検索
連載

「迷ったら前へ!」ホワイトハウスにも突撃するCISO - NTT横浜氏セキュリティリーダーの視座(2/3 ページ)

 通産省、マッキンゼーを経てNTTへ。異色の経歴を持つNTT グループCISO 横浜信一氏は、「経営視点」で独自のリーダーシップを発揮する。ホワイトハウス訪問を初年度の目標に置くなどのユニークな取り組みと、周囲に安心感を与える人柄で組織変革を実現している。

Share
Tweet
LINE
Hatena
前のページへ | 次のページへ

危機管理の要諦は「被害最小化」と「我慢」

――横浜さんが掲げる「被害最小化」について詳しく教えてください。

横浜氏: サイバー攻撃を100%防ぐことは不可能です。インシデントは必ず起きるものという前提に立ち、起きた際の被害をいかに最小限に留めるか、そのための準備を平時からしておくことが最も重要です。これが「計画的な被害最小化」です。

 また、インシデント発生時のCISOの役割として大事なのは「あたふたしない」こと、そして「我慢する」ことです。

横浜信一
Photo by 山田井ユウキ

――「我慢する」とはどういうことでしょうか。

横浜氏: インシデントが発生した際、トップマネジメントへの報告責任がある立場としては、どうしても最新の状況を把握したくなります。「原因は分かったのか」「被害範囲は確定したのか」「再発防止策は」など、矢継ぎ早に質問したくなる。

 しかし、現場は対応に追われています。そこにCISOが細かい質問をあれこれすれば、現場の負担が増え、対応が遅れることは明らかです。ですから、言いたいこと・聞きたいことがあってもじっと我慢する。現場を信頼して報告を待つ。これが非常に重要であり、かつ難しいことでもあります。

――現場からの報告を待つだけで、状況は把握できるものなのでしょうか。

横浜氏: 長年やっていると、優れたインシデント報告には「5つの要素」が含まれていることが分かります。「事象の概要」「被害の全体像」「原因」「封じ込めの有無」「再発防止策」の5点です。

 実際のインシデントにおいてもセキュリティ訓練でも、優秀な現場からは自然とこの5点が網羅された報告が上がってきます。私はその報告を聞いて、例えば「特定の重要顧客への影響」など、経営視点で補足が必要な点があれば質問しますが、基本的には「被害最小化に向けて対処をお願いします」とだけ伝え、あとは現場に任せることがほとんどです。それが結果として、最も迅速で的確な対応につながると信じているからです。

リスクベースの「選択と集中」

――セキュリティ対策には多大なコストがかかります。投資判断の基準はどのようにお持ちですか。

横浜氏: リスクベースの判断を行っています。発生確率と発生時のダメージを軸にしたヒートマップを作成し、優先的に対処すべきリスクを3つか4つに絞り込みます。

 例えば、ある時期にはランサムウェア対策が最優先であり、またある時期には内部不正対策が優先されるかもしれません。一方で、発生頻度や対策コストを勘案し、今はBEC(Business Email Compromise:ビジネスメール詐欺)の優先順位を下げる、などの判断も必要です。今出したのはあくまで例ですが、対処すべきリスクを優先順位付けして検討しています。

横浜信一
Photo by 山田井ユウキ

 全てのリスク対策に等しく投資することはできません。優先順位を明確にし、そのためのソリューション選定については、技術的な詳細までは私が口を出さず、専門知識を持つ部下に任せています。私は「何を守るか」「どこにリソースを集中するか」というグループ経営判断に徹しています。

「喧嘩をするなら大将と」――ホワイトハウスへの道

――NTTグループCISOという大きな所帯を率いるにあたり、マネジメント面で工夫していることはありますか。

横浜氏: 2014年7月にセキュリティ分野におけるNTTのプレゼンス向上というミッションを担った際、グローバルなプレゼンス向上が大切と考え、「年内にはホワイトハウスに行く」という目標を立てました。私のもう1つの座右の銘が「喧嘩をするなら大将と」なのですが、喧嘩するわけではないものの、どうせやるなら世界の中心であるホワイトハウスにアプローチすべきだと考えたのです。

――ツテもコネもない状態から、どのように実現されたのですか。

横浜氏: まさに「わらしべ長者」のようなアプローチでした。最初は日本の当時のNISC(National center of Incident readiness and Strategy for Cybersecurity:内閣サイバーセキュリティセンター)や知人を頼り、ワシントンDCのシンクタンクや業界団体を紹介してもらい9月にワシントンDCを訪問しました。そこで「NTTは世界のサイバーセキュリティに貢献したい。そのためのプランを持ってまた戻ってくる」と宣言し、実際に社内でアクションプランをまとめて、12月に再び渡米しました。

 そうやって信頼とネットワークを少しずつ広げ、最終的にはUSTelecomの方の仲介などで、ホワイトハウス(アイゼンハワー行政府ビル)に入り、NSC(National Security Council:米国国家安全保障会議)のサイバーセキュリティ担当シニアディレクターと面会することができました。無謀な目標に見えても、退路を断って行動すれば道は開けるという経験でしたね。

Copyright © ITmedia, Inc. All Rights Reserved.

前のページへ | 次のページへ
ページトップに戻る