専門学校教員からNECのCISOに! 「人生は筋トレ」、訓練は超難題 - NEC 淵上氏：セキュリティリーダーの視座（3/3 ページ）

[星原康一，ITmedia]

NECが実践する「クライアントゼロ」とレジリエンス

――NECには「クライアントゼロ」という考え方があるそうですね。

淵上氏：　はい。これは「NEC自身が0番目の顧客として最先端テクノロジーを実践し、そのナレッジをお客様や社会に還元する 」という考え方です。

　先ほどソリューションの重複の話をしましたが、かといって、どこかのベンダーに依存するかたちで導入してしまえば、いわゆるベンダーロックインに陥り、将来的に最適な構成を整えられなくなることもあります。

Photo by 山田井ユウキ

　だからこそ、我々自身がユーザーとして最新の技術やソリューションを導入し、試行錯誤し、運用の苦労も含めてノウハウを蓄積する。その上で、「本当に使える形」でお客様に提供する。これを実践しているからお客様のセキュリティにも責任を持てるわけですね。

――顧客のインシデント対応に呼ばれる機会は多いのでしょうか。

淵上氏：　ええ、公表していませんが、世間で報じられるインシデントを陰ながらサポートすることはかなり多いですね。ある官公庁系システムでは、インシデント対応に半年近く現場で携わったことがありました。

　セキュリティは「何も起きないこと」が理想ですが、現実にはゼロリスクはあり得ません。実際に事が起きた時には、現場がいかに混乱し、判断が難しくなるか。また、バックアップなどを用意していたとしても、復旧までの道のりがいかに長いことか。間近で見てきました。

　この経験から、普段からインシデント対応の練度を高めることが重要だと感じています。

――その経験は現在のNECでどう活かされていますか？

淵上氏：　レジリエンス（回復力）を高めることにはこだわっています。特に毎年のインシデント対応訓練ですね。訓練といっても、形骸化したものでは意味がありません。我々はかなり時間をかけて、「現実に起こり得る、判断に迷うシナリオ」を作り込んでいます。

　例えば、「人命に関わる災害通知システムがランサムウェアの人質に取られ、身代金を払わなければシステムをダウンさせると脅迫された」というシナリオです。システムを止めるのか、人命を優先してテロリストに屈するのか。正解のない極限状態の中で、現場はどう動き、経営層はどう判断を下すのか。

　この訓練には私だけでなく、CRCO（Chief Risk and Compliance Officer：最高リスク&コンプライアンス責任者） や法務担当役員なども参加し、丸2日間かけてシミュレーションを行います。マニュアルに書かれていない事態に直面した時こそ、組織の真価が問われるからです。

　訓練後の振り返りでは、「やはりここは事前に役員間で合意しておくべきだった」といった具体的な課題が浮き彫りになり、それを次のルール改定に活かしています。

究極の目標は「水道のようなIT」

――最後に、淵上さんが描く将来のビジョンと、読者であるエグゼクティブ層へのメッセージをお願いします。

淵上氏：　私が昔から持っているビジョンは、「IT環境を水道のようにしたい」というものです。

　日本で水道の蛇口をひねる時、「この水は安全かな？」「毒が入っていないかな？」と疑いながら飲む人はほとんどいませんよね。ITもそうあるべきだと思うのです。

　パスワードの複雑性に悩まされたり、「このメールは開いていいのか」と常に疑心暗鬼になったりするのは、社会インフラとして成熟していない証拠です。ユーザーがセキュリティを意識せずとも、空気や水のように自然に、安全にデジタルの恩恵を受けられる世界。それが理想です。

　もちろん、水道の水が安全なのは、浄水場やダムでプロフェッショナルの方 たちが24時間体制で水質を管理し、守っているからです。ITの世界も同じで、裏側では我々のようなセキュリティの専門家が泥臭く守り続け、ユーザーはその存在すら意識しなくてよい世界を作ることが、私の長期的で壮大なビジョンです。

Photo by 山田井ユウキ

　エグゼクティブの皆様にお伝えしたいのは、やはり「バランス」の重要性です。セキュリティは技術だけの問題でも、経営だけの問題でもありません。ベンダーからの提案、現場からの悲鳴、経営からの要請。それぞれ異なるベクトルをどう調整し、組織として最適な解を導き出すか。そのバランス感覚こそが、これからのリーダーに求められる最大の資質ではないでしょうか。