全社導入の成功に向けて重要なのは
経営層の危機意識とコミットメント
このようにしてグローバルでセキュリティー基準を統一し、各国の拠点にExabeamやTaniumなどのソリューションを導入するという大規模プロジェクトを成し遂げたNTTデータだが、これらを推進する上で特に重要なポイントは「サイバーセキュリティーに対する経営層の強い危機意識と、対策実行へのコミットメントでした」と本城氏は振り返る。
今日、NTTデータと同様にビジネスをグローバル規模で展開している日本企業は多い。そうした企業の中にはグローバルでのセキュリティー施策の立案や実施で悩みを抱えるケースも少なくないはずだ。そうした企業へのアドバイスとして、本城氏は次のように話す。
「まず大切なのは、グローバルで統一されたセキュリティー施策を取ることに対する経営層の理解と決意です。M&Aを検討する際は、相手先のデューデリジェンス(資産査定)やガバナンスのチェックを行うと同時に情報セキュリティー施策についても調査し、買収後は自社のセキュリティー基準に従うよう同意を得ることが重要です」
GDPR(EU一般データ保護規則)などの法規制はそれぞれの地域や国で異なる。ガバナンスやセキュリティーに関して自社の基準を定めた場合でも、「各地域の法規制への個別対応が必要な点は考慮しなければなりません」と本城氏は付け加える。
NTTデータでは、同社と同様の悩みや課題を持つ企業に対して、セキュリティー施策の策定やCSIRT(Computer Security Incident Response Team:シーサート)※3などの体制の構築と運用、さらにはExabeamやTaniumといったセキュリティーソリューションの導入を支援するサービスを幅広く提供している。
※3 企業などの組織内における情報セキュリティー活動を担う組織。サイバー攻撃の監視やセキュリティー事案(インシデント)が発生した際の対処などを担う。
「先頃、ExabeamやTaniumのご紹介を始めたばかりですが、多くの反響を頂き、当社と同じ悩みを抱えるお客さまが多いことを改めて実感しています。すでにExabeamの導入プロジェクトに着手されたお客さまもいらっしゃいます」(矢竹氏)
また、日本でも製造業などでIoT(Internet of Things)の活用が進む昨今、そこで収集・蓄積される膨大なデータを保護する仕組みが今後は不可欠になると本城氏は話す。
「今日、サイバー攻撃の多くはIoTデータを狙ったものであり、それらのデータを保護するためにセキュリティー施策を強化されるお客さまが増えています。価値のあるデータは必ず狙われますので、今後はIoTデータの保護も企業セキュリティーの重要な課題となっていくでしょう。せっかく新たな価値を生み出すためにデータを集めても、それが盗まれてしまっては元も子もありません。データが企業経営にもたらす価値が高まり続ける中、経営層にこそ“データ活用”と表裏一体で“データセキュリティー”を考えていただきたいと思います」(本城氏)
データを経営資源として活用し、データ駆動型経済の中で競争力を発揮していくためには、グループ全体でのセキュリティーガバナンスの強化が経営課題としてますます重要になっていることは間違いない。
NTTデータでは、半年ごとに世界各地域のグループ会社のCISO(情報セキュリティー最高責任者)が集まり、セキュリティー対策の策定や運用についてグローバルで連携を図っている。
