「社長、これだけは覚えておいて」――NTTグループ250人のトップが学んだ、有事の際の4つの定石:ITmedia エグゼクティブセミナーリポート(1/2 ページ)
組織の存亡がかかった有事の際の振る舞いだけは、経営者自身が身につけておかなければならない。4つの定石は、全てのリーダーにとっての羅針盤となるはずだ。
2025年、サイバー脅威は国家背景の攻撃やAIの悪用により一段高いレベルへと移行した。一方、被害からの復旧はDXの進展により複雑さを増している。激化する脅威環境のなかで、経営者はどう振る舞うべきか。NTTグループのCISOであり、NTTセキュリティホールディングスの社長も務める横浜信一氏が、自社で実践する「社長向けセキュリティ研修」の全貌と、トップが心得るべき定石を明かした。
2025年、脅威の質と復旧の複雑度が"掛け算"で被害を甚大化
NTTグループ CISO、NTTセキュリティホールディングス 社長 横浜信一氏2025年、日本のサイバーセキュリティ環境は極めて厳しい新しいステージに突入した。
横浜氏は「私の2025年は、残念なことに1月2日にNTTドコモに対して行われた大規模DDoS攻撃で明けました」と振り返る。その後も4月に再び攻撃を受け、水面下では日本各地の重要インフラ企業に対する攻撃も続いていたという。そして後半には日本の大手企業で大規模インシデントが続出した。横浜氏は、2025年の特徴を「脅威レベルが一段上がった年」と総括する。
国家を背景とする攻撃者や金銭目的の犯罪者が組織化されてリソースを増強していること、VPNの脆弱性やソフトウェアサプライチェーンを狙い撃ちにするような侵入経路が多様化していること、さらにAIを悪用したフィッシングで正規の認証情報を盗み、堂々と正面玄関から侵入する手口も常態化していることなどが挙げられる。加えて、侵入後に検知されにくい「Living off the Land(環境寄生型)」攻撃など、攻撃手法は高度化・巧妙化の一途をたどっている。
これに加え、横浜氏が警鐘を鳴らすのが、ビジネスリカバリーの複雑度の高まりだ。DXが進んだ結果、システム間の相互依存性が高まり、バックアップからの復旧やタイムスタンプの整合性確保の複雑度が増している。また、マルチベンダー環境での調整やサプライチェーン全体の連携など、一度インシデントが発生した際のシステムやビジネスの復旧作業は非線形的に難易度を増している。
「サイバー脅威の高まりと、リカバリーの複雑度の高まり。この2つが掛け算となり、ビジネス被害が甚大になる蓋然性が高まったのが2025年です」(横浜氏)
「社長業は総合格闘技」 多忙なトップの本音とギャップ
こうした状況下で、「サイバーセキュリティは経営課題である」という認識は定着しつつある。しかし、横浜氏は自身が初めて社長に就任した際の経験を踏まえ、経営者の本音を代弁する。
「世の中の社長のほぼ全ては、社長未経験のルーキーです。そして社長業とは、売り上げ、コスト、人事、環境問題、為替変動など、ありとあらゆる課題が押し寄せる、総合格闘技のようなものです」(横浜氏)
経営者のデスクには、売上やコストだけでなく、環境、人権、労働問題などありとあらゆる課題が押し寄せる。情報セキュリティはそれら数多くの課題の一つに過ぎない。建前としては「経営課題」と言いつつも、本音では「できるだけ任せたい、あまり時間は使いたくない」と考えているのが実情だろう。
しかし、サイバーセキュリティにはほかのリスクとは決定的に異なる点がある。それは「被害者であるにもかかわらず、インシデントが起きた瞬間から加害者としての振る舞いを求められる」という点だ。この特殊性と、会社を潰しかねないリスクの大きさを考えれば、社長が判断から逃げることはできない。
「忙しい社長に、最低限の時間で、いかに必要な知識とスキルを身につけてもらうか」。かつてグループ自身の重大インシデントで「痛恨の極みを味わい、猛省した」という横浜氏がたどり着いた答えが、NTTグループ会社の社長258人全員を対象とした独自の社長研修だった。
