2025年11月14日

NECでは組織全体のセキュリティガバナンス[1]を整えるために、サイバーセキュリティ管理規程を2023年から施行し、運用してきました。本ブログでは、そのセキュリティガバナンスを構築、維持するための運用のポイントについて紹介します。

目次

サイバーセキュリティ管理規程とは

サイバーセキュリティ管理規程とは、NECがお客様に提供する製品、システム及びサービスに対して、セキュリティを考慮した提案、実装のプロセスを実施する仕組みを構築することを目的とした全社規程です。[2][3]
NECでは、本規程を全社に展開しセキュリティガバナンスの構築に取り組んでいます。

概要

セキュリティを考慮した提案、実装のプロセスを実施する仕組みを構築する、というと少し分かり辛いかもしれませんが、簡単にいうと以下を組織として実践することを指します。

① 組織において、サイバーセキュリティの実践や提案を行う担当者をアサインし、セキュリティ提案・実装の体制を構築すること

② 自組織の製品、システム及びサービスを開発するプロセスに、サイバーセキュリティの対策が盛り込まれるように組み込み、運用すること

特徴

① サイバーセキュリティというと、プログラミングやネットワーク等、主にSI領域における下流工程での作業(実装等)をイメージしやすいですが、NECでは、セキュリティバイデザインの観点から、企画提案の段階からセキュリティを確保できるように取り組んでいます。このため、サイバーセキュリティ管理規程では、営業職における実施すべき内容も定義しており、早期からセキュリティ提案・実装の検討ができるようにしています。

② セキュリティ責任者と呼ばれる役割を新しく定義しています。セキュリティ責任者は、体制構築支援やプロセス構築支援、情報展開、セキュリティ提案・実装状況の点検等、組織としてセキュリティ提案・実装プロセスが適切に運用できるように、各組織でのセキュリティ対策の支援を行う役割を担っています。

③ サイバーセキュリティ管理規程は、組織として実施すべきことを明記したものですが、抽象的なものであるため、各組織における体制、プロセスの構築、支援内容といった具体的な施策については、組織ごとに考え、実践することになります。このため、組織ごとに解釈が異なり、実施状況に差異が出てくる可能性があります。こういった問題に対処するために、サイバーセキュリティ管理規程の遵守状況を定量的に評価できる点検表を作成しました。、この点検表を利用し、セキュア開発推進部門が定期的に組織の遵守状況を確認することで、適切に運用できているかどうかを確認しています。

セキュリティガバナンスを支える運用

2023年のサイバーセキュリティ管理規程施行開始以来、NECでは組織全体で確実に本規程が遵守されるよう継続的にフォローしてまいりました。ここからは、NECが取り組んできたセキュリティガバナンスの構築・維持の運用方法について説明します。

セキュリティガバナンスの構築

① 新規組織のフォロー
新規に作られた組織については、組織の長にサイバーセキュリティ管理規程の説明とセキュリティ責任者配置の依頼を逐次行うようにしており、サイバーセキュリティ管理規程が遵守できていない組織がないようにフォローしています。新規組織には後述するセキュリティ責任者の教育だけでなく、遵守状況の点検表の作成方法等のレクチャーや、必要に応じて個別にフォローを行うことで、各組織が適切にサイバーセキュリティ管理規程を運用できるようにしています。

② 教育の展開
セキュリティ責任者向けの研修を実施しており、1年に1度の受講を必須としております。サイバーセキュリティを取り巻く社会の状況は変化が激しく、実施する内容や、必要な知識等は、随時更新されて行きます。このため、セキュリティ責任者には、毎年研修を受講し、自身の役割の理解と、着実な支援遂行を実施できるようにしております。また、後述するセキュリティ責任者の管理において、セキュリティ責任者の登録・更新がされた場合、逐次その情報を確認してセキュリティ責任者の教育受講を促すようにしておりまして、自身の役割を即時把握できるようにしています。

セキュリティガバナンスの維持

① 遵守状況のモニタリング
100を超える組織に対して遵守状況のモニタリングも実施しております。遵守状況のモニタリングについては、それぞれの組織において、1年に1度、遵守状況の見直しを実施し、その実施内容について問題がないかどうかをセキュア開発推進部門がチェックし、必要に応じて是正指導を行っています。

② セキュリティ責任者の管理
多数のセキュリティ責任者の管理は煩雑なため、セキュリティ責任者を管理できるシステムを構築し、各組織自らセキュリティ責任者の登録・更新・削除を実施できるようにしました。これにより、セキュリティ責任者を漏れなく管理し、必要な情報や教育を展開できるようにしています。

まとめ

以前のブログ[1]にもある通りですが、セキュリティガバナンスは、組織全体でセキュリティを「考え、実行し、改善する」ための仕組みです。NECとしては、サイバーセキュリティ管理規程を各組織に遵守させることで、その仕組みを構築しております。
セキュリティガバナンスとなると、まだ馴染みが少ないかもしれませんが、NECとしては、サイバーセキュリティ管理規程の制定・施行に加え、セキュリティガバナンスの構築・維持における新規組織のフォロー、教育展開、モニタリング、及びセキュリティ責任者の管理を行ってきました。この取り組みは、今後も適宜改善しセキュリティガバナンスを高い水準で維持できるように取り組んでいきたいと思います。また、本記事が今後同じような取り組みを行う皆様の参考になれば幸いです。

参考文献

執筆者の他の記事を読む