あなたを取り巻くすべてが、ネットワークへつながろうとしています。コンピュータはもちろん、自動車や、家電、さらには電気・ガスなどの社会インフラも。もはやネットワークの一部だといえるでしょう。

ネットワークの拡大とともに、情報セキュリティの役割が、その重みを増しています。今や、情報を守ることは、企業や社会、さらに情報の先にいる人たちの日常を守ることなのです。

大切な情報を守るには、ITの専門知識も必要ですが、それだけ、にはおさまらないのがセキュリティの世界。

システムを使うヒトのことや、お客さまの経営戦略、さらには国際情勢まで。情報に関わるすべてが、セキュリティです。広く深いその世界は、第一線で活躍する人にすら、常に前人未踏への挑戦を求め続けます。

だから私たちは約束します。ここには、あなたの好奇心を満たす新たな出会いが必ずあることを。

今、理系か文系かということよりも、未知を恐れず飛び込む勇気こそが、私たちが必要としている才能です。

やりたいことは、まだわからない。けれど、夢中になれる仕事がしたいなら。セキュリティの最前線へ、ともに一歩を踏み出しましょう。

情報セキュリティで、守る、創る、育てる。

事業を知る 事業を知る

コンサルティング事業本部

「うちのセキュリティ、大丈夫なの?」から始まる、経営者のよろず相談役

大貫 秀明

Hideaki Ohnuki

コンサルティング事業本部 本部長

1991年、NRI入社。R&D担当として、当時先端的な技術であったオブジェクト指向開発をはじめ、様々な最新技術を実プロジェクトに適用するための社内支援を行う。1993年頃よりセキュリティ分野に取り組み、その後、金融監督庁(現在の金融庁)の要請を受け金融機関が一斉にセキュリティポリシーを作り始めた頃、セキュリティコンサルタントしての活動を開始。2000年、NRIセキュア設立時に合流。最近は、「どこからセキュリティ対策を講じてよいのかわからない」「セキュリティ事故が起きたので助けてほしい」など、お客様の様々な要望に大忙し。そこで交わされるお客様とのやり取りや、デジタルトランスフォーメーション(DX)の潮流の中で新しいビジネスチャンスを感じ、当社発の新しいコンサルティングメニューの開発を急ぐ。

1991年、NRI入社。R&D担当として、当時先端的な技術であったオブジェクト指向開発をはじめ、様々な最新技術を実プロジェクトに適用するための社内支援を行う。1993年頃よりセキュリティ分野に取り組み、その後、金融監督庁(現在の金融庁)の要請を受け金融機関が一斉にセキュリティポリシーを作り始めた頃、セキュリティコンサルタントしての活動を開始。2000年、NRIセキュア設立時に合流。最近は、「どこからセキュリティ対策を講じてよいのかわからない」「セキュリティ事故が起きたので助けてほしい」など、お客様の様々な要望に大忙し。そこで交わされるお客様とのやり取りや、デジタルトランスフォーメーション(DX)の潮流の中で新しいビジネスチャンスを感じ、当社発の新しいコンサルティングメニューの開発を急ぐ。

大貫 秀明

セキュリティポリシー再確立の中で、
どんなに危ないかリアリティを持っていただく

大きなセキュリティ事故が発生すると、我々コンサルティング事業本部には、「うちのセキュリティは大丈夫なのか?」という経営層からの問い合わせが多く寄せられる。そこで会社全体のセキュリティ対策状況を調べることになるが、大切なことは、具体的なリスクを明らかにして、お客様にどれほど危ないかリアリティを持ってもらうことだ。そのために、どのような情報資産を持っているのか、それらが漏れたり改ざんされたり、または使えない状態になった場合、ビジネスにどういう影響があるのか、を問いかける。その答えから、情報資産の重要度を図りながら、どこまで守ればいいか対策水準を決めていく。

 

そして、その情報は現在誰が利用できるのか? 重要情報であればアクセス権をもっと制限すべきではないか? などと問いながら、対策の全体指針を固めポリシーを立案(PLAN)していく。そして、次が運用(DO)だ。お客様の社内でこれを自立的・自律的に回していくために、有機的な組織設計を行い、従業員教育などを通じて全社に広げ、その上でさらにきちんと対策実施されているかを確認(CHECK)し、改善(ACT)を重ねる。そうして、セキュリティのPDCAサイクルの仕組みを作り上げていく。その期間は、プロジェクトが終わるまで1年以上を要するときもあり、お客様先に常駐することも少なくない。

