NTTセキュリティホールディングスはNTTグループ唯一のセキュリティ専業の会社です。グループ各社のセキュリティを保持し、活動を支えることと、お客さまにセキュリティサービスを提供することの2つをミッションとしています。
2016年にNTTセキュリティ株式会社が設立され、一時NTT Ltd.の一部門となっていましたが、2022年にセキュリティが今後NTTグループ全体の事業戦略においてさらに重要になるという認識の下、持株会社直轄会社として再編成されました。
NTTのセキュリティには5つの独自の強みがあると考えます。1番目は、NTTのスケールです。NTTは巨大な情報通信インフラを運営する企業であるため、この瞬間も数多くのサイバー攻撃のターゲットとなっています。このため、NTTは世界最先端の攻撃手法を知ることができます。
2番目はサイバー攻撃の早期検知と迅速な対応・復旧における非常に優れた技術を持っていることです。サイバー攻撃は非常に複雑化・巧妙化しており、もはや100％の防御は不可能です。外部からの侵入を許してしまうという前提に立ち、早く検知して対応・復旧する、そして被害を最小限に食い止めることが重要になります。そのために、NTTグループは、AI（人工知能）も活用した、ネットワーク・セキュリティ機器内のアクティビティ・ログ・データを収集し、脅威を自動で検出・可視化・通知するSIEM（Security Information and Event Management）エンジンを保有しています。そして、このエンジンを一層有効に機能させるため、脅威情報の収集・共有のためのグローバルパートナーシップ、グローバルに連携するSOC（Security Operation Center）の高度分析エンジニア等を有しています。インプットされた脅威情報を優秀なエンジニアが解析することで知見が蓄積され、迅速かつ優れたサービスを提供するという好循環が生まれています。

さらに3番目として、人材の宝庫であることです。NTTは国内グループ全社員を対象にセキュリティに関する講習の受講を義務付けています。国内社員の約3％、約4500人がセキュリティの現場で活躍できる人材として認められる「中級」のランクを取得しています。また、外部の有識者も認める業界屈指の実績を持つトップガン集団が約100人います。巨大な情報通信インフラを運営するセキュリティの現場をもっていることから、こうした人材が日々育成されているのです。
そして、4番目は豊富な経験に裏打ちされたノウハウです。2021年に東京で開催された国際スポーツイベントでは、パートナー企業としてサイバー攻撃等からの防衛の一部を担わせていただきました。その他過去のG7やG20などの国際的大イベントへの対応経験も蓄積しています。グローバルイベントは毎年のように開かれ、例えば、G7広島サミットにおけるウクライナのゼレンスキー大統領の来日のように、世界中からVIPが来日されるたびに世界の耳目を集めています。サイバー攻撃を仕掛けようという者にとっては格好のステージです。こうしたシーンにおいて数々のサイバー防御を担わせていただいてきた点が私たちの強みであると考えます。

『サイバーセキュリティ戦記』です。実はこの本の出版が5番目の強みである情報発信におけるリーダーシップの一例です。サイバーセキュリティの取り組みは、攻撃者に攻撃のヒントを与えることにつながるおそれがあるため、開示されないのが一般的です。私はNTTグループのCISO（Chief Information Security Officer）という立場上、さまざまな企業や団体とセキュリティについての意見交換をするのですが、セキュリティ対応の悩みを抱えていらっしゃる方は非常に多く、そのような方々のお役に立ちたいという思いが先に立ち、あえてサイバーセキュリティの取り組みを情報発信していくことにしました。サイバーセキュリティに特化した対外情報発信チームを構成し、手の内も可能な範囲で外部に公開・発信しています。さらに、外部の方にSOCにおける運用の様子をご覧いただくことが可能なプレゼンテーションルームも設けています。
情報発信を始めた当初は攻撃者を利することになるのではないかといった懸念も聴かれましたが、「私たちはすでに十分に（攻撃者から）狙われている。NTTがグローバルなデジタル企業への成長を望むのであれば隠れていても仕方がない。それならば仲間をつくっていこう」と発想を転換しました。コネクテッド・ソサエティ、IoT（Internet of Things）時代となり、すべてのモノがつながっています。自社を守るだけではなく電力をはじめNTTが依存している会社、さらにはお客さま、広い意味のサプライチェーン全体を守って社会全体をセキュアにしていくことが大切と考えています。

