多くの企業や組織がデジタルトランスフォーメーション(DX)を進める一方で、サイバーセキュリティの脅威も高まっています。NRIセキュアテクノロジーズ株式会社(以下、NRIセキュア)では、2019年にDXセキュリティ事業部門を設立し、最先端のテクノロジーと長年の経験に基づく多様なセキュリティサービスを提供してきました。
ニーズの高まり続けるDXセキュリティ事業が、これまでにどんな仕事をしてきたのか、これから先にどんな挑戦が待ち受けているのか―― 2021年度からDXセキュリティ事業をリードする2人の本部長が、これからのDXセキュリティ事業の在り方と未来のNRIセキュアメンバーへの思いを語りました。
企業のDXをセキュリティで支えるNRIセキュア
― お二人が担当しているDXセキュリティ事業について教えてください。
DXセキュリティ事業には、二つの本部があります。一つは、私が管掌するDXセキュリティコンサルティング事業本部で、セキュリティ診断やテクニカルコンサルティング、攻撃者と同じ手法でシステムへの侵入を試みるペネトレーションテスト、開発工程にセキュリティ対策等を組み込む「シフトレフト」の実現に向けた支援などを行っています。
もう一つのDXセキュリティプラットフォーム事業本部は足立が管掌しており、高度な専門性を学ぶためのセキュリティ教育、クラウドセキュリティ、SaaS型のセキュリティ評価サービスなどをお客様に提供すると共に、NRIセキュア全社のセールス・マーケティングも担当しています。
―DXに取り組む企業が年々増加する中、セキュリティに関するニーズは高まり続けています。この状況をどのように捉えていますか?
さまざまな要因によって企業はアナログなやり方だけでは生き残れなくなり、日本でも2017年頃からDXに取り組む企業が増えました。しかし、新しいテクノロジーを活用して企業の競争優位性を高めようとする際には、ビジネスの得意領域ではない部分で、何かしらの考慮が漏れることがあります。そこで当社は、企業のDXをサイバーセキュリティの側面からサポートしてきました。
さらに、2020年からは新型コロナウイルス感染拡大を受けて、リモートワークが普及し、インターネット経由で重要なデジタルデータをやり取りするケースが激増しました。便利になった一方で、攻撃者にとっては“攻撃できる領域(Attack Surface)”がものすごく拡大したわけです。その後、新型コロナのパンデミックは収束し、状況は随分落ち着きましたが、リモートワークでの業務をやめて以前のやり方に100パーセント戻す企業はありませんから、セキュリティニーズは依然として高いままです。
行政によるガイドラインの公開や格付けの開始などの法規制強化の流れも、セキュリティニーズが高まっている理由の一つかもしれません。2024年10月には、金融庁が『金融分野におけるサイバーセキュリティに関するガイドライン』を公開しました。2025年度には、経済産業省が企業のサイバーセキュリティ対策の評価・格付け制度を開始する計画になっています。
これまで以上にセキュリティを網羅的に捉え、サプライチェーン全体でセキュリティ統制を行うことが、日本企業にとっては重要だと言えますが、セキュリティ人材不足は深刻です。あらゆる企業は「限られた少ない人員で、どのようにセキュリティ対策を実行し続けていくか」について頭を悩ませており、今後は、セキュリティ業務の取り組みを高度化させるだけでなく、セキュリティ業務の効率化やセキュリティ生産性の向上が必要不可欠になってきます。
技術と経営をつなぎ、挑戦者の志を支える
―NRIセキュアのDXセキュリティ事業部門は、どのようなことを目指している組織なのですか?
