登壇者プロフィール

日本電気株式会社
サイバーセキュリティ事業部
シニアマネージャー　奥山 聖氏
鉄道や宇宙関連をはじめとした社会基盤やエンタープライズ領域などNECがお客様とする全業種に対するセキュリティテクノロジーコンサルやデリバリ部門を統括。

日本電気株式会社
DX戦略コンサルティング事業部
シニアエキスパート、CISSP　吉府 研治氏
セキュリティコンサルティングチームをリードし、製造業、金融業、卸売業などの顧客向けにセキュリティアセスメント、脅威分析、ポリシー策定、推進体制構築、セキュア開発プロセス整備・設計支援を行っている。

日本電気株式会社
DX戦略コンサルティング事業部
シニアエキスパート、CISSP　神谷 聡史氏
セキュリティコンサルタントとして、OT、IoT、ITシステムのセキュリティ領域で、製造業、金融業、電力会社など顧客向けにセキュリティアセスメント、脅威分析、ポリシー策定、推進体制構築、セキュア開発プロセス整備・設計支援などを行っている。

日本電気株式会社
DX戦略コンサルティング事業部
Human Resource Business Partner　柏崎 亮太氏
デジタルビジネスプラットフォームユニットのHRBPとして人材・組織開発、戦略コンサルティング組織の立ち上げを推進している。

NECが考えるセキュリティ対策と組織体制とは

最初に登壇したサイバーセキュリティ事業部のシニアマネージャー奥山聖氏は、まずNECの事業領域について紹介した。

NECは過去50年以上にわたり海底ケーブルシステム事業を手掛ける海底ケーブルのトップベンダーです。これまでに地球の約7.5周分のべ30万Kmを超える敷設実績があり、今後データ量がますます増える昨今、成長を続けるビジネスでもある。

「海底から宇宙まで、NECのビジネスのフィールドは身近なサービスはもちろん、エリアも業種も多岐にわたっています」（奥山氏）

地球から数年かけて小惑星に向かい、惑星の物質を世界で初めてサンプリングし、帰還にも成功した「はやぶさ2」。NECはJAXAの指導のもと「はやぶさ2」全体のシステム設計・組み立て・試験およびインテグレーションを行った。

サイバー攻撃が「RaaS」としてビジネス化する傾向に

続いては、セキュリティ事業についての紹介が行われた。奥山氏いわく、サイバー攻撃においては以前のような愉快犯ではなく、ランサムウェアを使い企業に金銭を要求する事象が増えているという。この背景にはサイバー犯罪組織によって開発されたRaaS（Ransomware as a Service）により、スキルの低いハッカーの参入が実質的に可能となっていることにも一因があると思われる。

被害例として、アメリカの石油パイプライン企業が数億円を請求されたり、大手製造業者が基幹系システムを停止され、決算発表が遅れた被害が挙げられた。

このようなサイバー攻撃の被害を防ぐためには、大きく2つの考えをもとに、NECではセキュリティ対策を進めている。「ゼロトラスト」「サイバーハイジーン」だ。そして、この2つの組み合わせが重要であると奥山氏は続けた。

「サイバー攻撃の脅威はどこにでもあると考えること。また、風邪対策として手洗いやうがいを行うように、セキュリティ対策も常日頃からawareness（意識）することが大切です」（奥山氏）

リスクをコントロールするためには、システムなどを構築する企画構想の段階から、セキュリティ対策を施す必要がある。内閣サイバーセキュリティセンター（NISC）が提唱する「Security by Design」の考え方が重要だと、奥山氏は強調する。

「セキュリティに対して常に意識を持ち続けること。万が一攻撃を受けた場合は異常をいち早く検知し、原因の究明ならびに復旧に努めるプロセスが重要です」（奥山氏）

NECが持つアセットを全社一丸横断で顧客に届ける

奥山氏が所属するサイバーセキュリティ事業部は、顧客ごとの縦のインダストリー軸を横断する、デジタルビジネスプラットフォームユニットに属する。同ユニットにはDX戦略コンサルティング事業部も所属している(2022年1月現在)。

【関連記事】NECの「DX戦略コンサルティング」の実態に迫る

コーポレート内にも、NEC社内向けのセキュリティガバナンスを担うサイバーセキュリティ戦略本部が設置されている。そして両部署が連携しながら、セキュリティ対策を進めている。奥山氏はさらに組織の詳しい概要が描かれたスライドを紹介すると共に、各部署における役割を詳しく説明した。

セキュリティ技術センターでは、セキュリティに関するグループ会社のナレッジや高度人材を束ねる。また、セキュリティ関連の各種大会で入賞している。

ナレッジは同部署のメンバーが、週に一度のペースで「NECセキュリティブログ」で発信している。セキュリティのスペシャリスト人材を育成する教育も同部門で行っており、「同部門で教育を受ければ、現時点では詳しくない人材でもセキュリティの専門家になれる」と、奥山氏は説明した。

