NTTグループでは、国内グループ会社の全社長を対象にしたセキュリティ演習を実施している。サイバー攻撃の高度化により、経営判断そのものが企業のリスクを左右する時代となったことを背景に、経営トップ自らが実践的な知識と判断力を身につけることを目的とした取り組みだ。
3月12日~13日に開催された「TECH+フォーラム セキュリティ 2026 Mar.」では、NTTセキュリティホールディングス 代表取締役社長の横浜信一氏が登壇し、この演習の内容を紹介。インシデント発生時に経営者がどのように判断し、現場をどう動かすべきかといった実践的なポイントが示された。
2025年、サイバー攻撃は「産業化」した――企業が直面する新たなリスクとは
講演冒頭で横浜氏は、「2025年、サイバー攻撃の脅威は新たなステージに突入した」と話した。攻撃者は個人から組織化した集団へと変わり、攻撃は産業化してしまった。侵入経路は拡大し、VPNの脆弱性を足掛かりに侵入する手口のほか、SolarWindsなどの事例のようなソフトウェア・サプライチェーンへの攻撃や、AIを活用して見破りにくくしたフィッシングも増加している。さらにマルウェアなどを使わずシステムの正規ライブラリ内のモジュールを利用するLotL(Living off the Land:環境寄生型)攻撃や、数カ月から年単位の時間をかけて潜伏する攻撃、さらにはOSの改ざんにより攻撃の痕跡を消すなど、その手法も多岐にわたる。
厄介なのは、DXの進展に伴い、攻撃を受けた際の復旧も複雑化していることだ。ITシステム間の相互依存が高まっていて複雑化しているし、複数ベンダーを利用している場合はその調整に時間がかかる。物理的なサプライチェーンが縦統合された結果、1つのモジュールに問題があるとサプライチェーン全体が止まってしまうこともある。
「脅威のレベルが高まったことに加え、リカバリーが複雑化したことにより、万一攻撃を受けるとその被害は甚大なものになってしまうのです。これが顕著になったのが2025年だと考えています」(横浜氏)
「セキュリティの基本は自助」――官民連携時代でも企業が担うべき責任とは助
2025年に成立し、まもなく施行される予定のサイバー対処能力強化法は、攻撃の予兆を検知して先手を打つ能動的サイバー防御を可能にするものだ。この法律の柱となるのは官民連携、通信情報活用、アクセス・無害化の3つで、とくに民間企業にとっては官民連携が重要である。ただし官民連携といっても、それは政府のサポートが受けられるという意味ではないと横浜氏は注意を促す。
「サイバーセキュリティの基本は自助です」(横浜氏)
日本のIT資産のうち9割を保有する産業界や家庭、個人が、まず自らのセキュリティを高めることが出発点であり、その自助があって初めて共助や公助にあたる能動的サイバー防御が機能すると考えなければならない。
「自助の結果として官民連携の活動に要望を出すことが可能になり、官民連携の結果が共助や公助というかたちで自助にプラスの効果をもたらす。こうした循環を回していくことが必要なのです」(横浜氏)
同氏の挙げる、能動的な官民連携の活動のためのポイントは次の4つだ。
まず、政府主導ではなく官民はイコールパートナーと考えることだ。次に、省庁の縦割り構造ではなく経済や通信、外交に加え、司法や場合によっては国防なども含めたワン・ガバメントとして取り組むこと。そしてサイバー対処能力強化法の施行をあくまで出発点と捉え、その後どのように官民連携を行っていくかを考えること。さらに、日本モデルをつくってから海外連携するのではなく、初めから海外の官民連携とともに活動できるようグローバルに考えておくことである。
なぜ社長がセキュリティを学ぶのか――NTTが全社長向け演習を行う理由
では企業はサイバーセキュリティに対してどう考えるべきか。それを知ってもらうために横浜氏がスタートさせたのが、国内のNTTグループ会社の全社長を対象としたセキュリティ演習だ。企業の社長には多種多様な経営課題が持ち込まれるため、情報セキュリティは他者に任せたいと考える社長も多い。しかし同氏は、社長であればこそセキュリティに対して高い意識を持つべきだと指摘する。セキュリティ事故は会社を潰しかねない重大事であるためだ。またDXやAX、AI活用を進めるためにもセキュリティをおろそかにはできない。