DXセキュリティという枠組みで、どのような価値観を土台として共有し、どこへ一丸となって向かうのか、時間をかけて議論した結果、DXセキュリティ事業のミッションとして「技術と経営をつなぎ、挑戦者の志を支える」という言葉を紡ぎました。これは私たちの信念であると言えます。
セキュリティ業界に従事する人の中には、「攻撃に関する技術に興味はあるけれど、セキュリティについて詳しくない人に分かりやすく説明するのは苦手」という人が少なくないと思います。でも、私たちのやるべきことはその両方です。経営者やマネジメント層にセキュリティや技術のことを分かりやすく伝え、思い切り挑戦してもらえる環境を実現するために必要な対策をしておく――。それが私たちの競争力の源泉で、実現すべき姿だということを改めて明確にしました。
―DXセキュリティ部門のスローガンである「ここは任せて、先にゆけ」も、姿勢や提供価値が表れているように感じました。
このスローガンには、いろんな関係性が盛り込まれています。まずは、お客様と当社の関係において、「セキュリティを心配することなく、どんどん事業を先に進めてください」というメッセージです。企業のセキュリティ担当者は、「守って当たり前。守れなかったら責任を問われる」ポジションだから、孤独で辛い。欧米でCISO(最高情報セキュリティ責任者)の退職が続いていると言われますが、その理由の一つでもあるでしょう。
でも、「ここは任せて、先にゆけ」と言ってくれるパートナーが居たら、企業のセキュリティ担当者はきっと心強いし救われるじゃないですか。また、社員が「○○もやりたいけど、△△があるから今はできない」と感じている時、同僚や上司が「△△はやっておくから、君は○○に挑戦してよ」と、挑戦者の背中を押してあげるようなチームの関係性を表した言葉でもあります。
すごく私たちらしいシーンですよね。多様性と個性に溢れる専門家同士が、MVVという共通価値観でつながっているのです。私は、一緒に仕事を進めるチーム間の信頼関係においても「ここは任せて、先にゆけ」があると思います。
セキュリティ脅威がかつてないほどに高まっている現代では、自分一人の専門スキルや単一のソリューションだけでお客様の課題を解決することは困難です。でも、DXセキュリティ事業には多様な専門性やバックグラウンドを持った人が集まっていて、さまざまなサービスを提供できるからこそ、「こっちはやっとくから、そっちはよろしく頼む!」とお互いを信頼・尊敬して任せられるチームになっていると感じています。
DXセキュリティ事業のMVV策定のキックオフ、策定に関わった同部門の部長陣と(2021/12/22)
セキュリティ診断に依存した日本のセキュリティ文化に終止符を打つ
先日、大規模システムの公開を控えている企業から「他のセキュリティベンダーの診断を受けて問題はなかったが、念のためNRIセキュアでも見てほしい」とセカンドオピニオン的な脆弱性診断のご依頼をいただきました。それで当社でも診断をしたら、脆弱性や課題がたくさん検出されてしまったことがありました。
そういう時、普通のセキュリティベンダーなら「これだけ問題が見つかりました。もう対策済みで問題ありませんので、安心してください」というようなスマートな対応をするかもしれません。そうすれば、きっと次の診断の時もお声がけいただけて、売上に繋がるでしょう。でも、当社のメンバーは違いました。「こんなに見つかるなんて、そもそも日頃のセキュリティへの取り組み方はどうなっているのですか?」と、お客様の経営層に苦言を呈しに行ったらしいんです。そこでセキュリティ・バイ・デザインの重要性についてプレゼンしてきたという話を聞いて、めちゃくちゃいいなと思いました。
目先のビジネスの事だけを考えるなら、今後もセキュリティ診断し続ける提案をして、フィーをいただくのがいい。でも目先の売上だけにとらわれることなく、お客様が本当にやるべきことを伝えに行ったというわけです。
昨今、セキュリティ事件・事故の話題が絶えませんが、「セキュリティ=人の不幸で儲かるビジネス」ではなく、攻撃されて不幸になる人が増えないよう、未然に防ぐための本質的な対応も私たちがやるべきことです。
歯科医だって、虫歯を治療する人が多ければ多いほど儲かるはずなのに、「効果的な歯磨きの方法」とか「デンタルフロスもしたほうがいい」とか予防観点からいろいろ教えてくれますよね。あらゆる仕事において、お客様の真の喜び・幸せが何かを問う視点・姿勢が求められます。
セキュリティ診断を依頼するクライアントは、セキュリティ面の不安なく、事業やサービスを運営して、ビジネスを成長させることが主目的であり、決してセキュリティ診断そのものを欲しているわけではありませんからね。そうやって本質的な対応を進めた結果、従来のような「問題を見つけるためのセキュリティ診断」はなくなる日が来るかもしれませんけど、それで良いんです。セキュリティ診断で問題を見つけることを前提とするのはなく、さまざまな取り組みの結果、安全であることを確認するために脆弱性診断を使っていただけるようになった方が良いはずですから。
「セキュリティ診断に依存した日本のセキュリティ文化に終止符を打つ」くらいの強い意志を持って、これからも攻撃技術を追い求め続けていくことが、セキュリティ診断において日本トップクラスのシェアをいただいている自分たちの使命だと考えています。
私がこの世界に入った20年以上前からセキュリティ診断という分野はありますが、近年はその定義や範囲が広がっていると思います。セキュリティ診断は、クラウド・自動車・宇宙・生成AIなど、あらゆる技術・分野において求められていますし、企画・設計段階からセキュリティを考慮・組み込んでいくシフトレフトやDevSecOpsも注目され、常識となりつつあります。
セキュリティ診断を安全確認のために使っていただけるよう、私たちは新たなテクノロジーとそれに付随するセキュリティ脅威やリスクと向き合っていきます。
挑戦を後押しする風通しの良い環境
―DXセキュリティ事業のビジョンとして、「ためらいなく挑戦できる日本」というキーワードがあります。どのような思いが?
