Japan

サイト内の現在位置を表示しています。

サイバーセキュリティダッシュボードによる包括的なセキュリティ経営の実現

Vol.77 No.1 BluStellar特集 BluStellarが牽引するDXの未来 ~AI・セキュリティ・データマネジメント・モダナイゼーションで拓く価値創造モデル~
  • Share

NECが全社的に運用するサイバーセキュリティダッシュボードにより、ガバナンス/アカウンタビリティ/アウェアネスといった経営課題をデータドリブンに解決した実践例を紹介します。

本ダッシュボードにより、リスク・脅威・マネジメントの状況を可視化し、KPIに基づくアクションと自動化されたフォローアップにより、対処速度は2倍以上に向上し、ランサムウェア被害リスクは6分の1以下に低減しました。また、第三者評価と投資効果の見える化により、説明の分かりやすさと透明性が向上し、ステークホルダーとの対話にも活用しています。加えて、訓練結果の可視化やセキュリティニュースの掲載で全社員の参加意識を醸成し、社長から一般社員まで共通言語で会話できる基盤を確立しました。これらの取り組みは、日本セキュリティ大賞2024での大賞受賞など、外部からも高い評価を獲得しています。

1. はじめに

サイバー脅威は年々増加し、対応はますます困難になっています。NECのように幅広い事業を展開する企業は攻撃の標的となりやすく、全社的なガバナンスと強固なセキュリティ対策が欠かせません。

NECは約6年を掛けて、グローバルに統一されたポリシーのもとでガバナンス体制を確立し、利便性を考慮したセキュリティアーキテクチャを再構築。これにより、サプライチェーン全体でリスク低減を進めてきました。

更に、脅威インテリジェンスを活用したサイバーディフェンス体制を強化。2018年以降は、大規模な国際イベントを見据えて脅威警戒レベルを引き上げ、インテリジェンス専門チームを立ち上げることで、事前防御と積極的な情報収集を推進しました(図1)。

zoom拡大する
図1 サイバーディフェンス体制の強化と脅威インテリジェンスの活用

加えて、Red Teamによるグローバルなサイバーリスクアセスメントを実施し、第三者レーティング、クレデンシャル診断、外部公開アセットへの緊急リスク調査、攻撃診断の主に4種類の診断パッケージを展開。リスクの特定から対処まで経営層と現場が一体となり、事業継続を支えるマネジメントサイクルを回しています(図2)。

zoom拡大する
図2 Red Teamによるグローバルなサイバーリスクアセスメント

しかし、こうしたマネジメントサイクルが当初から順調に機能していたわけではありません。課題は、(1)ガバナンス、(2)アカウンタビリティ、(3)アウェアネスの3点に集約されます。1点目のガバナンスの面では、グローバル全体で統一的な管理が行き届かず、拠点ごとに脆弱性対応の徹底に遅延やばらつきが生じていました。2点目のアカウンタビリティの面では、ステークホルダーに対して投資の成果を伝えにくく、社内外の納得を得にくい状況がありました。3点目のアウェアネスの面では、目に見えにくい脅威特性ゆえに危機感に温度差が生まれ、「自分ごと化」が進みにくいという問題がありました(図3)。

zoom拡大する
図3 サイバーセキュリティ経営課題

解決の鍵は、データドリブンなセキュリティカルチャー変革です。リスクと効果を定量化し、KPIに基づく客観的な評価を行うことで、優先順位が明確になり、説明責任の強化と投資判断につながります。その結果、現場と経営層の対話が加速し、自律的なマネジメントサイクルが回り始めます。

2. サイバーセキュリティダッシュボードによる包括的なセキュリティ経営

2.1 サイバーセキュリティダッシュボード

NECでは前述の経営課題(図3)を解決するために、サイバーセキュリティダッシュボードを活用しています。状況を可視化し、社長から一般社員までがファクトベースの共通言語で同じ事実を共有できるよう、分かりやすい表現で構成されています(図4)。

