「進まざる者は必ず退く」、現状維持は大きなリスク - みずほFG CISO 寺井氏：セキュリティリーダーの視座（2/2 ページ）

[星原康一，ITmedia]

「進まざる者は必ず退く」 - チームの理念となった福沢諭吉の言葉

――チームとして成果を残すために大切にしていることはありますか。

寺井氏：　福沢諭吉の『学問のすすめ』の中に、「進まざる者は必ず退き、退かざる者は必ず進む」という言葉があります。これをセキュリティチームの理念として掲げています。

　もともと『学問のすすめ』は、明治の始まりという激動の時代に、「何でも政府にお任せではなく、人民が自ら学び、主体的に動かなければならない」と説いた本です。その中で「足を止めてはいけない」と繰り返し出てくるんですね。セキュリティの世界は、これが驚くほどフィットします。

Photo by 山田井ユウキ

　セキュリティにおいて現状維持というのは、実は後退なんです。自分のペースで同じことをやり続けていても、攻撃者の行動はどんどん速くなっているので、相対的には後退していることになります。常にチャレンジを続けなければなりません。

――セキュリティにおいて「進む」とは、新しい技術を導入・検討することを指していますか。

寺井氏：　それもありますが、もっと根本的な話で、仕事に向き合う「姿勢」です。

　セキュリティは、攻撃の手口が日々変わるうえに、技術だけでなく法律・規制・国際情勢まで絡んでくる、非常に広い世界です。そこで多くのことに興味を持ち、自分で情報をキャッチアップし、主体的に動ける姿勢が何より大事です。セキュリティには知的好奇心の強い人が向いていると思います。

　現在ではIT技術と切り離された生活を送っている人はほとんどいません。そのうえ、AIをはじめ、新技術が急速に進化しています。明治の時代に福沢諭吉が警鐘を鳴らした状況と、よく似ていると思っています。チームには「自分の領域で一歩でも前へ」という姿勢を大事にしてもらっています。

役員の頭の片隅に、常にセキュリティを - 毎週のインプットと定例の演習

――CISOという役職の本質は何だとお考えですか。

寺井氏：　突き詰めると、「セキュリティを全社員の自分事にすること」だと思っています。

Photo by 山田井ユウキ

　技術的な話は専門的で分かりにくく、どうしても他人事になりがちです。しかし、役員から現場の一般職員まで、それぞれがセキュリティにおける自分の役割を理解して行動しなければ、いくら技術的な対策を積み重ねても限界があります。

　関係者全員がセキュリティを真剣に考える環境を作ることが私の役割だと考えています。

――自分事化してもらうために、どんなことを実施していますか。

寺井氏：　私がCISOに就任した当時は、全職員に共通のセキュリティ研修プログラムを作っていました。疑似フィッシングメールを配信したり、セキュリティの概念を解説して理解度テストを実施したりですね。役員にもそれを受けてもらっていたのですが、この形式ではなかなか関心が高まりませんし、必要な判断力が身に付きません。

　現在は、役員向けのニュースレターをセキュリティ部門が作って隔週で配布しています。「特集」のような詳しく解説するコンテンツと、最新のセキュリティニュースを4つほどコンパクトにまとめた2部構成です。ただ送っただけでは読まれないので、週次の役員定例会で私自身が解説しています。

　これを続けていると、役員の方々が日常の意思決定の中で「これ、セキュリティ的にどうなの？」と自然に口にするようになってきます。そういう変化に成果を感じます。

Photo by 山田井ユウキ

――その他に工夫していることはありますか。

寺井氏：　取締役向けには年1回、シナリオ演習もやっています。

　例えば、「海外現地法人がランサムウェア攻撃を受けた。現地は独断で身代金を支払ってしまった。その事実をメディアも把握しつつある。本社の取締役会として今から何をするか」といった具合です。架空の状況を設定して、実際に判断を迫ります。ここまで具体的に考えると、「こんなことがあってはいけない」と気持ちを引き締めます。座学よりはるかに頭に残ります。

　執行役員向けの演習も年1回行っています。例えば、「あるシステムが攻撃を受けた。隣のシステムはまだ止まっていないが感染の可能性がある。止めるか、止めないか」というようなものです。情報が限られた中でリアルタイムに判断する訓練ですね。IT部門だけでなく、危機管理や広報、事業部門の役員も参加します。

グローバルの情報共有プロセスを整備中

――みずほフィナンシャルグループは大きい組織ですが、グループ全体の対策に関して課題はございますか。

寺井氏：　グローバル全体で連携してインシデントに対応する仕組みを整備することが、今取り組み中の課題です。

　以前、海外拠点でインシデントが発生した際にグローバルで連携しインシデント対応する仕組みがなかったために、当局への回答や顧客への説明が各国で統一されないリスクがありました。その時は私がファシリテーターとなって毎日ビデオ会議を開き、各地域の状況をリアルタイムで共有しながら対応を合わせていきました。日に日に参加者が増えていき、状況が落ち着いていった実感がありました。

　ただ当時はアドリブ対応でしたので、今後はプロセスをルール化して、誰がやっても同じように動けるようにしなければなりません。そこはまだ整備中です。

ガードレールを整備せよ - AI活用は「止める」より「安全に進める」

――AIの活用については、どのようなスタンスをとっていますか。

寺井氏：　「とにかくすぐにブレーキを踏む」という姿勢はとっていません。ガードレールをしっかり作って、その中では自由に使えるようにする、というのが基本的な考え方です。

　一つ一つのAI活用をいちいち詳細に審査していたら、現場はAIを使えません。私たちの役割は、ガードレールの設計と整備をリードすることです。実際の活用推進は、CDTO（チーフデジタルトランスフォーメーションオフィサー）配下の推進チームが担っており、私たちはそこに入り込んでリスク管理の観点から伴走しています。

　活用自体はまだ整備中の段階ではありますが、「止める」ではなく「安全に進める」という方向性は明確にしています。

――業界横断の取り組みにも積極的に関わっていますね。

寺井氏：　金融ISACの活動として、耐量子計算機暗号（PQC：Post Quantum Cryptography）への移行に向けたガイドライン作成を主導しました。PQC移行については世界でもまだ答えのない領域なので、海外の関連団体とも連携しながら情報収集しています。

　メガバンクのCISO同士でも毎月情報共有の定例を設けていますし、証券業界の情報共有会にも参加しています。セキュリティの脅威に地域性はないので、海外の動きもいち早く把握することが不可欠です。

Photo by 山田井ユウキ

「共同オペレーション」へ、業界の壁を越えた共助を目指す

――今後、個人として取り組んでいきたいことを教えてください。

寺井氏：　業界全体のセキュリティ対応力の底上げです。

　当グループのような規模の金融機関であれば、それなりに体力があって、人もお金もある程度動かせます。でも、中小の金融機関はそうはいきません。サイバー攻撃は弱いところを狙うものですから、業界全体のレベルが上がらなければ意味がありません。

　これまでも情報共有という形での共助はやってきました。でもそこからもう一歩踏み出して、共同オペレーションや共同サービスの形で実際に一緒に動くということをやっていきたいです。

　セキュリティ人材は絶対数が少ない。今は各社が取り合いをしている状況ですが、そうではなく、業界横断でリソースを生かし合う仕組みが必要だと思っています。

　日本全体のセキュリティのレベルを上げなければ、最終的には誰も得をしない。そういう危機意識で動いています。