―社員にも挑戦を促していますよね?
観堂は「最初の挑戦をする場を作ろう」と、よく言っていて、小さな変化や挑戦を大事にしている印象があります。2024年11月に、世界トップクラスの専門家による日本発の情報セキュリティ国際会議である「CODE BLUE 2024」にNRIセキュアとして初めて協賛したのですが、そのきっかけは観堂が入社1年目の若手と1on1をした時に「CODE BLUEに会社として参加してみたい」と聞いたことでした。
会社によっては、マネジメント層が若者の気まぐれや思いつきとして軽く受け流してしまう可能性もありそうな話ですが、観堂は真剣に受け止め、自分事として捉えて、社内で「CODE BLUEに参加したいという意見があるけど、どうする?」と、動き始めていました。
今、セキュリティ企業は世の中にたくさんありますが、セキュリティ人材はずっと売り手市場で、実力のある人ならどんな会社でも選べる状況です。そんな中で多くのメンバーがNRIセキュアで仕事を続けてくれているのは、日々成長できる場があり、やりたいことに挑戦できる環境があるからだと思っています。もともと社内ベンチャーとして始まった会社なので、今でもスタートアップのような風通しのよさがあるし、NRIグループ全体の知見も使えて、いろんな挑戦がしやすい。
私もNRIセキュアに入社してからのことを振り返ると、「Will・Can・Must」の視点で色々な仕事がある中で、幸いにも「Will」に関連する仕事をさせてもらえることが多く、いろんな挑戦をさせてもらった実感があります。これからDXセキュリティ事業のメンバーになってくださる方にも、ぜひこの環境で思い切り挑戦をしていただきたいですね。
異なる経験を、DXセキュリティに求められる多様性に
―未来の仲間に対して期待することはありますか?
これからキャリア採用でNRIセキュアに入って来てくださる方は、皆さん、他社で培ってきた経験をお持ちですよね。みなさんがお持ちの経験や視点から、私自身も組織も学ばせてもらいたいと思っています。
若い頃、足立と私はコンサル事業部門で一緒に働いていたのですが、その後の約5年は全く異なる部門へ異動しました。足立は新規事業の立ち上げ部門へ、私は子会社であるユービーセキュアへ赴任したのですが、その時の経験や挑戦が、巡り巡って今DXセキュリティ事業での仕事にすごく活きている実感があります。
激しく同意します。あの時、劇的にキャリアチェンジしていなければ、私は井の中の蛙になっていたかもしれません。私が関わっていた頃のNRIセキュアのコンサルティングは、たくさんの引合いをいただけていたので、コンサル事業部門にいた頃には「全く売れない」という状況を経験したことがありませんでした。
でも新規事業の立ち上げの際には、何もないところから自社サービスを作らなければならなかったし、リリースした後もまるで売れませんでした。そこから売れるようになるまで、お客様の声に耳を傾け、いろんな苦労をして、チームでたくさんの壁を乗り越えて、社内新規事業を育てるためのノウハウやGRITを身につけました。0を1にするために、粘り強く色々な取り組みをしたからこそ、DXセキュリティ事業で求められる多様性や、苦しい場面にも適応できている実感がありますし、さらなる新規事業の立上げにも関わることができています。
私が行ったユービーセキュアも、NRIセキュアとは人もカルチャーも全く異なる組織でした。それまでのやり方では通用しないこともたくさんあり、そこでの経験を通じて自分自身の仕事のやり方や生き方を見直すきっかけにもなった。そして、その経験によって「自部門やNRIセキュアという枠を越境し、競合や他社も広く見て学ばなければ」と感じるようになりました。
仕事をしていると、どうしても内向きになってしまうことがあります。でも、自分たちが常識だと信じて疑っていないことが、社会の非常識になっていないか?ということは、常に外を見て意識し続ける必要があります。お客様の課題解決をする時には、点でセキュリティ商材を提供するのではなく、複合的に点と点を線で繋いでいく必要があるので、自社や自部門だけではなく広い視点を持っていなければなりませんから。
他社での経験をお持ちの皆さんがNRIセキュアにご入社されたら、いろんなギャップを感じることがきっとあると思うので、ぜひ感じたことを教えていただきたい。日本のセキュリティ文化を見直して、日本を変革していくような挑戦を、ぜひ一緒にしていきましょう。
DXセキュリティ事業部門の社内表彰イベントにて