経済産業省と独立行政法人情報処理推進機構(IPA)が公開した「サイバーセキュリティ経営ガイドライン 」でも指摘されている通り、サイバーセキュリティは今や重要な経営課題の一つです。
前回レポート した、東京電機大学国際化サイバーセキュリティ学特別コース教員の伊藤潤氏の講演でも、サイバーセキュリティを取り巻く世界的な状況を背景に、日本企業が抱える構造的な問題が指摘されました。
こうした状況を受け、「CISO(Chief Information Security Officer 最高情報セキュリティ責任者)」という役職がさまざまな企業で設置されはじめています。しかし、CISOはまだ歴史の浅いポジションであり、特に日本では兼任が中心で専任のCISOはまだ多くありません。具体的になにをすべきかについても多くの企業で明文化されていないのが現状です。
日本電信電話株式会社で、2018年6月下旬から同社初の専任CISOを務める横浜信一氏も当初は「CISOを拝命したものの、何がミッションなのかはっきりしない」状態だったといいます。同氏はどのように自身のCISOとしての役割を明確化していったのでしょうか。
目次
CISOのミッションは明文化されていなかった
NTTグループの持株会社、日本電信電話株式会社(以下、NTT)の横浜信一氏は、2018年6月下旬に同社CISOに就任しました。同社ではそれまで、技術戦略担当副社長がCISO職を兼任し、そのスタッフである技術企画部門が実務のリーダーを担ってきました。同社初の専任のCISOとなった横浜氏は、当時の心境を次のように振り返ります。
「就任して、NTTのCISOのミッションは何だろうと調べました。するとどこにも書いてなかった(笑)。そこで、まず社長である澤田(日本電信電話株式会社 代表取締役社長 澤田純氏)とCISOのミッションについて改めて話し合いました。
この話し合いで決まった第一のミッションは、国内外のNTTグループを横断するセキュリティ施策を策定、提示して事業会社のセキュリティ活動を牽引・支援することです。これは各事業会社のCISOが迷うことなくセキュリティ活動を推進できるようにするためです。他にも、サイバーセキュリティに関して対外的にNTTを代表して説明責任を果たすこと、NTTの経営陣をサイバーセキュリティの観点から支援することなどが決まりました」
ただ横浜氏は社長との話し合いでミッションこそ明確化されたものの、他の役員陣から賛同を得られるかどうかは不確かだったと続けます。
「私の場合、周りの役員陣は大きく2つに分けられます。持株会社であるNTT(日本電信電話株式会社)の役員陣と各事業会社(NTT東日本、NTT西日本、NTTコミュニケーションズ、NTTドコモ、NTTデータなどのグループ会社)にいるCISOとその周りの役員陣です。私は各事業会社の役員の理解と賛同を得るのが最優先だと考え、主要事業会社のCISO約10人を個別に訪問し、意見交換を重ねることから始めました」
意見交換の際、横浜氏は箇条書きにしたCISOとしての基本方針を自らの所信として説明し、それに基づいて意見交換を行ったといいます。さらに各社CISOに加えて、実務リーダーである部長クラスともコミュニケーションの場を持ったほか、海外の事業会社のCISOとも意見交換を行い、その内容を「ビジョン、戦略、基本動作」としてまとめました。
「たとえばビジョンには、NTT内部を守るセキュリティと、お客さまにセキュリティを提供する『二重のミッションを果たす』こと、そしてお客さまから『セキュリティがあるからNTTを選んだと言われるようになる』ことを明文化しました。
社内外のキーパーソンと意見交換を行いながら、就任から約4カ月間でこれをまとめたのが、CISOとしての最初の仕事です」(横浜氏)