セキュリティ対策にはきりがない
そのどこまでに手を打つか、経営者の判断が要る

実は、このセキュリティの脆弱性(弱点)はあちこちに散見され、それらをすべて塞ぐことは現実的に困難な場合も多い。

セキュリティ対策は費用も人もかけようと思えばいくらでもかけられるが、経営の観点からすると、無尽蔵にコストをかけるわけにはいかない。そこで、セキュリティ対策によって減らせるリスクを勘案して、それを一つの目安にお客様へ様々な選択肢を示しながら、実施する/しない(リスク保有)、対策費用にいくらかけるか等を経営層も含めて決断していただくのだ。その際にお客様が気にされるのは、業界でのレギュレーションや、同業他社の対策状況であり、相場観だ。我々は、一部上場企業を中心に様々な業種のお客様とコンサルティング支援のお付き合いがある。また直接ご支援のない企業も含め、全体傾向を把握するためにセキュリティ対策状況に関するアンケート調査も定期的に実施している。これらのデータに基づいてお客様に最適な水準を示した上で、それぞれのお客様に合わせたセキュリティ戦略を構築することができるのだ。

緊急対策チームの設立のために、
DX事業の新規立ち上げのために

多様化し、増え続けるセキュリティ事故を背景として、お客様の社内でCSIRTComputer Security Incident Response Team)と呼ばれる組織の構築・運用が求められている。これは、常設の専任チームがセキュリティインシデント対応を定常的に行う場合もあれば、普段はセキュリティ以外の業務も担当しており、突然のインシデントに対して即応する緊急火消し部隊としてチームを構成することもある。どちらも普段から情報を集めておき、いざとなったら経営陣とインシデントが発生した現場との「橋渡し役」となり、多方面と協力して対策を打つ。そのような組織の設計・構築から運用などの支援依頼も増えてきている。さらに、最新の動きとしてDXがある。ITによる決済など、自社のコアビジネスをデジタル技術の活用によりサービスとして提供し、競争力を高めようとする動きが加速している。しかしデジタルサービスは、新規技術の導入や様々なWebサービスと連携した複雑な構造をとることが多く、セキュリティの脆弱性が見落とされやすい。そのため、サービスの企画・要件定義の段階でリスクを評価する必要性が高まっている。現場の技術部門だけではなく、事業部門のトップ層とともに事業戦略の中で進めるケースも多い。

世の中の動きを広く知り、高い視点から、
あくまで中立的に物申すこと

コンサルタントの本来的な役割は、お客様に一番近い相談役であることだ。その時、我々に求められるのは、世の中の動きを広く知って、あくまで中立的に、高い視点で物申すことでなければならない。その上で、最適な対策を選び出して提案・提供することが原則だ。そうやって信頼を積み上げていく中で、中立性を損なわないことを前提に社内の別のチームにつなぐことも多い。また逆に、お客様の声をフィードバックして当本部以外の自社製品・サービスの改善につなげることもある。

 

セキュリティコンサルタントは、サイバー攻撃のトレンドを感度高く知っておく必要がある。一方で、1人ですべての領域に渡って技術的にも深く最先端の情報収集を続けていくことは、現実的に難しい場合も多い。そのため、よりテクニカルな情報を集めているチームや、実際にサイバー攻撃と日々戦っている他部署と連携することも多い。彼らは世の中のアンダーグラウンドなコミュニティで交わされる、新しい脆弱性や攻撃手法、対策等を常にウォッチし情報収集をしている。その最新情報を共有するわけだ。これが、まさに4事業部門のコラボレーションであり、当社の“ワンストップ・ソリューション”の強さでもある。

csd_ohnuki03.jpg csd_ohnuki03.jpg

コンサルタントに求められる資質は、
優れたコミュニケーション能力とハッカー的な探求マインド

さて、ではコンサルタントに求められる資質とは何か?コンサルタントは、お客様のさまざまな課題を解決に導く、よろず相談役だ。お客様と真摯に向き合い、悩みを聞き、表面的な課題だけではなく本質的な問題も見極めた上で、解決の方向性を提示していくことが求められる。セキュリティに相当詳しいお客様も多いので、技術のバックグラウンドも欠かせない。最先端の技術に幅広く対応し、お客様の多様な要望に応えるために、当社では様々な専門性を持った社員がチームを組み、協力してプロジェクトを進めている。優れたコミュニケーション能力をもって、顧客やチームメンバーと接すること。そして、自身の専門性を高め、進化し続ける情報を常にキャッチアップしていくため、ハッカー的な探求マインドを持つことこそ大切だ。