サイバー攻撃の脅威が高まる中、経営者やCISOはどのように向き合うべきなのか。そのヒントを示すオンラインイベント「NEC Cyber Day’24春 いま解き明かす。インシデントから見えてくるセキュリティマネジメント」が2月28日に開催された。当日は、NECサイバーセキュリティ戦略統括部で統括部長を務める淵上真一氏をモデレータに、2つの対談が行われた。
対談相手の一人目は、プリファードネットワークスのセキュリティアーキテクト・シニアアドバイザーで、日本ネットワークセキュリティ協会(JNSA)副会長も務める高橋正和氏。二人目は、NECグループ自身のセキュリティを担う、CISO統括オフィス長の田上岳夫氏だ。2つの対談から、インシデント(事象)を防ぐため、起きたときのために必要な心構えを明らかにする。
経営層と現場の「言語感覚」の壁を乗り越える方法
高橋 正和/Preferred Networks, セキュリティアーキテクト、シニアアドバイザー(兼) JNSA副会長、CISO支援ワーキンググループリーダー ソフトウェア開発、品質管理などを経て、1999年よりセキュリティベンダ(ISS社)でコンサルティング事業やマネージドセキュリティサービスの立上げなどを担当。2006年よりマイクロソフト社でCSAとして企業などへのセキュリティ対策の支援を担当。クラウドなどのITインフラの転換に伴い、知識だけでは対応できないことを痛感し、自ら対策を実践することを決断。2016年にPreferred Networks社に入社しCSOに就任。並行してリスク管理、COVID-19対応なども担当。2023年より現職
最初に登場したのは、プリファードネットワークス セキュリティアーキテクト・シニアアドバイザーであり、日本ネットワークセキュリティ協会(JNSA)副会長でもある高橋正和氏。
冒頭、モデレータの淵上氏は、高橋氏が筆頭共著者であるCISO(Chief Information Secirity Officer)のための『CISOハンドブック 業務執行のための情報セキュリティ実践ガイド』(技術評論社)を「社交辞令で言っているわけではなく本当に愛読書」にしていると挙げた。その後に、経営者は経営リスクの1つとして、セキュリティインシデントをどう捉えるべきかを高橋氏に質問した。
「経営者はセキュリティリスクの存在を認識できていても、インシデントの具体化ができていないと思います。しかし、ITではなく事業の目線で見れば、何が起きてほしくないことなのかが見えてくるはずです。その起きてほしくないことが実際に起こる可能性はあるのか、防ぐにはどうすればよいのかを確認する作業が、経営者のすべきことになるでしょう」(高橋氏)
淵上 真一/ NEC サイバーセキュリティ戦略統括部 統括部長SIerにてネットワークエンジニアを経た後、学校法人にて組織のセキュリティコントロールと、司法、防衛関連のセキュリティトレーニングを手掛ける。NECではサイバーセキュリティ戦略統括を担当し、NECセキュリティ(株)の取締役を兼任。 CISSPの認定機関ISC2の認定主任講師として人材育成活動も努める。情報処理安全確保支援士 集合講習認定講師、Hardening Project 実行委員、北海道大学 情報基盤センター 客員研究員
セキュリティに限らず、ITに関して経営層と現場の担当者間で起こるのが意思の齟齬(そご)だ。例えば、セキュリティ担当者が経営者に対し「現状で自社はISMS(情報セキュリティマネジメントシステム)の規格に反しています」と説明しても、「じゃあ、直しておいて」と言われるだけで終わってしまう。
「そこで、情報システム部長などの役職の方が、経営者に歩み寄る姿勢を持つことも組織として重要になります。ISMSの規格にそぐわないならば、『侵入によってシステムが停止するかもしれません。情報が漏えいするかもしれません』と分かりやすい言葉で寄り添っていくことが大切です」(高橋氏)
