専門学校教員からNECのCISOに! 「人生は筋トレ」、訓練は超難題 - NEC 淵上氏：セキュリティリーダーの視座（2/3 ページ）

異色の経歴を持つNECの淵上氏。「人生は筋トレ」を信条に技術と経営の均衡を重視。自社を実験場とする「クライアントゼロ」を実践し、AI時代のID管理や訓練を通じ、水道のように誰もが意識せず安全にITを使える世界の実現を目指す。

[星原康一，ITmedia]

「人生は筋トレ」──顧客にも責任を持つCISO

――淵上さんは「座右の銘」のようなものはありますか。

淵上氏：　座右の銘と言うほど大げさなものではありませんが、「人生は筋トレだ」と自分に言い聞かせています。筋トレは負荷をかけるからこそ筋肉が成長しますよね。人生も同じで、辛いことや大変な課題は、自分を成長させるための負荷だと捉えています。

　逆に、楽な日が続くと「成長していないのではないか」と焦燥感に駆られてしまうんです（笑）。

Photo by 山田井ユウキ

――そのストイックな姿勢は、現在のCISOという重責にも通じているように感じます。淵上さんはCISOという役割をどう定義されていますか。

淵上氏：　CISOは「組織の経営リスクの一端を担う役職」だと捉えています。求められる素養は非常に広範です。技術的な知識はもちろん、経営的なセンス、法律への対応、そして倫理観（コンプライアンス）。さらには、メディア対応を含めた対外的なコミュニケーション能力も必須です。

　その中で私が最も重要視しているのは、「技術と経営のバランス」です。セキュリティ原理主義に陥ってガチガチに固めてしまえばビジネスの足かせになりますし、逆に経営効率だけを追求すれば致命的なリスクを負うことになります。このバランスをどう取り、経営層や現場と合意形成していくか。それがCISOの最大の責務であり、難しさでもあります。

Photo by 山田井ユウキ

　一方で、NECのCISOとしては、定められた役割が3つあります。1つ目は、海外拠点も含めたNECグループのネットワークを守ること。2つ目は、お客様に提供する製品・システム・サービスのセキュリティを担保すること。3つ目は、万が一お客様にインシデントが発生した時には、たとえ我々の納めたシステムとは関係なかったとしても、お客様から要請があれば解決に向けて対応することです。

　社内システムだけでなく、お客様に対しても責任を持つという点で、一般的なCISOよりも領域が広いかもしれません。

――現在、特に注視しているセキュリティのトピックスはありますか。

淵上氏：　大きく2つあります。一つは「広義の内部不正」です。

　昨今のインシデント事例を見ると、正規のアカウントが悪用されるケースが非常に増えています。これは外部からの攻撃であっても、システム上の挙動としては「正規の権限を持った内部の人間による操作」に見えるわけです。こうした「疑似的な内部不正」も含め、どう検知し対策するかは大きな課題です。

　もう一つは、経営的な観点ですが「セキュリティソリューションの重複と整理」です。近年、多くのセキュリティ製品が多機能化し、プラットフォーム化しています。かつては機能ごとに住み分けができていたものが、今は領域が重なり始めています。これがコスト面の重複を招いていますし、運用面にも影響してきます。

　どこまで重複を許容し、どこで線引きをして最適化するか。これは技術と経営の両面から見直すべきトピックスです。

生成AI時代の「攻め」と「守り」

――今、どの企業も生成AIへの対応を迫られています。NECではAIとセキュリティの関係をどう構築していますか。

淵上氏：　AIに関しては、「AI for Security（セキュリティを高める・効率化するためのAI活用）」と「Security for AI（AIを安全に活用するためのセキュリティ）」の両面で対策を進めています。

　まず「AI for Security」ですが、NECグループではNEC開発のAIコア技術「cotomi」 を持っていることもあり、全社的にAI活用が浸透しています。セキュリティ領域でも、例えば海外現地法人を含むグループ会社の診断において、ペネトレーションテスト（侵入テスト）の一部を自動化する「AIエージェント」を開発・展開しています。また、監査の一次報告書の作成やコードチェックにもAIを活用し、人間の工数削減と品質の均質化を図っています。

Photo by 山田井ユウキ

　一方の「Security for AI」に関しては、全社的なガバナンスが必要です。セキュリティ部門、IT運用部門、そしてAI技術部門の3者が連携して以前から取り組んでいます。

　具体的には、MCP（Model Context Protocol）という言葉がない時代から、MCPサーバのような仕組みを独自に実装した、クローズドで安全な環境を用意しています。AIエージェント同士の対話や社内システムへのアクセスはこの閉じた環境内で実行し、外部に出る必要がある場合は専用のプロキシを通すというかたちで管理しています。

　また、現在まさに取り組んでいるのが「AIエージェントのID管理」です。自律的に動くAIエージェントは、もはや単なるツールではなく、人に近い振る舞いをします。これらを「ノンヒューマンID」としてどう定義し、権限を管理していくか。これは多くの企業が直面する課題だと思いますが、我々はいち早くルール作りを進めています。