zoom拡大する
図4 サイバーセキュリティダッシュボードの全体像

ダッシュボードは リスク・脅威・マネジメントの3つの観点で構成され、それぞれが異なる役割を担っています。

  • リスクダッシュボード:第三者機関のセキュリティスコアと各リスクの対応状況をファクトベースで表示。放置された脆弱性は自動的に事業部門長や経営層へエスカレーションされ、自律的な対処を促進します(図5)。
  • 脅威ダッシュボード:NECグループに対する攻撃の件数・種類・防御状況等をリアルタイムに可視化。全社員の危機意識醸成と投資対効果の説明に活用しています(図6)。
  • マネジメントダッシュボード:セキュリティ施策の効果や組織パフォーマンスを、第三者の格付けや評価も取り入れて定量的に示します(図7)。
図5 リスクダッシュボード ― 各組織の状況を可視化し自律対処を促進
図6 脅威ダッシュボード ― 攻撃状況のリアルタイム可視化で意識と説明責任を強化
図7 マネジメントダッシュボード ― 第三者格付けを含む施策効果の定量評価

2.2 セキュリティカルチャー変革とその効果

ガバナンスの面では、放置される脆弱なシステムが急激に減少し、リスクの対処速度が2倍以上に加速した結果、ランサムウェアによる被害リスクは6分の1以下に低減1)しました。また、NECだけでなく関係子会社でもダッシュボードを自律的に活用し、自組織のリスク対処を継続しています。更に、各国拠点のIT責任者が参加するグローバル会議では、ダッシュボードを軸にKPIや組織の立ち位置について議論をするなど、グローバル全体での定着も進んでいます(図8)。

zoom拡大する
図8 データドリブンなセキュリティマネジメント実践に基づくグローバルなセキュリティリスク低減の加速

アカウンタビリティの面では、社外取締役、管轄省庁、株主などのステークホルダーとも、ダッシュボードを用いた対話を継続しており、「投資効果が分かりやすい」と高い評価を得ています。

また、NECのセキュリティへの取り組みは第三者の客観的評価でも実績が出ています。ESG投資の主要指標であるダウ・ジョーンズ・サステナビリティ・インデックス(DJSI)では4年連続でセクター内1位を獲得し、日本IT団体連盟の「サイバーインデックス企業評価」でも4年連続で最高位を獲得しました(図9)。これらの取り組みにより、説明責任の透明性が高まり、投資判断の納得感と社内外の信頼を継続的に獲得しています。

zoom拡大する
図9 ステークホルダーとのコミュニケーション活性化とデジタルなアカウンタビリティの実現

更に2025年8月に、画像・動画・音楽・音声・テキストなどAIをフル活用し、経営層が一目見て社内外のセキュリティ情勢を一望できる、セキュリティエグゼクティブダッシュボードのサイネージもスタートしました(図10)。

図10 セキュリティエグゼクティブダッシュボード ― AIを活用した経営層向けサイネージ

アウェアネスの面では、社員一人ひとりが主体的にセキュリティをとらえる基盤が整い、組織全体の意識が着実に向上しました。NECは「全員参加のセキュリティ」という理念のもと、ダッシュボードをベースにさまざまな施策を展開しています。

まず、セキュリティの間口を広げ、より身近に感じてもらうために、新入社員の素朴な疑問にインタラクティブに答える「10の質問シリーズ」を実施しました。各部署で行うセキュリティディスカッションでもダッシュボードを活用し、現在は事故に対する危機意識が96%まで向上しています。

また、いざというときに行動できるよう、全社的な攻撃メール訓練を実施し、結果をダッシュボードで公開しました。各組織が自らの状況を確認し、改善を継続した結果、不審なURLのクリック率は15%以上低減し、エスカレーション率も上昇しています。訓練メールの文面作成には生成AIを活用し2)、約90%の効率化を実現しました。

更に、セキュリティを日常に浸透させるため、生成AIを活用した自動ニュース配信や音声・音楽コンテンツを配信しています。社員からは、隙間時間で気軽にセキュリティに触れられると好評です(図11)。

zoom拡大する
図11 全社員のアウェアネス向上につながる取り組み

2.3 リーン&アジャイルな立ち上げと継続的なDigital Ops/AI活用

ダッシュボードの立ち上げ当初は、CISO(最高情報セキュリティ責任者)と数名のメンバーが15分で企画骨子を固め、5名程度のチームで開発を行いました。Quick Win を目指して1カ月でローンチし、以後は社長を含むトップマネジメントとの定例レビューで優先度を磨き込み、リーン&アジャイルに拡張。現在は約20名が本務の合間に参画し、企画・開発・運用を継続的に回す体制へと発展しています。

