検索
ニュース

「社長、これだけは覚えておいて」――NTTグループ250人のトップが学んだ、有事の際の4つの定石ITmedia エグゼクティブセミナーリポート(1/2 ページ)

組織の存亡がかかった有事の際の振る舞いだけは、経営者自身が身につけておかなければならない。4つの定石は、全てのリーダーにとっての羅針盤となるはずだ。

Share
Tweet
LINE
Hatena

 2025年、サイバー脅威は国家背景の攻撃やAIの悪用により一段高いレベルへと移行した。一方、被害からの復旧はDXの進展により複雑さを増している。激化する脅威環境のなかで、経営者はどう振る舞うべきか。NTTグループのCISOであり、NTTセキュリティホールディングスの社長も務める横浜信一氏が、自社で実践する「社長向けセキュリティ研修」の全貌と、トップが心得るべき定石を明かした。

2025年、脅威の質と復旧の複雑度が"掛け算"で被害を甚大化


NTTグループ CISO、NTTセキュリティホールディングス 社長 横浜信一氏

 2025年、日本のサイバーセキュリティ環境は極めて厳しい新しいステージに突入した。

 横浜氏は「私の2025年は、残念なことに1月2日にNTTドコモに対して行われた大規模DDoS攻撃で明けました」と振り返る。その後も4月に再び攻撃を受け、水面下では日本各地の重要インフラ企業に対する攻撃も続いていたという。そして後半には日本の大手企業で大規模インシデントが続出した。横浜氏は、2025年の特徴を「脅威レベルが一段上がった年」と総括する。

 国家を背景とする攻撃者や金銭目的の犯罪者が組織化されてリソースを増強していること、VPNの脆弱性やソフトウェアサプライチェーンを狙い撃ちにするような侵入経路が多様化していること、さらにAIを悪用したフィッシングで正規の認証情報を盗み、堂々と正面玄関から侵入する手口も常態化していることなどが挙げられる。加えて、侵入後に検知されにくい「Living off the Land(環境寄生型)」攻撃など、攻撃手法は高度化・巧妙化の一途をたどっている。

 これに加え、横浜氏が警鐘を鳴らすのが、ビジネスリカバリーの複雑度の高まりだ。DXが進んだ結果、システム間の相互依存性が高まり、バックアップからの復旧やタイムスタンプの整合性確保の複雑度が増している。また、マルチベンダー環境での調整やサプライチェーン全体の連携など、一度インシデントが発生した際のシステムやビジネスの復旧作業は非線形的に難易度を増している。

 「サイバー脅威の高まりと、リカバリーの複雑度の高まり。この2つが掛け算となり、ビジネス被害が甚大になる蓋然性が高まったのが2025年です」(横浜氏)

「社長業は総合格闘技」 多忙なトップの本音とギャップ

 こうした状況下で、「サイバーセキュリティは経営課題である」という認識は定着しつつある。しかし、横浜氏は自身が初めて社長に就任した際の経験を踏まえ、経営者の本音を代弁する。

 「世の中の社長のほぼ全ては、社長未経験のルーキーです。そして社長業とは、売り上げ、コスト、人事、環境問題、為替変動など、ありとあらゆる課題が押し寄せる、総合格闘技のようなものです」(横浜氏)


経営者のデスクに山積するさまざまな課題

 経営者のデスクには、売上やコストだけでなく、環境、人権、労働問題などありとあらゆる課題が押し寄せる。情報セキュリティはそれら数多くの課題の一つに過ぎない。建前としては「経営課題」と言いつつも、本音では「できるだけ任せたい、あまり時間は使いたくない」と考えているのが実情だろう。

 しかし、サイバーセキュリティにはほかのリスクとは決定的に異なる点がある。それは「被害者であるにもかかわらず、インシデントが起きた瞬間から加害者としての振る舞いを求められる」という点だ。この特殊性と、会社を潰しかねないリスクの大きさを考えれば、社長が判断から逃げることはできない。

 「忙しい社長に、最低限の時間で、いかに必要な知識とスキルを身につけてもらうか」。かつてグループ自身の重大インシデントで「痛恨の極みを味わい、猛省した」という横浜氏がたどり着いた答えが、NTTグループ会社の社長258人全員を対象とした独自の社長研修だった。

社長が学ぶべきは「意識」ではなく「スキルと知識」

 NTTの社長研修は、単なる意識啓発ではなく、「明日から使える、場合によっては今日から使えるスキルと知識」を身につけることを目的としている。テーマは「リスクベースマネジメント」と「インシデントマネジメント」の2点に絞り込まれ、「これだけは」という内容が厳選されている。


被害最小化のための3つの要諦

 研修には事前宿題がある。「あなたの会社で最も守るべき情報資産は何か」「守るためにどのような取り組みをしているか」「万が一、情報資産が漏洩したとき、社長としてどう行動するか」。これらに対する回答を持ち寄り、少人数のグループで議論することから研修はスタートする。

 まずリスクベースマネジメントの講義では、ヒートマップを用いた判断手法を伝授する。縦軸に「影響度」、横軸に「発生確率」を取ったマップ上に、自社のリスクをプロットしていく。


ヒートマップを用いた判断

 「右上の象限(発生頻度が高くダメージも大きい)にあるものは優先度を高めてリソースを投じる。逆に言えば、それ以外のものは“非優先”として、予算やリソースをかけないという判断をする。これを会社ごとに考えてもらいます」(横浜氏)

 研修の後半では、ゲーム形式を取り入れたインシデント対応演習を行う。演習では、「3連休前の金曜夕方、部下からランサムウェア感染の疑いがあると報告が入った。翌日は取引先トップとのゴルフの予定があるが、先方から“御社のシステム、繋がりにくいらしいね”と連絡が入る」といった生々しいシナリオを用意。その状況下で、社長として「発すべきセリフ」と「言ってはいけないセリフ」をカードで選び、グループで議論するのだ。

 セリフカードはマグネットになっていて、参加者はセリフカードを「望ましい発言」か「NGな発言」、あるいは「なんとも微妙」という風に仕分けして、ホワイトボードに貼り付ける。他の参加者が貼った位置に疑問がある場合は?マークのついたマグネットを貼ることもできる。

Copyright © ITmedia, Inc. All Rights Reserved.

       | 次のページへ
ページトップに戻る