連載
» 2024年01月16日 07時09分 公開

ドメスティック企業からグローバル企業へ変革する中で見出したノウハウ―― NTTデータが実践した、新たな時代のセキュリティ対策ITmedia エグゼクティブセミナーリポート(1/2 ページ)

この5〜6年でNTTデータ自身が実践してきたセキュリティ変革の歩みを紹介し、対策のヒントを示した。

[高橋睦美ITmedia]
NTTデータグループ システム技術本部 サイバーセキュリティ技術部 部長 星野亮氏

 この数年でビジネスを取り巻く環境は大きく変化した。それに伴って、セキュリティ対策の在り方も変化を迫られている。ありきたりな総論ならば、すでに聞き飽きるほどあふれている。問題は、具体的に何を、どのように進めていくかということだ。

 NTTデータグループのシステム技術本部 サイバーセキュリティ技術部 部長を務める星野亮氏は「NTTデータが実現。56カ国、19万人が利用する、世界最大級のゼロトラストセキュリティ構築のノウハウとは」と題する講演を通して、この5〜6年でNTTデータ自身が実践してきたセキュリティ変革の歩みを紹介し、対策のヒントを示した。

3つの大きな変化によって避けられなくなったセキュリティ変革

 すでに体感している人も多いだろうが、星野氏はまず、セキュリティを取り巻く状況に3つの変化が起きていると指摘した。

 1つ目はビジネス環境の変化だ。中でも働き方改革やDX推進といった言葉に代表される変化は大きな影響をもたらした。「私が入社した時は、仕事をする際はオフィスに決まった時間に出勤し、自分の座席のデスクトップパソコンでしか仕事ができないのが普通でした。それが今は大きく変わっています」(星野氏)

 今ではノートパソコンを持ち歩き、オフィスだけでなく自宅やシェアオフィスで仕事をするのが当たり前となり、時にはスマートフォンやタブレット端末も活用する。「昔は、ちょっとメールを一通書くためだけに客先から職場に戻ることもありましたが、今は帰りの電車の中で、スマホでパパッとメールを打ってしまえば済むようになっています」(星野氏)

 個々人の働き方に加え、企業全体を取り巻く環境も変化した。グローバルに事業を展開し、ネットワークを介して海外の拠点や子会社とやり取りをする場面が増えた。同様にサプライチェーンも国をまたいで構築されるようになり、利用するソフトウェアやクラウドサービスも多様化している。

 2つ目は、セキュリティに関連する法規制や規則の変化だ。特に近年、サプライチェーン攻撃のリスクが高まっていることを受け、日本では経済安全保障推進法の中でサプライチェーンセキュリティの強化が言及されたほか、アメリカではサイバーセキュリティ保護に関する大統領令が出され、ヨーロッパでも同種の法令が定められている。

 3つ目の変化は、サイバー攻撃側の変化だ。以前から、サイバー攻撃は本丸ではなく弱いところを狙ってくるといわれていたが、サプライチェーンが複雑化し、事業のグローバル化が進むにつれて、自社が依存する外部のサプライチェーンやクラウドサービス、あるいはネットワークでつながる海外拠点が狙われるようになっている。

 星野氏はこのような3つの変化にともなって、ワークスタイルの変化に伴うよるリスクの増大、グローバル展開におけるガバナンス不足、サプライチェーンセキュリティ、セキュリティ対応要員のリソース不足という4つの課題が浮上していると指摘した。

3つの大きな変化によって避けられなくなったセキュリティ変革

 残念ながら、急ごしらえで構築したテレワーク環境に穴が存在していたり、従業員の生産性向上のためにクラウドサービスを許可したら想定外のサービスまで使われ、情報が漏洩したりと、こうした状況に乗じたインシデントがあちこちで発生しているのが実情だ。さらに「サプライチェーンのセキュリティが大事だと言われても、やるべきことは他にもたくさんあり、負荷が高くなってしまいます。また、自分たちで全てコントロールできるわけではなく、要員もあまりいないためうまく対応できないケースも起きています」と星野氏は話す。

 これらの課題に対し、どう向き合っていけばいいのだろうか。経営層はまず、全体のリスクを見えるようにし、何に対応でき、何ができていないかを把握した上で備えるべきとされている。一方従業員にとっては、便利に素早く仕事をできるのが一番で、そういった求めにも応えていく必要があり、ゼロトラストの考え方が鍵となるだろう。

 「オフィスの中は安全である」という前提で守るいわゆる境界型防御の考え方では、近年起こった変化に対応できない。さまざまなモバイルデバイスを駆使して場所を問わずに仕事をし、クラウドサービスも活用するという中では、「あらゆるネットワークを信用しない」という考え方が必要になってくる。

3つのステージ、3つの軸で進めたNTTデータのセキュリティ対策

 実はNTTデータ自身も、こうした課題に直面していた。

 「私が入社した当時のNTTデータは、典型的な日本の会社という感じでした。その後海外の企業をどんどん買収してグローバル化が進み、今では56カ国19万人の体制となっています。そのうち大半が海外の従業員というグローバル企業で、多様な国のメンバーが、多様な働き方をしています」(星野氏)

 グローバル化に伴って、同社はまさに、各拠点におけるガバナンス不足に直面することになった。「企業を買収しても、すぐにガバナンスが効くわけではありません。また会社によっては、セキュリティをしっかりやれる人間がいないこともありました」(星野氏)。もちろん、ワークスタイルの変化にともなうリスクの増大も感じていたという。

問題解決の3つのステップ〜NTTデータのセキュリティガバナンス

 このような状況で同社は、3つのステージに分けて段階的に対策に取り組んだ。グローバル化が進み始めた2017年までのステージ1では、「あまり統一感がない、ガバナンスが効いていないのが正直なところでした」。そこで、2018年のステージ2では、まずインターネットとの境界部分にフォーカスしてセキュリティを強化した。その後、2019年以降のステージ3では、モバイルやクラウドといったインターネット境界以外の部分も含め、いかに安全かつ便利に仕事ができる環境作りに取り組んでいる。

 一連の取り組みでは、各ステージでルール、テクノロジー、ピープルという3つの軸でそれぞれ策を打っていった。

 まずルールに関してだが、徐々に海外子会社が増え始めていた2017年までのステージ1は、前述の通り「各社バラバラ」が実情で、中にはルールが未整備の組織もあったという。そこでまずステージ2で最低限のポリシー統一を図り、ステージ3でそれを高度化させていった。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

ITmedia エグゼクティブのご案内

「ITmedia エグゼクティブは、上場企業および上場相当企業の課長職以上を対象とした無料の会員制サービスを中心に、経営者やリーダー層向けにさまざまな情報を発信しています。
入会いただくとメールマガジンの購読、経営に役立つ旬なテーマで開催しているセミナー、勉強会にも参加いただけます。
ぜひこの機会にお申し込みください。
入会希望の方は必要事項を記入の上申請ください。審査の上登録させていただきます。
【入会条件】上場企業および上場相当企業の課長職以上

アドバイザリーボード

早稲田大学商学学術院教授

根来龍之

早稲田大学大学院国際情報通信研究科教授

小尾敏夫

株式会社CEAFOM 代表取締役社長

郡山史郎

株式会社プロシード 代表取締役

西野弘

明治学院大学 経済学部准教授

森田正隆