ドメスティック企業からグローバル企業へ変革する中で見出したノウハウ―― NTTデータが実践した、新たな時代のセキュリティ対策：ITmedia エグゼクティブセミナーリポート（1/2 ページ）

[高橋睦美，ITmedia]

NTTデータグループ システム技術本部 サイバーセキュリティ技術部 部長 星野亮氏

　この数年でビジネスを取り巻く環境は大きく変化した。それに伴って、セキュリティ対策の在り方も変化を迫られている。ありきたりな総論ならば、すでに聞き飽きるほどあふれている。問題は、具体的に何を、どのように進めていくかということだ。

　NTTデータグループのシステム技術本部 サイバーセキュリティ技術部 部長を務める星野亮氏は「NTTデータが実現。56カ国、19万人が利用する、世界最大級のゼロトラストセキュリティ構築のノウハウとは」と題する講演を通して、この5〜6年でNTTデータ自身が実践してきたセキュリティ変革の歩みを紹介し、対策のヒントを示した。

3つの大きな変化によって避けられなくなったセキュリティ変革

　すでに体感している人も多いだろうが、星野氏はまず、セキュリティを取り巻く状況に3つの変化が起きていると指摘した。

　1つ目はビジネス環境の変化だ。中でも働き方改革やDX推進といった言葉に代表される変化は大きな影響をもたらした。「私が入社した時は、仕事をする際はオフィスに決まった時間に出勤し、自分の座席のデスクトップパソコンでしか仕事ができないのが普通でした。それが今は大きく変わっています」（星野氏）

　今ではノートパソコンを持ち歩き、オフィスだけでなく自宅やシェアオフィスで仕事をするのが当たり前となり、時にはスマートフォンやタブレット端末も活用する。「昔は、ちょっとメールを一通書くためだけに客先から職場に戻ることもありましたが、今は帰りの電車の中で、スマホでパパッとメールを打ってしまえば済むようになっています」（星野氏）

　個々人の働き方に加え、企業全体を取り巻く環境も変化した。グローバルに事業を展開し、ネットワークを介して海外の拠点や子会社とやり取りをする場面が増えた。同様にサプライチェーンも国をまたいで構築されるようになり、利用するソフトウェアやクラウドサービスも多様化している。

　2つ目は、セキュリティに関連する法規制や規則の変化だ。特に近年、サプライチェーン攻撃のリスクが高まっていることを受け、日本では経済安全保障推進法の中でサプライチェーンセキュリティの強化が言及されたほか、アメリカではサイバーセキュリティ保護に関する大統領令が出され、ヨーロッパでも同種の法令が定められている。

　3つ目の変化は、サイバー攻撃側の変化だ。以前から、サイバー攻撃は本丸ではなく弱いところを狙ってくるといわれていたが、サプライチェーンが複雑化し、事業のグローバル化が進むにつれて、自社が依存する外部のサプライチェーンやクラウドサービス、あるいはネットワークでつながる海外拠点が狙われるようになっている。

　星野氏はこのような3つの変化にともなって、ワークスタイルの変化に伴うよるリスクの増大、グローバル展開におけるガバナンス不足、サプライチェーンセキュリティ、セキュリティ対応要員のリソース不足という4つの課題が浮上していると指摘した。

3つの大きな変化によって避けられなくなったセキュリティ変革

　残念ながら、急ごしらえで構築したテレワーク環境に穴が存在していたり、従業員の生産性向上のためにクラウドサービスを許可したら想定外のサービスまで使われ、情報が漏洩したりと、こうした状況に乗じたインシデントがあちこちで発生しているのが実情だ。さらに「サプライチェーンのセキュリティが大事だと言われても、やるべきことは他にもたくさんあり、負荷が高くなってしまいます。また、自分たちで全てコントロールできるわけではなく、要員もあまりいないためうまく対応できないケースも起きています」と星野氏は話す。

　これらの課題に対し、どう向き合っていけばいいのだろうか。経営層はまず、全体のリスクを見えるようにし、何に対応でき、何ができていないかを把握した上で備えるべきとされている。一方従業員にとっては、便利に素早く仕事をできるのが一番で、そういった求めにも応えていく必要があり、ゼロトラストの考え方が鍵となるだろう。

　「オフィスの中は安全である」という前提で守るいわゆる境界型防御の考え方では、近年起こった変化に対応できない。さまざまなモバイルデバイスを駆使して場所を問わずに仕事をし、クラウドサービスも活用するという中では、「あらゆるネットワークを信用しない」という考え方が必要になってくる。

3つのステージ、3つの軸で進めたNTTデータのセキュリティ対策

　実はNTTデータ自身も、こうした課題に直面していた。

　「私が入社した当時のNTTデータは、典型的な日本の会社という感じでした。その後海外の企業をどんどん買収してグローバル化が進み、今では56カ国19万人の体制となっています。そのうち大半が海外の従業員というグローバル企業で、多様な国のメンバーが、多様な働き方をしています」（星野氏）

　グローバル化に伴って、同社はまさに、各拠点におけるガバナンス不足に直面することになった。「企業を買収しても、すぐにガバナンスが効くわけではありません。また会社によっては、セキュリティをしっかりやれる人間がいないこともありました」（星野氏）。もちろん、ワークスタイルの変化にともなうリスクの増大も感じていたという。

問題解決の3つのステップ〜NTTデータのセキュリティガバナンス

　このような状況で同社は、3つのステージに分けて段階的に対策に取り組んだ。グローバル化が進み始めた2017年までのステージ1では、「あまり統一感がない、ガバナンスが効いていないのが正直なところでした」。そこで、2018年のステージ2では、まずインターネットとの境界部分にフォーカスしてセキュリティを強化した。その後、2019年以降のステージ3では、モバイルやクラウドといったインターネット境界以外の部分も含め、いかに安全かつ便利に仕事ができる環境作りに取り組んでいる。

　一連の取り組みでは、各ステージでルール、テクノロジー、ピープルという3つの軸でそれぞれ策を打っていった。

　まずルールに関してだが、徐々に海外子会社が増え始めていた2017年までのステージ1は、前述の通り「各社バラバラ」が実情で、中にはルールが未整備の組織もあったという。そこでまずステージ2で最低限のポリシー統一を図り、ステージ3でそれを高度化させていった。