「セキュリティ対策は技術だけではなく、人や組織の文化も含めた包括的なリスクマネジメントです。そのため、(演習の対象として)社長に狙いを定めました」(横浜氏)
-
セキュリティ演習のカリキュラム
この演習はセキュリティへの意識喚起にとどまらず、社長として持つべき具体的なスキルと知識を身につけることを目的としている。多忙な社長を対象としているため、自社のセキュリティ対策はそれでよいのかという判断軸を持つこと、そして万一のインシデントの際に経営トップとしてリーダーシップをどう発揮するかという2つのテーマに絞った。そして判断力や発言力など、すぐに実践できる内容を学ぶことを重視している。
「経営=リスクマネジメント」サイバーを特別扱いしない意思決定の考え方
これまでに258名の社長が演習を受講した。受講者には事前に、自社の守るべき情報や資産は何か、そのために取り組んでいることは何か、そして万一のインシデントの際に何をすべきかを考える宿題が出されており、演習はそれを発表して各社のセキュリティマネジメント状況を共有し、意見交換をするところから始まる。
それを踏まえたリスクベースマネジメントの座学では、約20のリスク要素について、発生する確率と発生時の被害の大きさをヒートマップで示し、リスク対応の優先付けを学ぶ。全てのリスクに同じように対応するのではなく、確率が低く被害が軽微であるものについてはリソースをかけないなど、割り切る姿勢の重要性も伝えている。
「そもそも経営はリスクマネジメントです。さまざまなコーポレートリスクのマネジメントの1つとしてサイバーも取り上げる。サイバーだけを特別扱いしないことも大事です」(横浜氏)
インシデント対応時の4つの定石
座学のもう1つのテーマはインシデントマネジメントだ。ここではインシデントの初報が上がってきた状況を想定し、そこで社長としてどのような対応をすべきかを議論する。「詳細は分からないが社外では噂も広まり、問い合わせも殺到し始めた」。そんなときにどんな指示をどう伝えるのか。その具体的な言葉を記したカードをボードに貼り付け、カードの位置によって望ましい言葉なのかそうではないのかを整理し、意見交換を行う。
-
指示内容を記したカードを使った演習の様子
当然だが考え方は受講者によってそれぞれ違う。それは個人の経験やその企業の業種、規模、文化によるものであり、この演習ではどれが正解だと決めることはない。それぞれのマネジメントスタイルがあり、その数だけ正解があると考えているためだ。その代わりに、インシデント対応の定石となるべき4つのポイントを伝えている。
それはまず、報告者を褒め現場をねぎらうことだ。叱責は隠蔽につながるためである。次に、被害の最小化を最優先することだ。そのためには報告を求めず待つことで現場の負担を減らすことが重要だという。現場に時間を与えることが被害最小化につながるためである。そして外部には隠し通せないという前提で対応することも必要だ。なるべく迅速に公表することが重要だが、そのためには公表できるだけのサブスタンスが必要になる。それを見つけるのは現場の技術者であるため、その意味でも現場に時間を与えることは重要なのだ。そしてもう1つ、再発防止策のステージになったときには、現場に無理なミッションを強いないことも重要である。
横浜氏は、演習を実施してよかった点として、受講した社長がみな正面から受け止め、社員を守るためにどうすべきかを考えたこと、そして講師自身も多くを学べたことを挙げた。ただし受講者からは、他の経営陣や親会社の経営企画部門にも状況を理解してほしいという意見や、セキュリティ担当以外の役員にとってはまだ他人事であるという意見もあったため、演習を通じたサイバーリスクマネジメントの意識醸成はまだ道半ばであると考えているそうだ。
同氏は講演の最後に、この社長向けセキュリティ演習を継続して実施していく予定だとしたうえで、今後は、社長だけでなく経営陣向けの研修を開発したり、そのプログラムを外部顧客にも提供したりすることも計画していると明かした。
セキュリティ専門家が対談、能動的サイバー防御の前にすべきこととは
