01
2025.07.18(Fri)
2025年7月より、NTTコミュニケーションズはNTTドコモビジネスに社名を変更しました
近年、日本企業を狙ったサイバー攻撃が急増しており、あらゆる業種で情報漏えいや業務停止といった被害が相次いでいます。その矛先は国内拠点にとどまらず、海外子会社やグループ会社を起点に本社へ侵入を試みる攻撃も増加傾向にあります。特に、セキュリティ水準や意識のばらつきが生じがちなグローバル企業では、1拠点の脆弱性が全社のリスクへと直結しかねません。
しかし、国や地域によって規制や文化、人員体制が異なる中で、国内外を含めた統一的なセキュリティガバナンスを構築・運用することは容易ではありません。では、企業はどのようにして「実効性のあるセキュリティガバナンス」を確立し、グループ全体を守る態勢を整えていけばよいのでしょうか。
その解決策を探るべく、ニュートン・コンサルティング アソシエイトシニアコンサルタントの石野勝也氏と、NTTリミテッド・ジャパン 営業推進部 担当部長の青木繁之が、グローバルで機能するセキュリティガバナンスの要諦を語り合いました。
石野 勝也 氏|ニュートン・コンサルティング株式会社 アソシエイトシニアコンサルタント
IT・サイバーセキュリティを中心に、官民問わず幅広い顧客企業・組織を支援。具体的にはNISTサイバーセキュリティフレームワークやCMMC、金融機関向けの金融庁ガイドラインやFISCをはじめとした、各種ガイドラインへの準拠に加え、サイバー演習、CSIRT構築等を経験している。 
青木 繁之|NTTリミテッド・ジャパン 営業推進部 担当部長
NTTが提供する各種サービスのインフラ設計/構築PMとして活躍。その後活動領域を法人に移し、金融/公共分野における基幹システムSIにてインフラ構築責任者を歴任。上記経験を武器に、製造業を中心とした中堅企業向けに多様なITソリューションの提案をリードするチームの責任者として、企業の課題解決に貢献。 その後、シンガポールへ赴任、日系大企業のアジア統括支店を中心に、現地メンバーとともにITコンサルティングを推進。現在、企業のグローバルガバナンス強化をテーマに、顧客の海外現地拠点調査を多数実施。その知見を活かし、現地IT状況把握や、理想的な姿に向けた改善策の立案など、海外に課題を抱える日系企業に対し、ボトムアップアプローチ型のコンサルを展開。
しかし、国や地域によって規制や文化、人員体制が異なる中で、国内外を含めた統一的なセキュリティガバナンスを構築・運用することは容易ではありません。では、企業はどのようにして「実効性のあるセキュリティガバナンス」を確立し、グループ全体を守る態勢を整えていけばよいのでしょうか。
その解決策を探るべく、ニュートン・コンサルティング アソシエイトシニアコンサルタントの石野勝也氏と、NTTリミテッド・ジャパン 営業推進部 担当部長の青木繁之が、グローバルで機能するセキュリティガバナンスの要諦を語り合いました。
経営層を動かすカギは「攻め」の視点
――企業規模や業種を問わず、いつサイバー攻撃の被害に遭ってもおかしくない時代です。それでもなお、セキュリティ対策を「コスト」と捉える経営層は少なくありません。こうした認識を改め、セキュリティを前向きな「投資」として捉えてもらうには、どうすればよいのでしょうか。
石野勝也氏(以下、石野氏):多くの企業をご支援する中で、経営層と対話を重ねてきましたが、「セキュリティはコストである」という考え方は依然として根強いと感じます。実際、痛い目を見ない限り意識が変わりにくいのが現実です。そのため、「守り」だけの話にとどめず、「攻め」の文脈に結びつけて伝えることが重要です。平時に経営層の意識を変えるには、たとえば営業や生産、企画部門といった「攻め」をミッションとする部門を巻き込みながら、次の2つの視点を示すことが効果的だと考えています。
1つ目は、セキュリティの遅れがビジネスの機会損失につながるという視点です。たとえば、入札要件を満たせずに大型案件を逃してしまう。こうした“取り逃がしリスク”を具体的に示すことです。
