労働組合との調整が必要になった。中国ではグレート・ファイアウォール(インターネット検閲システム)の影響でクラウドが利用できない。アジア諸国の拠点でアメリカ製品に切り替えようとすると、税関で足止めされ、製品が届かないこともあった。
「NTTデータグループでは、こういったアンストラクチャーな問題が山積みになっています。これらの問題に対して、現在進行形で泥臭く対処しているのが当グループの実態です」(新井氏)
