サイト内の現在位置

全体最適を実現する「データドリブンサイバーセキュリティ」

昨今、ランサムウェア被害報告数が2020年下期から約5倍(注1)となり企業規模を問わず被害が拡大する一方で、DXの急激な加速によりシステム間連携が進むことでセキュリティリスクへの対応も複雑化し、企業の事業継続が脅かされています。また、地政学的な状況の変化にともない、民間企業も国家的な攻撃の標的となることで、経済安全保障推進法の施行により社会インフラの安全確保が義務化されました。
さらに、重要インフラのサイバーセキュリティに係る行動計画(注2)の中では、セキュリティ対策への経営責任も明確化されています。

NECはこれまで、DXやクラウドシフトにともなう新たなセキュリティリスクや複雑化するランサムウェア攻撃などの脅威の変化に合わせて、テクノロジー、組織・プロセス、人材育成・啓発の観点でNECグループ全体のサイバーセキュリティ対策を行ってきました。このノウハウを活かし、この複雑かつ変化の激しい脅威に対して、企業の保有するシステムのセキュリティデータを分析することで、企業システム全体のセキュリティ対策状況の可観測性(observability)を向上させ、中長期的なサイクルでの全体最適化を支援する「データドリブンサイバーセキュリティ」事業を立ち上げます。

業務DXに伴うセキュリティ対策の課題、今、必要なセキュリティ対策とは

急激なクラウド利用拡大により、企業が守るべきシステムやデータの保管場所やアクセス元が分散しています。セキュリティ対策においても機能ごとの部分最適な対策を繰り返すことで、システム全体ではセキュリティ対策に漏れや重複が発生、セキュリティリスクが潜在化し、インシデント対応が困難となっています。これでは、企業全体として適切なセキュリティ対策が行われたとは言えず、セキュリティ対策への経営責任が果たせないリスクが生じています。
これらのリスクを低減させるためには、経営者が現状を把握し、サイバーセキュリティに関する経営判断・プロセス改革を中長期的なサイクルで進めていくことが重要です。そのためには、リアルな監視データを収集・統合し、対策状況の可観測性を向上させることが必要です。

全体最適を実現する「データドリブンサイバーセキュリティ」

今回新たに立ち上げるデータドリブンサイバーセキュリティ事業では、日々行う「運用監視・対処」で蓄積したシステムのログデータや脆弱性・脅威情報などをデータレイクに統合し、ダッシュボードによりセキュリティ対策状況の可観測性を向上するサービスを提供します。さらに、サイバーセキュリティデータサイエンティストによる高度なセキュリティ知見に基づく分析により、システム全体でのリスク対策の最適化を行い、「経営判断・プロセス改革」を実現するサービスを提供します。これらにより、短期的な対策だけでなく、中長期的な改善サイクルを回し企業・自治体のセキュリティガバナンスの強化、経営リスクを低減します。

セキュリティCoE設置、専門人材の体制を強化

CISSP(注3)やGIAC(注4)、RISS(注5)などの高度な専門資格を有する、NECグループのセキュリティ専門人材で構成する、NECグループ横断のCoE(Center of Excellence)を設置し体制を強化。長年のSOC(Security Operation Center)提供の知見をもつInfosec社のアナリストが中核となり、「サイバーセキュリティデータサイエンティスト」として、膨大なセキュリティログから多角的な分析を行い、顧客課題への対処案の提示が可能となります。リアルな監視データによる高度な分析結果をもとにテクニカルコンサルタントが、顧客に最適なセキュリティアーキテクチャ、運用プロセスを立案し、サービスデリバリーまでトータルで支援します。

パートナーアライアンスによるエコシステムを構築

戦略パートナーとの協業強化により、オファリング共創、チャネル連携、サービス基盤開発を共同で行い、データドリブンサイバーセキュリティ事業のエコシステムを構築。NECグループの知見とパートナーとのエコシステムにより、お客様の事業運営サイクルに伴走し続けるサービス提供を実現します。

  • (注1)
    ランサムウェア被害として警察庁に報告があった被害報告件数 出典:令和4年におけるサイバー空間をめぐる脅威の情勢等について(警察庁 2022/9/15)
    new windowhttps://www.npa.go.jp/publications/statistics/cybersecurity/index.html
  • (注2)
    出典:需要インフラに係るサイバーセキュリティ行動計画(サイバーセキュリティ戦略本部 2022/6/17)
    PDFhttps://www.nisc.go.jp/pdf/policy/infra/cip_policy_2022.pdf
  • (注3)
    CISSP:Certified Information Systems Security Professional
  • (注4)
    GIAC:Global Information Assurance Certification
  • (注5)
    RISS:Registered Information Security Specialist(情報処理安全確保支援士)