NTTコミュニケーションズ

Bizコンパス

NTTのCISOはどうやって経営にセキュリティを織り込むようにしてきたか
2020.03.19

セキュリティ対策に求められる新たな視点第15回

NTTのCISOはどうやって経営にセキュリティを織り込むようにしてきたか

著者 Bizコンパス編集部

 経済産業省と独立行政法人情報処理推進機構(IPA)が公開した「サイバーセキュリティ経営ガイドライン」でも指摘されている通り、サイバーセキュリティは今や重要な経営課題の一つです。

 前回レポートした、東京電機大学国際化サイバーセキュリティ学特別コース教員の伊藤潤氏の講演でも、サイバーセキュリティを取り巻く世界的な状況を背景に、日本企業が抱える構造的な問題が指摘されました。

 こうした状況を受け、「CISO(Chief Information Security Officer 最高情報セキュリティ責任者)」という役職がさまざまな企業で設置されはじめています。しかし、CISOはまだ歴史の浅いポジションであり、特に日本では兼任が中心で専任のCISOはまだ多くありません。具体的になにをすべきかについても多くの企業で明文化されていないのが現状です。

 日本電信電話株式会社で、2018年6月下旬から同社初の専任CISOを務める横浜信一氏も当初は「CISOを拝命したものの、何がミッションなのかはっきりしない」状態だったといいます。同氏はどのように自身のCISOとしての役割を明確化していったのでしょうか。

CISOのミッションは明文化されていなかった

 NTTグループの持株会社、日本電信電話株式会社(以下、NTT)の横浜信一氏は、2018年6月下旬に同社CISOに就任しました。同社ではそれまで、技術戦略担当副社長がCISO職を兼任し、そのスタッフである技術企画部門が実務のリーダーを担ってきました。同社初の専任のCISOとなった横浜氏は、当時の心境を次のように振り返ります。

 「就任して、NTTのCISOのミッションは何だろうと調べました。するとどこにも書いてなかった(笑)。そこで、まず社長である澤田(日本電信電話株式会社 代表取締役社長 澤田純氏)とCISOのミッションについて改めて話し合いました。

 この話し合いで決まった第一のミッションは、国内外のNTTグループを横断するセキュリティ施策を策定、提示して事業会社のセキュリティ活動を牽引・支援することです。これは各事業会社のCISOが迷うことなくセキュリティ活動を推進できるようにするためです。他にも、サイバーセキュリティに関して対外的にNTTを代表して説明責任を果たすこと、NTTの経営陣をサイバーセキュリティの観点から支援することなどが決まりました」

 ただ横浜氏は社長との話し合いでミッションこそ明確化されたものの、他の役員陣から賛同を得られるかどうかは不確かだったと続けます。

「私の場合、周りの役員陣は大きく2つに分けられます。持株会社であるNTT(日本電信電話株式会社)の役員陣と各事業会社(NTT東日本、NTT西日本、NTTコミュニケーションズ、NTTドコモ、NTTデータなどのグループ会社)にいるCISOとその周りの役員陣です。私は各事業会社の役員の理解と賛同を得るのが最優先だと考え、主要事業会社のCISO約10人を個別に訪問し、意見交換を重ねることから始めました」

 意見交換の際、横浜氏は箇条書きにしたCISOとしての基本方針を自らの所信として説明し、それに基づいて意見交換を行ったといいます。さらに各社CISOに加えて、実務リーダーである部長クラスともコミュニケーションの場を持ったほか、海外の事業会社のCISOとも意見交換を行い、その内容を「ビジョン、戦略、基本動作」としてまとめました。

 「たとえばビジョンには、NTT内部を守るセキュリティと、お客さまにセキュリティを提供する『二重のミッションを果たす』こと、そしてお客さまから『セキュリティがあるからNTTを選んだと言われるようになる』ことを明文化しました。

 社内外のキーパーソンと意見交換を行いながら、就任から約4カ月間でこれをまとめたのが、CISOとしての最初の仕事です」(横浜氏)

SHARE

関連記事

2020年、日本はサイバー攻撃の舞台となる? 今から始めるセキュリティ対策

2019.06.05

デジタル化の“第一歩”の踏み出し方後編

2020年、日本はサイバー攻撃の舞台となる? 今から始めるセキュリティ対策

企業のセキュリティ対策は“アウトソース”がカギ

2019.09.20

セキュリティリソースの不足をいかに補うべきか?第3回

企業のセキュリティ対策は“アウトソース”がカギ

「スマホ窃盗」から身を守るための対策とは

2020.04.13

セキュリティの“盲点”第2回

「スマホ窃盗」から身を守るための対策とは

中部電力とNTT Comはどうやって点検データを「見える化」したのか

2020.04.10

デジタルトランスフォーメーションの実現へ向けて第38回

中部電力とNTT Comはどうやって点検データを「見える化」したのか

なぜ三菱商事は、「自前主義」のIT基盤から脱却したのか?

2020.04.08

DXを加速させるITシステムの運用改革第21回

なぜ三菱商事は、「自前主義」のIT基盤から脱却したのか?

AWS導入を成功させるには、3つのフェーズの攻略がカギ

2020.04.03

DXを加速させるITシステムの運用改革第20回

AWS導入を成功させるには、3つのフェーズの攻略がカギ

専門家「サイバーリスクがゼロにならないなら、検知と対応に注力すべき」

2020.03.04

セキュリティ対策に求められる新たな視点第13回

専門家「サイバーリスクがゼロにならないなら、検知と対応に注力すべき」

「Webサイト改ざん」は他人ごとではない!現場担当者ができる対策とは

2020.02.28

サイバー攻撃に企業はどう準備すべきか第4回

「Webサイト改ざん」は他人ごとではない!現場担当者ができる対策とは

セキュリティの専門家が語る「2020の脅威」その傾向と対策

2020.02.14

セキュリティ対策に求められる新たな視点第12回

セキュリティの専門家が語る「2020の脅威」その傾向と対策

マルチクラウドの活用に必要なクラウドマネジメントとは?

2020.01.31

DXを加速させるITシステムの運用改革第18回

マルチクラウドの活用に必要なクラウドマネジメントとは?