NEC・CISO淵上真一氏が説く「フロンティアAI」時代のセキュリティ──「対峙すべきは未知ではなく、高速化された既存の課題」
「Tanium Converge 2026 Tokyo」 NEC 淵上真一氏 講演&インタビュー
インタビュー:守るべきは未知ではなく“加速する既存の課題”──グローバル体制で立ち向かう
講演の最後に淵上氏が掲げた「高速化された既存の課題」という言葉は、グローバル体制の作り方から人材育成、日本全体のセキュリティのあり方にまで通じる。講演後、その実像をさらに掘り下げるべく、淵上氏にインタビューを行った。
日本電気株式会社 コーポレートエグゼクティブ CISO。NECグループ全体のサイバーセキュリティを統括し、グローバルでの防御、製品・サービスのセキュリティ確保、顧客のインシデント対応支援を担う。総務省の最高情報セキュリティアドバイザーも務める。
──NECの社内セキュリティ、製品・サービスのセキュリティ、顧客支援という3つのミッションは、組織としてどう構えているのですか。
淵上:組織の構えとしては、すべて私の責任範疇です。組織の括りとしては、社内を守るための組織と、お客様向けの製品・サービスをセキュアにする組織の大きく2つで対応しています。3つ目のインシデント対応は、事が起これば動くもので、定常的な活動というより、普段はお客様向けの製品・サービスを担う部門が対応する形です。社内向けと製品・サービス向けの2つの組織がある、というイメージです。
──数万人規模のグローバル体制で、意思決定はどのように行っているのでしょう。
淵上:まず我々自身がどうするかは、各部門が3年計画や1年計画を立て、それを私が承認します。それを全社に展開する会議体を持っていて、各部門で意思決定できるレイヤーの人に出てもらい、「セキュリティ施策としてこう進めるので周知してほしい」という形で決めていきます。グローバルについては、5つのリージョンにリージョナルヘッドクオーターを置いていて、そこには我々の施策の方針を決めた状態で展開していく。そのような形でガバナンスを効かせています。
──国や地域で法規制や文化が異なるなか、ガバナンスの線引きはどうしていますか。
淵上:切り口は日本か海外かではなく、「NECイントラネットに接続しているかどうか」です。接続している企業は技術的なコントロールを全部我々がやっているので、各社ごとに個別対応が発生することはほとんどありません。一方、買収したものの我々のネットワークにまだ接続していない企業には、基本的な方針は合わせてもらいますが、具体的に何をやるかの部分は各社に任せています。ではどこでガバナンスをかけるかというと、結果を監査でチェックする。その一環として、ペネトレーションテスト(攻撃を模倣するテスト)を実施することで一定の水準に達しているかを確認しており、ガバナンスを担保しています。接続の有無で区別しているので、現場の反発や温度差は特にないですね。
フロンティアAI時代の脅威と自社の備え
──講演でもフロンティアAIに触れていました。脆弱性の発見が急増しているという認識でよいでしょうか。
淵上:脆弱性がたくさん見つかっているのは事実です。ただ、本当に深刻な影響を与えるものは非常に少ないパーセンテージだと認識しています。一方で、今まで見つからなかった深刻なものが見つかってきているのも事実で、しかもそうした脆弱性に対する攻撃用コードを簡単に生成できるようになった。そこが我々にとっての脅威だと理解しています。
──AIによる攻撃ではないかと思われる事例は、現場で観測していますか。
淵上:我々自身は被害を受けていませんが、観測環境を持っていて、さまざまな情報を収集しています。その中で、「これを人間が思いついてやるかな」という巧妙さの攻撃パターンはいくつか見られます。フロンティアAIかどうかは別として、あまり人間の発想ではないのではないか、と感じるものはありますね。
──攻撃に使われうるAIモデルそのものは、どう評価していますか。NEC自身も自社開発の生成AI「cotomi(コトミ)」を持っています。
淵上:たとえばAnthropicが公開したモデル(Fable5)は、コーディングなど本来LLMに期待される能力が非常に高い一方、セキュリティに関わる能力はガードレールでむしろ抑えられている印象です。今後の生成AIは、汎用性の高いモデルと、用途を絞って特定分野で力を発揮する特化型に分かれていくと思います。NECの役割は後者、特化型のLLMをいろいろなものに最適化していくことだと考えています。社内ではフロントエンドからcotomiもChatGPTも選んで使えるようにしていて、利用する従業員が適切なものを選べる。ガイドラインも整備し、AIと人権の問題にも宣言を出すなど、管理面の整備も進めています。
この記事は参考になりましたか?
- Security Online Press連載記事一覧
-
- NEC・CISO淵上真一氏が説く「フロンティアAI」時代のセキュリティ──「対峙すべきは未...
- PQC移行時に企業は何から始めるべき?高木教授が説く、ベンダーが売り込む「欠陥PQC」の見...
- 今や量子コンピュータは誰もがアクセス可能に──2035年に迫るPQC移行の技術課題を高木剛...
- この記事の著者
-
京部康男 (編集部)(キョウベヤスオ)
ライター兼エディター。翔泳社EnterpriseZine/AIdiverには業務委託として関わる。翔泳社在籍時には各種イベントの立ち上げやメディア、書籍、イベントに関わってきた。現在はフリーランスとして、エンタープライズIT、行政情報IT関連、企業のWeb記事作成、企業出版支援などを行う。Mail ...
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア
