サイバー攻撃への対応は、あらゆる企業に共通する経営課題である。損害を防ぐため、そして、悪質な犯罪行為を許さないためにも、社会全体で知見を共有し、適切に対処したい。自身の経験や蓄積した知見を余すことなく顧客や社会に還元し、それを実践しているのがNECである。同社が開催したオンラインイベント「NEC Cyber Day’23 夏」では、これまで明かしていなかった実践例を紹介。NECが実践しているデータドリブンなサイバーセキュリティ経営とは、果たしてどのようなアプローチだろうか。

あらゆる企業が被害に遭うリスクに直面している

経営トップから新入社員まで全員が同じ情報を確認

NECも、このサイバーセキュリティ経営ガイドラインをセキュリティ対策のベースに据えているという。

「NECのサイバーセキュリティ対策の背骨であり、基本方針・規定・体制を定めている情報セキュリティガバナンスは、サイバーセキュリティ経営ガイドライン、経団連のサイバーセキュリティ経営宣言、そしてISMS（情報セキュリティマネジメントシステム）の要求事項を定めたJIS Q 27001（ISO/IEC 27001）をベースとしています。それに沿って、サイバーセキュリティフレームワークを定め、NEC自身の対策、グループ企業やパートナー企業などを含めたサプライチェーン全体の対策、そして、プロダクトやサービスの企画・設計段階からセキュリティ対策を組み込む『Security by Design』によるお客様向けの対策を、それぞれ実践しています」とNECでCIOとCISOを兼任する小玉 浩氏は言う（図1）。

最近の取り組みでは、以前はグループごとに整備していた基本方針をNECグループで統一したり、3段階で行っていた情報の秘密区分を5段階の規定に改訂したりしながら、継続的なセキュリティ強化を図っている。また体制面では、CISOをトップに置き、サイバーセキュリティだけでなく、リスク・コンプライアンス、経済安全保障など、各分野の専門部門が連携した管理体制を構築。管理を徹底するために各部門や海外の現地法人にも責任者を置いている。

このような一連のNECのサイバーセキュリティ対策の中で、ひときわ目を引くのが「データドリブン」なアプローチだ。

「NECのサイバーセキュリティフレームワークは、一人ひとりの高い意識と正しい行動によって全員でセキュリティ対策に取り組む『アウェアネス』、刻々と変化する攻撃情報を素早く入手し、早期の対処につなげる『インテリジェンス』、そして、万が一被害に遭った場合も早期に検知・対処・復旧を図る『レジリエンス』を3つの柱に据えています。データドリブンなセキュリティ対策で、これらを効果的に実践しています」と小玉氏は話す。

その象徴がサイバーセキュリティダッシュボードだ。画面例のようにサイバーセキュリティに関する情報をまとめたダッシュボードを開発し、経営トップから新入社員まで、広く公開しているのである。「サイバーセキュリティにおいて、状況を可視化し、例えばNECグループが受けている攻撃の数や種類を可視化します。『こんな文面で詐欺行為をしかけてきた』と不正メールの内容も知ることができます。また、発見されたリスクと対処すべきアクションも一覧で表示されます。ほかにもペンテストを通じた第三者機関による評価、競合他社との比較、ランサムウエアに感染するリスクなどが一目で分かるようになっています」と小玉氏は話す。

日々数千万に及ぶ攻撃を受け、それらをブロックしている──。本来、サイバー空間で行われているサイバー攻撃を目で見ることはできないが、それをダッシュボードを通じて可視化する。そうしてガラス張りになった情報は、社員の自律的なアクション、危機意識の醸成を促す。つまりNIST CSFの柱の1つであるアウェアネスにつながる。「一般社員がセキュリティ担当者の業務を理解し、より感謝するようにもなりました。そのことを通じてセキュリティ担当者のエンゲージメントも向上しています」（小玉氏）。

また、ダッシュボードを通じて全社員がフラットに同じ情報を参照することができるためスムーズなコミュニケーションが可能。このコミュニケーションが素早い情報入手と早期対処を目指す2つ目の柱であるインテリジェンス、そして、早期の検知・対処・復旧を図る3つ目の柱であるレジリエンスを支える。

このようなダッシュボードを実現できたのは、先ほど述べたようにNECがグループで情報セキュリティ基本方針を統一し、一貫した管理の基でITシステムの基盤・運用・体制を行っているからこそ。「国内外約12 万人の社員が同じインフラを利用しています。管理対象はハードウエア、ソフトウエア合わせて182 万資産となります」と小玉氏は述べる。

ほかにもNECは、クラウドサービス利用時の認証において、生体認証やAI がリスクありと判定した場合にだけ再認証を要求するリスクベース認証を駆使して、パスワードレスを実現し、セキュリティと利便性を両立している。

また、生成AIの活用で悪質化が進む攻撃に対応するために、NECもAIを積極的に活用。脅威検知、対策の自動化、対策立案などの実際の対策はもちろん、攻撃診断や調査、訓練・演習といったサイバーリスクアセスメントの領域でも有効活用している。「本年5月より、NECは生成AIを社内業務で利用しており、社員が安全・安心に使える体制と仕組みを2週間で構築しました。さらに世界トップクラスの日本語性能を有するLLM（大規模言語モデル）を開発し、生成AIビジネスを加速させるなどしています。セキュリティの分野でも生成AIの活用に取り組んでいます」と小玉氏は話す。

自身の経験を顧客のセキュリティリスクマネジメントに役立てる

具体的には、顧客はセキュリティ関連のデータをNECに預ければ、ダッシュボードを通じてサイバー攻撃や対策の状況を容易に可視化し、サイバーセキュリティ経営に役立てられるようになる。日々の監視やインシデント対応をNECに任せることも可能だ。

さらにどのような攻撃を受けているか、どこが狙われることが多いか、どこに脆弱性が潜んでいるかなど、日々の運用監視・対処の中で蓄積した情報を基に、NECの専門家が改善策の提案や実際のシステム導入もサポート。「文字通りエンド・ツー・エンドでデータを起点にしたセキュリティリスクマネジメントの実現をお手伝いします」（後藤氏）。

デジタル技術が企業活動と切り離せなくなっている現在、サイバーセキュリティはIT分野の課題ではなく、重要な経営課題、ひいては社会全体の課題といえよう。NECは、適切にセキュリティ投資を行うことで改革に挑戦し、自身の実践で得られた知見や価値を顧客・社会へ還元するというサイクルを通じて、その課題の解決に貢献しようとしている。