まず、昨今サイバーセキュリティに注目が寄せられるようになっていることを私は非常にポジティブにとらえています。私がセキュリティの仕事にかかわり始めた10年前、当時は社会全体でのセキュリティに関する認知がまだ低かったと感じています。例えば10年前のソニーピクチャーズの事件はマスコミに取り沙汰されましたが、多くの人や企業にとって「対岸の火事」という認識が強かったのではないでしょうか。ところが、今ではセキュリティインシデントは国内外でしばしば発生し、その対応に多くの手間と費用を要していることが広く知られるようになってきました。もはや「対岸の火事」ではなく、「今そこにある危機」であり「いつ自社が被害にあってもおかしくない」という認識が広がっていると思うのです。社会にセキュリティの重要性への認識が浸透してきていることが分かります。その結果、サイバーセキュリティはIT課題ではなく経営課題だ、という認識も広まっています。
ところが、経営課題だと分かっても、何をすればよいのか、どこまですればよいのか、に悩む企業はまだまだ多いと思います。結果としてセキュリティ担当役員を任命して任せてしまう、そうした状況が多いのではないかとみています。任せられたセキュリティ担当役員は、何をどこまですればよいのか悩んでしまうのではないでしょうか。
幸い、NTTグループには大きな会社もあれば社員10人くらいのスタートアップのような小さな会社もあります。多様な会社が存在しているのがNTTグループの特徴です。大きな会社のセキュリティから小さな会社のセキュリティまで、豊富なノウハウを抱えているので、これをお客さまにご提供していきたいと思います。
ただ、私たちNTTグループも西日本において内部不正に伴う大きなインシデントを起こしました。しかもそれが10年間にも及んでいたこと、痛恨の極みでした。世の中からの信頼を取り戻すべく、内部のセキュリティレベルを高めていく所存です。
私たちが責任を果たすための戦略は大きく2つ、社外向けサービスとNTTグループ内向け防衛の両輪で展開しています。社外向けサービスについては、私たちのお客さまは国内企業から多国籍企業まで多様であり、規模の大小もさまざまです。こうしたお客さますべてに対して、私たちの5つの強みをベースとして、コンサルティングや知見の提供、システムインテグレーション等、お客さまのご要望や環境に合ったセキュリティ関連のサービスを提供します。
NTTグループ内向け防御においては、いわゆる3線モデルのガバナンスを十分に機能させます。私たちが経験したインシデントを機に基本に立ち返り、グループ全体でしっかりと取り組みます。各事業会社が主体的に進めることが基本になりますが、グループとしての総力を高めるためNTTセキュリティホールディングスが持株会社の指揮のもと、補完的な取り組みを進めていきます。例えばセキュリティは技術のみならず経営も一体となって取り組む必要があることですから、国内グループ会社の社長への研修を実施していきます。

枕元にスマートフォンを置いて寝ていますが、国内外のNTTグループで発生したインシデントの連絡が来て、24時間体制で対応しているので、プレッシャーがないといっては嘘になります。インシデントが発生したときに何が大事かというと、私は被害を最小化することだと思っています。被害を最小化するためには何が大事か。それは、発生したインシデントのことを含め、事態を誰よりも理解している現場に自由度を与えることです。
NTTグループの全体CISOである私に多少報告が遅れたとしてもかまいません。正直なところ、連絡が来なければイライラすることもありますが、それは現場が被害を最小限にとどめるために全力で対応しているからだと思うことにしています。現場の自由度を高め、信用することが大切だと思います。
私は通商産業省（現経済産業省）の官僚、そしてコンサルティング企業を経てNTTに入社しました。コンサルタントとして大手飲料会社の仕事をしていたときには、街を走るその会社の配送トラックに一緒に乗って営業力を高める施策を考えることもありました。あるとき、ドライバーさんが仕事の合間に食べる美味しい町中華の話等、現場でなければ分からない話をしてくれました。彼らの話を聞いて、現場の総合的な状況、環境を知っている強みを活かすことが良い仕事につながると確信しました。この経験が現場を信頼（トラスト）したいと思った出発点です。
そして、現場を信頼し、任せることが非常に重要なのと同時に、私が信条としていることを現場に伝えることも大切です。私はNTTセキュリティホールディングスのキックオフミーティングで私が仕事に取り組むうえでの信条が「迷ったら前へ進む」であることを伝えました。こうした信条がいつも正しい結果を生むかどうかは分かりません。でも前に進んだけれど間違っていたら、そのときはすぐに正せばいいのです。

風土づくりは一朝一夕にはいきませんが、揺らぐことなく現場を信頼することを大切にしていきたいですね。そのために、私自身も私にしかできないことにフォーカスしていますので、社員の皆さん1人ひとりが自身にしかできないことにフォーカスしてほしいと思います。これは私からの信頼だけでなく、社員が互いに信頼し合うためにも大切なことで、お互いが「あの人に任せていれば大丈夫」という頼れる存在であるためにも大切なことだと思います。
NTTのセキュリティはまだ発展の途上にありますが、ワールドクラスをめざしたいと考えています。これは世界でトップになるというのではなく、トップクラスの企業と同じテーブルに着いても恥ずかしくないという意味です。外部向けサービスとNTTグループ内向け防御は両輪と話しましたが、NTTセキュリティがグループのハブとなることが重要ですし、対外的にもNTTが総力を結集すればトラストを勝ち取れると思います。
研究開発を担う皆さんには矜持を持って研究開発に臨んでいただきたいですね。世界中から日本の、NTTのセキュリティへの期待が高まっています。その意味ではNTTの活躍の場はとてつもなく大きいのです。ご自身の領域でセキュリティプラクティスを築いていくのだという矜持を持って研究開発に勤しんでいただきたいです。
そして、お客さまやパートナーの皆様。私どもの知見やノウハウはできる限り開示いたしますのでぜひ一緒にやりましょう！

（インタビュー：外川智恵/撮影：大野真也）