CISOの取り組みとして、グローバルでのガバナンス強化についても横浜氏の話は及びます。NTTでは多くの海外企業をM&Aしていますが、事業や文化の違いから一元的・集権的なガバナンスを採ってはいませんでした。またNTTグループにはこれまでもセキュリティポリシーやガイドラインがありましたが、翻訳の難しさも手伝い、特に海外事業会社から見た際には曖昧さや解釈の違いが生じていました。

　横浜氏はガバナンスやグローバルポリシーについて改めて話し合うため、海外事業会社のCISOを集めてワークショップを開催したといいます。

　「各社ごとに求められるセキュリティのレベルは違います。しかし、共通で守らなければならないベースラインは決める必要がありました。各CISOのセキュリティ意識の差を埋めるのに苦労しましたが、議論を重ねることでベースラインを決めることができました。

　ワークショップで強調したのは、『One NTT』であることですね。ビジョンや戦略の共有はもちろん、世界中に存在するCISOがお互いをサポートし、現地の力を活かすためのワンチームを作ろうという思いも伝えました」

　また、サイバーセキュリティを考える場合、リスクのマネジメントは非常に重要です。横浜氏は、CISOとして経営陣をはじめとするセキュリティに関わるさまざまな立場の人材と話をするなかで、リスクに対しては現実的なアプローチを取ることにしたといいます。

　「トップがリスクを許容しなければ、現場が無限に責任を負わされることになってしまいます。これでは現場が疲弊するだけです。しかし、経営陣に対して『皆さんでリスクを取ってください』というのも現実的ではありません。

　NTT（持株会社）が持つ情報資産を棚卸ししたとき、たとえば『赤で囲っている情報資産は重要なのでしっかり守ります。そうでないものは緩くセキュリティをやるので、そのリスクは取ってくださいね』とは言えないわけです。

　そこで『赤で囲った情報が重要なので、そこにリソースを集中させて守ります』という伝え方をしました。

　背景にあるのはリスクを完全に回避することはできないという前提のもと、ある程度のリスクは許容しようというスタンスです。もちろんクリティカルなリスクはシナリオを事前に想定し、万一の場合にすぐ対応できる体制を構築しておく準備は不可欠です」（横浜氏）