デザイン面では、単なる数値羅列を避け、人間中心デザインを軸に「ユーザーが必要とする場所に意味のある情報」を配置。上流工程からデザインを組み込み、Catch & Tryで実装しています。前述したセキュリティエグゼクティブダッシュボードにおいてはReactを用いた動的なサイネージを進めており、より洗練されたデザインを目指し、新要素を取り入れながら常に改善を行っています。

ダッシュボードに表示する情報は、ゼロトラスト基盤で収集・分析したログを、コミュニケーションやナレッジ、タスクステータス、問い合わせなどの業務ツールと連携し、統計処理・ステータス付与・コンテキスト化を施したものです。その結果、1TB超のログが数GB規模の意味付けられた情報へと圧縮され、経営層・現場の双方が意思決定に足る情報密度で状況を把握できます。ダッシュボードは閉域回線で接続されたAWS上に構築したSplunk Enterpriseを基盤としており、堅牢なクラスタ構成を管理基盤で統合制御することで安定稼働と拡張性を確保しています(図12)。

zoom拡大する
図12 Cyber Defense Digital Ops/アーキテクチャ概要

サイバーセキュリティダッシュボードの運用では、仕組み化、Digital Ops、AIの活用を徹底しています。問い合わせ対応では、受付から担当者への自動アサインと通知により滞留を防ぎ、プラットフォームでは死活監視、パッチ適用、リソース管理を自動化しています。アプリケーションでは、データ取り込みや集計の失敗を自動検知してセルフリカバリを行い、ユーザー体験の観点でも画面の定期スクリーンショットと AI による異常検知で、見た目の異常を早期に検出します。更に、情報漏えい対策としてアクセス履歴やふるまいから不審ユーザーの自動抽出、通知、監査ログ保全までの一連の仕組みを実装し、利便性を損なうことなく、よりセキュアな運用を実現しています。

今後、デジタルアカウンタビリティが当たり前になる社会では、セキュリティの取り組みを正しく伝えることが信頼につながると考えています。NECはダッシュボードとAIを活用し、Autonomous Security(自律型セキュリティ)を推進。セキュリティパフォーマンスを可視化し、ステークホルダーに開示することで、より安心できる社会の実現を目指しています。

3. Value Creatorとして

私たちはお客様に対して、年間150件を超える社内事例紹介や社外講演を通じ、社内で培ったセキュリティの取り組みを価値として提供し、社会へ還元しています(図13)。また、社外評価の観点では、「リスクと脅威の可視化を実現した先例」として2023年に公益社団法人企業情報化協会主催のIT賞において、IT優秀賞(マネジメント領域)を受賞したのを皮切りに、日本デジタルトランスフォーメーション推進協会主催の日本DX大賞2024で特別賞、日本セキュリティ大賞2024では「サイバーセキュリティダッシュボードによる社内セキュリティ強化と社会還元の取り組みが秀逸」として大賞を受賞しました。更に2025年8月時点で、サイバーセキュリティダッシュボードに関する特許も多数出願しています。

zoom拡大する
図13 Value Creatorとしての社会還元

この取り組みは社内の活動にとどまらず、BluStellar Scenarioにも組み込まれ、お客様にも提供されています。

これからもNECは、先進的なセキュリティの実践を通じてお客様と社会に価値を提供し、安全・安心な未来の実現に貢献していきます。

商標

  • *
    SplunkおよびSplunk>ロゴは、Ciscoおよび/またはその関連会社の米国およびその他の国における商標または登録商標です。
  • *
    Amazon Web Services およびその他のAWS 商標は,米国およびその他の諸国におけるAmazon.com,Inc.またはその関連会社の商標です。
  • *
    その他記述された社名、製品名などは、該当する各社の商標または登録商標です。

参考文献

執筆者プロフィール

木造 正太
サイバーセキュリティ戦略統括部
シニアプロフェッショナル
湯徳 尊久
CISO統括オフィス
主任

関連URL

次の論文へ:DID/VCと⽣体認証で実現する本人証明の新潮流
特集TOPへ
技報TOPへ
BluStellar