「迷ったら前へ！」ホワイトハウスにも突撃するCISO - NTT横浜氏：セキュリティリーダーの視座（1/3 ページ）

　通産省、マッキンゼーを経てNTTへ。異色の経歴を持つNTT グループCISO 横浜信一氏は、「経営視点」で独自のリーダーシップを発揮する。ホワイトハウス訪問を初年度の目標に置くなどのユニークな取り組みと、周囲に安心感を与える人柄で組織変革を実現している。

[星原康一，ITmedia]

　NTTグループのセキュリティを一手に担うCISO（最高情報セキュリティ責任者）、横浜信一氏。通商産業省（現・経済産業省）、マッキンゼー、そしてNTTという異色のキャリアを歩んできた同氏は、技術畑出身者が多いセキュリティ業界において、「経営視点」と「人間味」を持ち込んだ独自のリーダーシップを発揮している。「被害最小化」を掲げ、巨大グループのガバナンスを効かせる横浜氏に、CISOの役割、危機管理の要諦、そして組織文化の変革について聞いた。

---

横浜信一（YOKOHAMA Shinichi）
――NTT　グループCISO（最高情報セキュリティ責任者）

Photo by 山田井ユウキ

　経済産業省（旧・通商産業省）、マッキンゼー・アンド・カンパニーを経て、NTT(旧・日本電信電話)に入社。NTTデータのグローバルPMI（Post Merger Integration：企業統合プロセス）などを担当後、2014年よりグループ持株会社に移籍し、セキュリティ分野における対外的なプレゼンス向上に従事。2018年より現職。グループ全体のセキュリティ戦略を牽引する。2023年にはNTTセキュリティホールディングスのCEOも兼務。最近では、経営者観点でのセキュリティ教育プログラムを考案し、250人を超えるNTTグループ各社の社長を対象に実践している。

---

通産省、マッキンゼーを経て「門前の小僧」としてセキュリティの世界へ

――まずはこれまでの経歴についてお聞かせください。

横浜氏：　最初は当時の通産省（現・経済産業省）に入省し、8年間勤務しました。そこでは情報サービス産業などを担当し、まだ電子メールが一般化する前のカプラー通信の時代からIT業界との接点を持っていました。

　その後、留学を経て「組織の壁を超え、グローバルな仕事がしたい」という思いからマッキンゼー・アンド・カンパニーに転職し、約19年間、主に通信やテクノロジー分野のコンサルティングに従事しました。

　そして2011年、日本発のグローバル・テクノロジー・カンパニーを作ることに貢献したいと考え、NTTへ転職しました。最初はNTTデータで海外企業買収後の経営統合（PMI）を担当していましたが、2014年に持株会社へ移り、そこで初めてセキュリティの担当としてのキャリアが始まりました。2018年からはグループCISOを務めています。

――セキュリティの担当を打診された際、最初はどのような心境でしたか。

横浜氏：　正直に言えば「へ？」という感じでした（笑）。元々大学は原子力工学ですし、ITやテクノロジーのビジネスには長く携わってきましたが、サイバーセキュリティに関しては全くの素人でしたから。

Photo by 山田井ユウキ

　ただ、私の座右の銘に「迷ったら前へ進む」という言葉があります。当時、NTTデータでの業務継続という選択肢もありましたが、全く新しい分野への挑戦の方が面白いと感じました。専門知識はありませんでしたが、それまでの経験を活かし、ゼロから学ぶ覚悟で引き受けました。まさに「門前の小僧習わぬ経を読む」の心境で、周囲の専門家や現場から学びながらやってきたというのが実情です。

――着任当初、どのようにして知識を習得されたのですか。

横浜氏：　着任して最初にとった行動は、約1週間、朝から晩までYouTubeを見続けることでした。NIST（National Institute of Standards and Technology：米国国立標準技術研究所）のワークショップや国際会議の講演ビデオなど、公開されている良質なコンテンツを徹底的に視聴し、いわば「サイバーセキュリティのシャワー」を浴びたのです。

　そこで気づいたのは、世界中の専門家たちが「何をすべきか（What）」については共通認識を持っているものの、「どう実行するか（How）」の部分で皆困っているということでした。後発の私が「What」で新しいことを見つけるのは不可能ですが、「How」、つまりセキュリティをいかに経営の中に融合させるかという点であれば、私のコンサルタントとしての経験や経営視点が活かせると考えました。

CISOの役割は「経営への融合」と「現場のエンパワーメント」

――CISOという役割について、一般的な定義が明確でない中でご自身の役割をどのように考えていますか。

横浜氏：　おっしゃる通り、CISOの定義は確立されておらず、企業によって背景も役割も千差万別です。私は自分自身の役割を大きく2つ定義しています。

　1つ目は、経営陣に対する「ミッショナリー（宣教師）」あるいは「リマインダー」としての役割です。役員会の中で、CEOやCFO、CTOといった他の経営層に対し、サイバーセキュリティの重要性を理解してもらい、経営課題の一つとして意識してもらうこと。これを継続的に行うことが重要です。

　2つ目は、グループ各社の現場のエンパワーメントです。NTTグループは巨大で、実際のインシデントは現場である事業会社で発生します。各社にはそれぞれのCISOやセキュリティチームがいますから、持株会社のCISOである私が直接オペレーションを行うわけではありません。彼らに対し、私の方針である「被害最小化」というフィロソフィーを共有し、彼らが動きやすい環境を作ること、それが私の仕事だと考えています。

――グループ企業との連携はどのように行っているのでしょうか。

横浜氏：　年2回の「グループCISO会議」に加え、夏には各社のCISOと1対1で面談を行っています。また、何か重要な事象が発生した際にはアドホックに連絡を取り合います。

　基本的には現場のオペレーションを信頼し、任せています。私が現場の細かいことに口を出すよりも、彼らが自律的に動けるよう、大きな方針を示し続けることが重要だと考えています。