Bizコンパス

NTTのCISOはどうやって経営にセキュリティを織り込むようにしてきたか
2020.03.19

セキュリティ対策に求められる新たな視点第15回

NTTのCISOはどうやって経営にセキュリティを織り込むようにしてきたか

著者 Bizコンパス編集部

グローバルガバナンスへの取組み

 CISOの取り組みとして、グローバルでのガバナンス強化についても横浜氏の話は及びます。NTTでは多くの海外企業をM&Aしていますが、事業や文化の違いから一元的・集権的なガバナンスを採ってはいませんでした。またNTTグループにはこれまでもセキュリティポリシーやガイドラインがありましたが、翻訳の難しさも手伝い、特に海外事業会社から見た際には曖昧さや解釈の違いが生じていました。

 横浜氏はガバナンスやグローバルポリシーについて改めて話し合うため、海外事業会社のCISOを集めてワークショップを開催したといいます。

 「各社ごとに求められるセキュリティのレベルは違います。しかし、共通で守らなければならないベースラインは決める必要がありました。各CISOのセキュリティ意識の差を埋めるのに苦労しましたが、議論を重ねることでベースラインを決めることができました。

 ワークショップで強調したのは、『One NTT』であることですね。ビジョンや戦略の共有はもちろん、世界中に存在するCISOがお互いをサポートし、現地の力を活かすためのワンチームを作ろうという思いも伝えました」

 また、サイバーセキュリティを考える場合、リスクのマネジメントは非常に重要です。横浜氏は、CISOとして経営陣をはじめとするセキュリティに関わるさまざまな立場の人材と話をするなかで、リスクに対しては現実的なアプローチを取ることにしたといいます。

 「トップがリスクを許容しなければ、現場が無限に責任を負わされることになってしまいます。これでは現場が疲弊するだけです。しかし、経営陣に対して『皆さんでリスクを取ってください』というのも現実的ではありません。

 NTT(持株会社)が持つ情報資産を棚卸ししたとき、たとえば『赤で囲っている情報資産は重要なのでしっかり守ります。そうでないものは緩くセキュリティをやるので、そのリスクは取ってくださいね』とは言えないわけです。

 そこで『赤で囲った情報が重要なので、そこにリソースを集中させて守ります』という伝え方をしました。

 背景にあるのはリスクを完全に回避することはできないという前提のもと、ある程度のリスクは許容しようというスタンスです。もちろんクリティカルなリスクはシナリオを事前に想定し、万一の場合にすぐ対応できる体制を構築しておく準備は不可欠です」(横浜氏)

SHARE

関連記事

2020年、日本はサイバー攻撃の舞台となる? 今から始めるセキュリティ対策

2019.06.05

デジタル化の“第一歩”の踏み出し方後編

2020年、日本はサイバー攻撃の舞台となる? 今から始めるセキュリティ対策

企業のセキュリティ対策は“アウトソース”がカギ

2019.09.20

セキュリティリソースの不足をいかに補うべきか?第3回

企業のセキュリティ対策は“アウトソース”がカギ

AWS導入を成功させるには、3つのフェーズの攻略がカギ

2020.04.03

DXを加速させるITシステムの運用改革第21回

AWS導入を成功させるには、3つのフェーズの攻略がカギ

専門家「サイバーリスクがゼロにならないなら、検知と対応に注力すべき」

2020.03.04

セキュリティ対策に求められる新たな視点第13回

専門家「サイバーリスクがゼロにならないなら、検知と対応に注力すべき」

「Webサイト改ざん」は他人ごとではない!現場担当者ができる対策とは

2020.02.28

サイバー攻撃に企業はどう準備すべきか第4回

「Webサイト改ざん」は他人ごとではない!現場担当者ができる対策とは

セキュリティの専門家が語る「2020の脅威」その傾向と対策

2020.02.14

セキュリティ対策に求められる新たな視点第12回

セキュリティの専門家が語る「2020の脅威」その傾向と対策

マルチクラウドの活用に必要なクラウドマネジメントとは?

2020.01.31

DXを加速させるITシステムの運用改革第19回

マルチクラウドの活用に必要なクラウドマネジメントとは?

「DXレポート」作成者が教える「2025年の崖」を乗り越えるポイント

2020.01.29

デジタルトランスフォーメーションの実現へ向けて第28回

「DXレポート」作成者が教える「2025年の崖」を乗り越えるポイント

台風が来ると、サイバー攻撃が増加!?高度化する手口の防ぎ方

2020.01.17

セキュリティ対策に求められる新たな視点第11回

台風が来ると、サイバー攻撃が増加!?高度化する手口の防ぎ方

サイバー攻撃は避けられない。だから「リスク移転」で自社を守る

2020.01.08

セキュリティ対策に求められる新たな視点第10回

サイバー攻撃は避けられない。だから「リスク移転」で自社を守る

企業はサイバー攻撃を排除できない。でも、リスクの管理はできる

2019.12.25

セキュリティ対策に求められる新たな視点第9回

企業はサイバー攻撃を排除できない。でも、リスクの管理はできる

セキュリティ対策は「経営責任」とプロが断言する理由

2019.11.29

セキュリティ対策に求められる新たな視点第8回

セキュリティ対策は「経営責任」とプロが断言する理由