社長が学ぶべきは「意識」ではなく「スキルと知識」
NTTの社長研修は、単なる意識啓発ではなく、「明日から使える、場合によっては今日から使えるスキルと知識」を身につけることを目的としている。テーマは「リスクベースマネジメント」と「インシデントマネジメント」の2点に絞り込まれ、「これだけは」という内容が厳選されている。
研修には事前宿題がある。「あなたの会社で最も守るべき情報資産は何か」「守るためにどのような取り組みをしているか」「万が一、情報資産が漏洩したとき、社長としてどう行動するか」。これらに対する回答を持ち寄り、少人数のグループで議論することから研修はスタートする。
まずリスクベースマネジメントの講義では、ヒートマップを用いた判断手法を伝授する。縦軸に「影響度」、横軸に「発生確率」を取ったマップ上に、自社のリスクをプロットしていく。
「右上の象限(発生頻度が高くダメージも大きい)にあるものは優先度を高めてリソースを投じる。逆に言えば、それ以外のものは“非優先”として、予算やリソースをかけないという判断をする。これを会社ごとに考えてもらいます」(横浜氏)
研修の後半では、ゲーム形式を取り入れたインシデント対応演習を行う。演習では、「3連休前の金曜夕方、部下からランサムウェア感染の疑いがあると報告が入った。翌日は取引先トップとのゴルフの予定があるが、先方から“御社のシステム、繋がりにくいらしいね”と連絡が入る」といった生々しいシナリオを用意。その状況下で、社長として「発すべきセリフ」と「言ってはいけないセリフ」をカードで選び、グループで議論するのだ。
セリフカードはマグネットになっていて、参加者はセリフカードを「望ましい発言」か「NGな発言」、あるいは「なんとも微妙」という風に仕分けして、ホワイトボードに貼り付ける。他の参加者が貼った位置に疑問がある場合は?マークのついたマグネットを貼ることもできる。
Copyright © ITmedia, Inc. All Rights Reserved.
ITmedia エグゼクティブのご案内
「ITmedia エグゼクティブは、上場企業および上場相当企業の課長職以上を対象とした無料の会員制サービスを中心に、経営者やリーダー層向けにさまざまな情報を発信しています。
入会いただくとメールマガジンの購読、経営に役立つ旬なテーマで開催しているセミナー、勉強会にも参加いただけます。
ぜひこの機会にお申し込みください。
入会希望の方は必要事項を記入の上申請ください。審査の上登録させていただきます。
【入会条件】上場企業および上場相当企業の課長職以上
アクセストップ10
- これも詐欺? セキュリティ導入時に起きる悲劇をなくせ──「登録セキスペ」で地方・中小企業を救うIPA
- 「ごく普通の会社」がランサムウェア被害で直面した損失と再生の記録――菱機工業 小川弘幹氏
- 「社長、これだけは覚えておいて」――NTTグループ250人のトップが学んだ、有事の際の4つの定石
- 「頑張りすぎるリーダー」ほどチームを停滞させる? 「自己犠牲」が主体性を奪うメカニズムとは
- 見つけにくい「心不全のリスク」が分かる血液検査 保険適用、自覚症状なくても受けて
- 群馬の山で「国産レアアース」新鉱物4種発見 山口大が発表、国際鉱物学連合で承認
- 「さっぽろ雪まつり」が開幕 サラブレッドなどの雪像や氷像、初日から観光客でにぎわい
- 「法律以前に、やるべきことがある」──ANA和田氏×SBT辻氏が語る、能動的サイバー防御の本質
- なぜコーポレートITはコスト削減率が低いのか――既存産業を再定義することでDXを推進
- 採用の勝敗を分けるのは“違いの言語化”――秋山真氏が語る「選ばれる企業」の条件
アドバイザリーボード
早稲田大学商学学術院教授
根来龍之
早稲田大学大学院国際情報通信研究科教授
小尾敏夫
株式会社CEAFOM 代表取締役社長
郡山史郎
株式会社プロシード 代表取締役
西野弘
明治学院大学 経済学部准教授
森田正隆
過去記事カレンダー
ITmediaはアイティメディア株式会社の登録商標です。