01
2025.07.18(Fri)
2025年7月より、NTTコミュニケーションズはNTTドコモビジネスに社名を変更しました
大手企業のランサムウェア被害、内部不正による情報漏えいなどのセキュリティ事案が大きな社会問題となり、企業はその対策が喫緊の経営課題となっています。こうした状況下で「CISO(Chief Information Security Officer:最高情報セキュリティ責任者)」の役職を設ける企業も増えてきました。サイバー攻撃が事業に与えるインパクトは大きくなるなかで、施策を進める上でCISOはどのような役割を持ち、どのようなアクションを行っていけばよいのでしょうか。
本記事では、日本ネットワークセキュリティ協会(JNSA)でCISO支援WGのリーダーを務め、CISOとしての実務経験を持つPreferred Networksの高橋正和氏を招き、セキュリティコンサルタントとして企業のセキュリティ対策を支援するNTTドコモビジネスの小沢卓賀、佐久間裕之と実施した鼎談の内容から、CISOやCIOなどのITやセキュリティを管轄するリーダー、そして経営層が知るべきセキュリティ対策の本質を明らかにします。
高橋 正和 氏|NPO法人 日本ネットワークセキュリティ協会 副会長 CISO支援WG リーダー
Preferred Networks セキュリティアーキテクト シニアアドバイザー、AIガバナンス推進
基本ソフト開発、品質管理などを経て、1999年よりセキュリティベンダでコンサルティング事業やマネージドセキュリティサービスの立上げを担当。2016年にPreferred Networks社に入社しCSOに就任し、並行してリスク管理やCOVID-19対応なども担当。2021年に業務執行としてのセキュリティを題材に「CISOハンドブック」、2023年に「CISOのための情報セキュリティ戦略」を出版。
本記事では、日本ネットワークセキュリティ協会(JNSA)でCISO支援WGのリーダーを務め、CISOとしての実務経験を持つPreferred Networksの高橋正和氏を招き、セキュリティコンサルタントとして企業のセキュリティ対策を支援するNTTドコモビジネスの小沢卓賀、佐久間裕之と実施した鼎談の内容から、CISOやCIOなどのITやセキュリティを管轄するリーダー、そして経営層が知るべきセキュリティ対策の本質を明らかにします。
経営とセキュリティ現場のブリッジ役が必要
──セキュリティ事案が多発し、経営課題となっている現在の状況について、CISO職と支援側の両方の立場を経験してきた高橋さんはどのようにお感じですか? 特に日本の企業では経営層のセキュリティに対する理解が薄い、CISO人材がいない・機能していないなど、セキュリティ施策におけるリーダーシップや意識の欠如という問題が指摘されています。
高橋正和氏(以下、高橋氏):経営者の意識の問題もありますが、まずは経営の目線で話ができるセキュリティ責任者が少ないところに問題があると思っています。経営者に対して脆弱性の話をしても伝わりません。セキュリティのリスクをビジネスリスクにどう結び付け、経営者が直感的にわかる言葉で伝えられないことに問題の根底にあります。
また、日本では大企業からベンチャーまでたくさんの企業がありますが、ITを基盤に事業を行っているベンチャーは、当然のようにCISOを設置しており、優秀なCISOも少なくありません。「日本の企業は」という区切り方で話をすると、どうしても論点がぼけてしまい、他人事の議論になるので、このような議論をするときには、「あなたの企業は」などと主語を工夫すべきだと感じています。
Preferred Networks セキュリティアーキテクト シニアアドバイザー、AIガバナンス推進
基本ソフト開発、品質管理などを経て、1999年よりセキュリティベンダでコンサルティング事業やマネージドセキュリティサービスの立上げを担当。2016年にPreferred Networks社に入社しCSOに就任し、並行してリスク管理やCOVID-19対応なども担当。2021年に業務執行としてのセキュリティを題材に「CISOハンドブック」、2023年に「CISOのための情報セキュリティ戦略」を出版。
──NTTドコモビジネスはさまざまな顧客を抱えていますが、コンサルタントとして支援をする中で企業のセキュリティ意識についてどのように感じていますか?
小沢卓賀(以下、小沢):お客さまと接するなかで感じるのは、セキュリティに対する意識はまちがいなく高まっているということです。しかし、企業ごとに対策範囲の設定や対策箇所、スピード感に対する意識の濃淡はあり、高橋さんのお話にあるような経営層と現場の距離感も感じています。
佐久間裕之(以下、佐久間):ベンダーとしては、ITやセキュリティのトップ層にどれだけ働きかけられるかが重要と捉えていますが、やはり経営層に対して深く入り込んでセキュリティの重要性を伝えるのは簡単ではありません。
高橋氏:セキュリティは当事者として取り組むことが不可欠です。社内のオフィサー(役員・責任者)と外部のコンサルタントではレスポンシビリティ(結果責任・遂行責任)が異なります。当事者として取り組むべき核心部分をアウトソースしてはいけません。
──「当事者感」「レスポンシビリティ」というキーワードが出ましたが、経営層がセキュリティ対策を特定領域の「コスト」としてではなく、経営課題の解決に必要な「投資」として捉えるために、CISOはどのような視点・言葉で伝えるべきでしょうか。
高橋氏:まず、投資かコストかという二元論は避けたほうが良いでしょう。セキュリティは事業を営むために不可欠な「ビジネスイネーブラー」と捉えるべきです。投資対効果やコストというという文脈ではなく、事業継続のために何が必要なのかという視点で議論をすれば、経営者にもセキュリティが事業に不可欠であることが伝わるはずです。一般に、経営層はリスクに対して敏感です。CISOが単に「セキュリティが危ない」というのではなく、自社がどのようなリスクに直面しており、それが事業にどう影響するかを結び付けて説明できることが重要になります。
小沢:かつては「セキュリティは保険」という認識もありましたが、もうそんな時代ではありません。企業には従業員がいて、ビジネスを動かし、エンドユーザーにサービスや体験を届け続けることが求められています。この事業を継続する責任の1つとしてセキュリティがあると、捉えなおしています。そこには必然的に適切、最適な資金投入が求められますが、事業継続性やサスティナビリティの観点から、企業はセキュリティ対策の範囲を広げていく必要があると説くべきでしょう。
──当然お金はかかるものだということですね。
高橋氏:お金から始まると話が進みにくくなるので、まずは事業継続の観点で何が必要かという観点から議論を始めることがポイントです。そうすることで、対策の選択肢も出てきやすくなります。セキュリティの指標として「CIA(Confidentiality:機密性、Integrity:完全性、Availability:可用性)」がありますが、最近起きたランサムウェア被害の事例は、可用性の重要性を明らかにしました。そして、「セキュリティは情報を守るだけではなく、事業(止まらないこと)を守るものである」と再認識される転機にもなっています。セキュリティに対する意識が薄かった経営者も、事業が止まったらまずいう事実は痛感できたはずです。
CISOを機能させる第一歩は、経営会議に参加させること
OPEN HUB
THEME
Cyber Resilience Transformation
#セキュリティ
