ビジネスを支える

「デジタルレジリエンス」を

データの可視化で高める

――デジタルがビジネスを支えるようになったことで、最高情報セキュリティ責任者であるCISOの位置付けも変わってきているのでしょうか。

Splunk Services Japan合同会社
日本法人
社長執行役員
野村 健 氏

野村今ではデジタルが事業継続の鍵に位置付けられ、CISOの役割や位置付けも大きく変わっています。当社が実施した2023年版「CISOレポート」では、全体の86％がCISOの役割が大きく変化したと回答し、47％のCISOがIT（情報技術）部門ではなくCEO（最高経営責任者）の直下に位置付けられていると回答しています。ストラテジスト兼リーダーとして役員会議で大きな発言力を持ち始めている、という結果でした。

　昨今、サイバーリスクはビジネスリスクに直結します。CISOと経営幹部や取締役会との距離は近づき、組織全体をカバーすることが求められるようになっています。デジタルビジネスの変化への対応力、デジタルレジリエンスを高めることが全社レベルで求められているからだと受け止めています。

日本電気株式会社
執行役 Corporate EVP 兼 CIO 兼 CISO
小玉 浩 氏

小玉NECは、「安全・安心・公平・効率という社会価値を創造し、誰もが人間性を十分に発揮できる持続可能な社会の実現を目指します。」というPurposeを掲げ、自社をゼロ番目のクライアントとする「クライアントゼロ」の考えのもと、クイック・アジャイルにコーポレート・トランスフォーメーション（以下、CX）に取り組んでいます。CEO直下にこのCXを推進する部署を設け、私がCIOとCISOを兼務することで全社の業務プロセス、制度、組織、データをセットにCXを推進してきました。NECのPurposeにも掲げている「安全・安心」は企業活動の全てを支える基盤であり、CX実現において大変重要だと考えています。そして、CXの推進には、アジリティ（俊敏さ）とレジリエンス（強靭さ）が必須だと考えています。

　この2つがそろって向上することがCXの底力につながり、迅速に変化に対応することができます。

　これを実現するため、セキュリティ対策ではThree Lines of Defenseを構築。第1線（事業部門）と第2線（リスク管理部門）の牽制ではなく、より連携を強化した「Three Lines Model」を取り入れています。

――NECではセキュリティの状況を可視化するダッシュボードを構築し、IT協会のIT優秀賞を受賞するなど高い評価を受けています。構築した狙いはどこにあるのでしょうか。

小玉セキュリティでは全社をワンチームにするための仕掛けと可視化が重要であり、その共通言語となるのが「サイバーセキュリティダッシュボード」です。そこではファクトに向き合うことを重視しており、情報をオープンにした上で、データに基づいて分析・判断し、即座に対応する、つまりアクションにつながるようにしています。

　リスクを可視化して社長から従業員まで同じビューで見せることにより、全社における従業員の96％の意識が向上し、グローバルで客観的な外部評価のスコアもアップ、セキュリティ対策チームのエンゲージメントも向上しました。

野村セキュリティリスクをオープンにしたがらないケースが多い中で、こうした仕組みが構築できていることは素晴らしいと思います。以前から当社のツールを利用していただき、データドリブンで議論するというカルチャーが醸成されていたことが大きなポイントではないでしょうか。

小玉時間をかけてデータドリブンな発想を浸透させてきました。構築にあたって収集するデータの整合性を確立するのは大変でしたが、Splunkのツールを使うことでクイックに実現することができました。外部から攻撃されている状況や防御している状況を素早く可視化できたので、経営トップの理解が容易に得られました。

野村今はあらゆるサービスや業務がデジタルで展開され、データ量が増大し、システムは複雑化しています。そこでは何かあったときにいかに迅速に復旧できるかが鍵になります。その前提となるのがデータに基づくリスクの可視化です。

――なぜ全社レベルでセキュリティに対する意識を高めていくことが必要なのでしょうか。

「デジタルレジリエンスの主な阻害要因はサイロ化された組織、スキルを持った人材の不足、そして現状を打破するリーダーシップの欠如です」（野村氏）

小玉セキュリティリスクはゼロにはできません。いつ、どこでインシデントが起きるかわかりません。企業としてセキュリティレベルを高めるには、全従業員のセキュリティへの意識レベルを向上させることが不可欠です。

　そこで重要なのは、サイバーセキュリティという見えないリスクをどう見せるかです。目に見えることでアクションにつながりますから、見せ方には徹底的にこだわっています。そこでは多くの可視化の機能を持つSplunkが役に立っています。

　また、見せるコンテンツを更新したり、サイバーセキュリティ訓練の結果を公開したり、外部評価のリスクスコアの最新情報を伝えるなど、従業員の関心を引きつける工夫をしています。インパクトがあるものを提示しながら、PDCAサイクルを継続的に回しています。特に外部評価のスコアは、客観的評価をいただくことで社員の他社を含む社会全体、グローバルレベルでのセキュリティ動向に対する意識の向上に効果的です。

野村デジタルレジリエンスの主な阻害要因はサイロ化された組織、スキルを持った人材の不足、そして現状を打破するリーダーシップの欠如です。NEC様が組織の壁を乗り越えられたのは、強力なリーダーシップとそれを支える仕組みと継続的な運用があったからではないでしょうか。そして何より実行力が優れていると思います。

小玉セキュリティは各組織が連携して取り組む必要があるテーマの1つです。セキュリティの弱いところがあれば、そこから内部に侵入され、サプライチェーン全体に影響が広がる恐れもあるからです。それを理解してもらうためにもデータに基づいたファクトを示す必要がありました。

――デジタルレジリエンスの重要性を理解してもらうにはどんなことが必要でしょうか。

野村これまでオープンな場でセキュリティリスクについて話してくれる企業が少なかったので、正直クローズドな場での情報共有にとどまってきました。NEC様のような事例を積極的にオープンにしていくことで啓蒙活動につなげていきます。

　RaaS（Ransomware as a Service）などにより、サイバー攻撃がサービスとして提供される中で、これからも企業への攻撃は増えていきます。翻訳ツールが進化したことで日本企業への攻撃はより巧妙になっていますし、今後はAI（人工知能）を活用したより高度な攻撃が次々と現れることも懸念材料です。

　人材不足に悩む日本企業にとって、迅速なデジタル化や自動化やIT環境の可視化は成長のためには欠かせません。そして、ビジネスそのものがデジタル化されていくことで、これまでとは異なるリスクや脅威があり、レジリエンス強化は必須です。それに気づいてもらうための活動にも注力していきます。

「目に見えないサイバー空間が可視化され、変化するリスクへの対応力が大幅に向上」（小玉氏）

小玉ダッシュボードを構築したことで従業員の安全・安心への意識は高まり、それによりリスクの発生防止につながっていると感じます。この活動を継続し、さらに外部に提供していくことで、自社だけでなく、お客様の安全・安心にも貢献できると考えています。

　デジタルの世界は不透明さが漠然とした不安感を募らせるため、可視化に基づくアクションが有効です。日本企業のレジリエンスの向上、ひいては日本という国の安全、安心に貢献するべく、NECは今後もSplunk様をはじめとする多様な関係者と連携し、社会価値を創造していきます。

野村日本はもともと安全・安心を重んじる国であり、災害からの復興力もあります。レジリエンスに対する高いポテンシャルを持っている日本に、デジタルの世界でもレジリエンスが向上するように支援していきます。