2つ目は、攻撃を受けた場合の損失の大きさを定量的に理解させるという視点です。製造や出荷の停止による機会損失など、ビジネスインパクトを数字で見せることで、経営層の危機感が一気に高まります。
青木繁之(以下、青木):まさにその通りですね。私が支援するお客さまも、多くは「守り」がきっかけでご相談をいただきます。たとえば、ヒヤリハット的な軽微なインシデントを経営幹部が重く受け止めたときや、監査役からの指摘を受けたときなどです。
ただし、石野さんが言われたように、セキュリティ対策を守りではなく、事業拡大を支える攻めの投資として語ることが大切だと感じます。たとえば工場のラインを新設する際には、設備投資と同時にそのラインを保護する取り組みを行うなど、「成長と安全を一体で考える」視点を提示することで、経営層の納得感は格段に高まります。
IT・サイバーセキュリティを中心に、官民問わず幅広い顧客企業・組織を支援。具体的にはNISTサイバーセキュリティフレームワークやCMMC、金融機関向けの金融庁ガイドラインやFISCをはじめとした、各種ガイドラインへの準拠に加え、サイバー演習、CSIRT構築等を経験している。
――投資判断の前提にはアセスメントが欠かせませんが、その実施についてはどのように働きかけるのが効果的でしょうか。
青木:私はアセスメントを、企業の「人間ドック」にたとえて説明することが多いです。
企業という生命体が“健やかに100歳を迎える”ために、まずは定期的に健康状態を確認する。その過程で大病の兆候や軽微な問題が見つかれば、「現状は健康ですが、今後も定期的な点検が必要です」とお伝えしています。
私たちが担うのは病気を見つけるまで。つまり、リスク発見の段階です。そのため、次のステップは、見つけた異常を放置した場合にどのような影響が出るかを把握することになります。言い換えれば、セキュリティ被害が発生した際にビジネスへ及ぶ影響を定量的に可視化することです。この「リスクの数値化」をどのように行えばよいのか。ここはぜひ、石野さんにお聞きしたいですね。
石野氏:被害額の試算には大きく2つのアプローチがあります。1つは、公開されている算出モデルを活用する方法です。たとえば、日本ネットワークセキュリティ協会(JNSA)が提案する「JOモデル」では、実際の情報漏えい報告をもとに損害賠償額を算出します。また、情報処理推進(IPA)が提供するセキュリティ関連費用の可視化ツール「NANBOK」もあります。もう1つは、世の中で発生した実際の被害事例を参考に、自社の売上規模などに置き換えて概算を出す方法です。
青木:なるほど。とはいえ、十分な予算を確保できない企業では、まずセルフチェックから始めたいというニーズも多いと思います。一般的にはNISTサイバーセキュリティフレームワーク2.0がよく用いられますが、他に参考になるフレームワークはありますか。
石野氏:より厳格な対応を求める場合は、NIST SP 800-171(非連邦政府組織における管理対象非機密情報CUIの保護)が有効です。ただし、セルフチェックを実施するには、各拠点に一定のセキュリティ知識を持つ人材がいることが前提になります。そのうえで、評価のブレを防ぐためには、設問をアクションレベルまで細分化し、「できている/できていない」で判断できる形にすることが重要です。
NTTが提供する各種サービスのインフラ設計/構築PMとして活躍。その後活動領域を法人に移し、金融/公共分野における基幹システムSIにてインフラ構築責任者を歴任。上記経験を武器に、製造業を中心とした中堅企業向けに多様なITソリューションの提案をリードするチームの責任者として、企業の課題解決に貢献。 その後、シンガポールへ赴任、日系大企業のアジア統括支店を中心に、現地メンバーとともにITコンサルティングを推進。現在、企業のグローバルガバナンス強化をテーマに、顧客の海外現地拠点調査を多数実施。その知見を活かし、現地IT状況把握や、理想的な姿に向けた改善策の立案など、海外に課題を抱える日系企業に対し、ボトムアップアプローチ型のコンサルを展開。
サイバーセキュリティの世界でも「5W1H」「コミュニケーション」が重要
OPEN HUB
THEME
Cyber Resilience Transformation
#セキュリティ
