NTTコミュニケーションズ

Bizコンパス

NTTのCISOはどうやって経営にセキュリティを織り込むようにしてきたか
2020.03.19

セキュリティ対策に求められる新たな視点第15回

NTTのCISOはどうやって経営にセキュリティを織り込むようにしてきたか

著者 Bizコンパス編集部

 経済産業省と独立行政法人情報処理推進機構(IPA)が公開した「サイバーセキュリティ経営ガイドライン」でも指摘されている通り、サイバーセキュリティは今や重要な経営課題の一つです。

 前回レポートした、東京電機大学国際化サイバーセキュリティ学特別コース教員の伊藤潤氏の講演でも、サイバーセキュリティを取り巻く世界的な状況を背景に、日本企業が抱える構造的な問題が指摘されました。

 こうした状況を受け、「CISO(Chief Information Security Officer 最高情報セキュリティ責任者)」という役職がさまざまな企業で設置されはじめています。しかし、CISOはまだ歴史の浅いポジションであり、特に日本では兼任が中心で専任のCISOはまだ多くありません。具体的になにをすべきかについても多くの企業で明文化されていないのが現状です。

 日本電信電話株式会社で、2018年6月下旬から同社初の専任CISOを務める横浜信一氏も当初は「CISOを拝命したものの、何がミッションなのかはっきりしない」状態だったといいます。同氏はどのように自身のCISOとしての役割を明確化していったのでしょうか。

CISOのミッションは明文化されていなかった

 NTTグループの持株会社、日本電信電話株式会社(以下、NTT)の横浜信一氏は、2018年6月下旬に同社CISOに就任しました。同社ではそれまで、技術戦略担当副社長がCISO職を兼任し、そのスタッフである技術企画部門が実務のリーダーを担ってきました。同社初の専任のCISOとなった横浜氏は、当時の心境を次のように振り返ります。

 「就任して、NTTのCISOのミッションは何だろうと調べました。するとどこにも書いてなかった(笑)。そこで、まず社長である澤田(日本電信電話株式会社 代表取締役社長 澤田純氏)とCISOのミッションについて改めて話し合いました。

 この話し合いで決まった第一のミッションは、国内外のNTTグループを横断するセキュリティ施策を策定、提示して事業会社のセキュリティ活動を牽引・支援することです。これは各事業会社のCISOが迷うことなくセキュリティ活動を推進できるようにするためです。他にも、サイバーセキュリティに関して対外的にNTTを代表して説明責任を果たすこと、NTTの経営陣をサイバーセキュリティの観点から支援することなどが決まりました」

 ただ横浜氏は社長との話し合いでミッションこそ明確化されたものの、他の役員陣から賛同を得られるかどうかは不確かだったと続けます。

「私の場合、周りの役員陣は大きく2つに分けられます。持株会社であるNTT(日本電信電話株式会社)の役員陣と各事業会社(NTT東日本、NTT西日本、NTTコミュニケーションズ、NTTドコモ、NTTデータなどのグループ会社)にいるCISOとその周りの役員陣です。私は各事業会社の役員の理解と賛同を得るのが最優先だと考え、主要事業会社のCISO約10人を個別に訪問し、意見交換を重ねることから始めました」

 意見交換の際、横浜氏は箇条書きにしたCISOとしての基本方針を自らの所信として説明し、それに基づいて意見交換を行ったといいます。さらに各社CISOに加えて、実務リーダーである部長クラスともコミュニケーションの場を持ったほか、海外の事業会社のCISOとも意見交換を行い、その内容を「ビジョン、戦略、基本動作」としてまとめました。

 「たとえばビジョンには、NTT内部を守るセキュリティと、お客さまにセキュリティを提供する『二重のミッションを果たす』こと、そしてお客さまから『セキュリティがあるからNTTを選んだと言われるようになる』ことを明文化しました。

 社内外のキーパーソンと意見交換を行いながら、就任から約4カ月間でこれをまとめたのが、CISOとしての最初の仕事です」(横浜氏)

SHARE

関連記事

2020年、日本はサイバー攻撃の舞台となる? 今から始めるセキュリティ対策

2019.06.05

デジタル化の“第一歩”の踏み出し方後編

2020年、日本はサイバー攻撃の舞台となる? 今から始めるセキュリティ対策

企業のセキュリティ対策は“アウトソース”がカギ

2019.09.20

セキュリティリソースの不足をいかに補うべきか?第3回

企業のセキュリティ対策は“アウトソース”がカギ

SaaS利用によって生じる課題をワンストップで解決する方法がある

2021.01.27

DXを加速させるITシステムの運用改革第34回

SaaS利用によって生じる課題をワンストップで解決する方法がある

取引先のテレワークのセキュリティに不安が5割超–IPAが調査

2021.01.25

IT&ビジネス最新ニュース第101回

取引先のテレワークのセキュリティに不安が5割超–IPAが調査

SOMPOひまわり生命は“無害化”で安全にWeb閲覧できるセキュリティを実現

2021.01.20

セキュリティ対策に求められる新たな視点第21回

SOMPOひまわり生命は“無害化”で安全にWeb閲覧できるセキュリティを実現

ゼロトラストで“リモートワークをオフィス並み”にセキュアにする方法

2021.01.08

セキュリティ対策に求められる新たな視点第20回

ゼロトラストで“リモートワークをオフィス並み”にセキュアにする方法

日本のセキュリティリーダーシップに求められる3つのこと

2020.12.14

IT&ビジネス最新ニュース第89回

日本のセキュリティリーダーシップに求められる3つのこと

DXが進むほどリスクは高まる?エンドポイントで始める新たなセキュリティ対策

2020.12.11

セキュリティ対策に求められる新たな視点第19回

DXが進むほどリスクは高まる?エンドポイントで始める新たなセキュリティ対策

なぜゼロトラストは、リモートワークで増加中の「なりすまし」を防ぐのか?

2020.12.09

セキュリティ対策に求められる新たな視点第18回

なぜゼロトラストは、リモートワークで増加中の「なりすまし」を防ぐのか?

ランサムウェア攻撃の経験から何を学ぶか–ソフォス調査

2020.11.30

IT&ビジネス最新ニュース第83回

ランサムウェア攻撃の経験から何を学ぶか–ソフォス調査

NFLabs.に聞く「セキュリティのトップガン人材」の育て方

2020.11.11

セキュリティ対策に求められる新たな視点第17回

NFLabs.に聞く「セキュリティのトップガン人材」の育て方

アフターコロナ時代のITインフラは「SASE」がカギを握っている

2020.10.30

DXを加速させるITシステムの運用改革第31回

アフターコロナ時代のITインフラは「SASE」がカギを握っている