企業や組織のコンピュータシステムやネットワークに対して、データの破壊や改ざん、情報搾取などを目的に行われるサイバー攻撃。日々複雑化、高度化する手口により、サイバーセキュリティの強化は企業の事業継続において重要な要素となっている。こうしたサイバー攻撃に対し、エキスパートの総合力でICT環境を守っているのがNECグループだ。NECグループはサイバーセキュリティを注力領域と定めているが、さらに、2016年4月にCISO(Chief Information Security Officer)を新たに設置している。そのCISOに就任した龍野康次郎氏に、サイバーセキュリティに対する考えや取り組み、人材の育成・登用について話を伺った。
ロンドンオリンピック期間中は
2億2100万件のサイバー攻撃があった
多田 NECがCISO(Chief Information Security Officer)という役職を新設したのはどのような経緯があったのですか。
龍野 現在、サイバー攻撃を中心にしたサイバーセキュリティリスクが非常に高まってきています。例えば2014年の日本の官公庁や一般企業へのサイバー攻撃に関する通信数が256億件と、前年比2倍にのぼっています。
NEC執行役員常務兼CISO。1980年、NEC入社。以降約30年間、大手企業や官公庁等に向けたシステムインテグレーション事業に携わる。2008年に執行役員に就任、NEC社内における業務プロセスとICTシステムを統合する全社プロジェクトの旗振り役を担当。2016年4月より現職。
また、情報漏えい事件1件あたりの損害賠償額は1億6000万円にものぼり、こちらもやはり前年と比較して急激に上昇しています。
そして、2012年に開催されたロンドンオリンピックでは、2週間の開催期間中で2億2100万件のサイバー攻撃を受けたと言われています。当然、2020年に開催されるオリンピックでは、このサイバー攻撃の数はさらに増え、手口も多様化・巧妙化することはまず間違いないと目されています。
サイバーセキュリティリスクが経営リスクに直結してしまう時代です。その重要性をきちんと明示し、「事業継続性を担保するために、サイバーセキュリティを強化する」ということを発信していくための一つの施策が、今回のCISO設置です。2015年12月には経済産業省が「サイバーセキュリティ経営ガイドライン」を策定しました。この中でも組織のサイバーセキュリティ対策の一環としてCISOの設置が推奨されています。
CISO設置の狙いですが、NECは20年以上前からセキュリティポリシーを策定し、サイバーセキュリティ対策を行ってきました。認証や暗号化、セキュリティ監視やインシデント対応等の多層防御を行っています。
一方、攻撃のパターンも巧妙化・複雑化し、進化を続けています。また、NECはグローバルに事業を展開していますので、グローバルな事業体制の中でセキュリティレベルを常時高めていく必要があります。
そんな背景から継続的にセキュリティ戦略をアップデートし、セキュリティ対策の仕組みを向上していく必要があります。サイバーセキュリティリスクは経営リスクであり、事業継続に大きな影響を与えます。
このため、従来以上に経営者がステークホルダに我々の取り組みを開示して、安全性を担保していくことが重要です。また、NECはICT企業ですから、社会に先駆けてリファレンスモデルを構築し、提案していく使命があり、このため、今般、CISOを設置しました。
今年4月に発表した2018中期経営計画でもサイバーセキュリティを注力事業に位置づけており、また、2014年にサイバーセキュリティ戦略本部を設置しています。各部門から人材を集め、事業拡大の司令塔としての役割を担わせています。