セキュアシステム提案グループは、営業がクライアントから得た相談や課題を、各部門の専門家と連携しながら、顧客に提案する。セキュアサービスグループは、顧客のDX化を支えるセキュリティ技術をサービスとしてお客様へ提供している。

先端案件・セキュアシステム構築グループでは、顧客に提供している技術やサービスを標準化。コンポーザブルに体系化されたセキュアシステムを構築していく。

「現状把握や施策検討といった上流から、セキュアシステムの構築、運用までを、テクノロジー、組織プロセス、人材育成と大きく3分野に分割。それぞれのフェーズで必要な業務やサービスをEnd to Endで提供しています」（奥山氏）

DXのフローと共にセキュリティも考えることが重要

続いては、DX戦略コンサルティング事業部のシニアエキスパート、吉府研治氏が登壇。DX戦略コンサルティング事業部内のセキュリティチームの位置付けを紹介した。

同事業部は6つのチームから構成されており、その中のひとつ、ビジネスプラットフォームチーム内に置かれている。

NECのDX戦略コンサルティング事業部では、各種オファリングサービスを提供している。セキュリティに関するオファリングサービスも整備しており、スライド赤枠の部分となる。

奥山氏が紹介したランサムウェアも含め、セキュリティを脅かすインシデントが増えていることも、昨今のサイバー攻撃の特徴だと吉府氏は語る。

「DX化と共に、企業のシステムはオンプレからクラウドが中心になり、リモートワークも浸透しました。そのため以前であれば、社内のネットワークだけを防御していればよかったペリメタモデルから、まさにゼロトラスト。サイバー攻撃の脅威が広まったと言えるでしょう」（吉府氏）

では、現在のゼロトラスモデルは、どのようにセキュリティを行えばよいのか。それぞれの箇所での対応をアセスメントしていくこと、DXを進めるフローと平行してセキュリティ対策を考えることが重要だと吉府氏は説明した。

DXの実行プロセスでは、特に上流におけるセキュリティアプローチが重要であり、以下3つの項目が中でもポイントだという。

• サイバー攻撃対応
• セキュリティガイドライン
• プライバシー要件

「セキュリティリスクアセスメントサービスは、私たちの代表的なサービスのひとつ。NECのコンサルティングでは、各種ガイドラインに則ったヒアリングを行い、得た素材から課題や対策を見つけ出すといったアセスメントを実施。その上で課題改善に向けた対策のポイントやロードマップを作成。サイバーセキュリティ事業部とも連携しながら、具体的な技術・サービスまで提供していきます」（吉府氏）

吉府氏は事例も紹介した。オンプレ・クラウドを共用するハイブリッドDXシステムにおいて、セキュリティアセスメントを実施すると、不正侵入など約70件もの脅威が発覚。明らかになった脅威への対策はもちろん全社、他のシステムのセキュア化も提言した。

さらに吉府氏は、NECのDX戦略コンサルティングのセキュリティ部門が取り組んでいる、業務の全体像を紹介した。以下スライドの左側である。なお右側のセキュリティソリューションは奥山氏が紹介した具体的なセキュリティ技術（ソリューション）である。

両者が別々に動くのではなく、密に連携しながら顧客のセキュリティ対策を支援するのも、NECにおけるセキュリティサービスの特長だと説明した。

対象部門は従来の情報システム部門はもちろん、セキュリティ企画部門、製品開発部門、工場部門など全包囲網で対応。課題の洗い出し業務は、先述のとおりに行う。クライアントも課題は分かっているが、どのような手段で行えばいいのか分からない。特に多いのが、セキュリティ人材の不足だという。

「セキュリティ人材を社内で育てようとすると、お金も時間もかかります。一方で、我々であればこれまでの経験からパッケージングされた的確なセキュリティ対策を、短期間で提供することができます」（吉府氏）

【Q＆A】NECで実現できるキャリアパスとは？

ここからは神谷聡史氏、柏崎亮太が加わり、セキュリティ分野におけるキャリアパスやセッションに関する質問などに対して、トークセッションを行った。

──セキュリティ領域に携わるようになった経緯

奥山：2011年にNECに入社する前は、大手SIerで金融機関向けの業務アプリを開発していました。新聞社ではデジタルコンテンツ配信プラットフォームの開発などの業務に携わっていた経験もあります。

セキュリティに関して取り組んでいたこともあり、NECに入社してから本格的に取り組むようになりました。専門性の高いエンジニアが多く、実務を通じながらセキュリティに関する知識や実績を、身につけていきました。

吉府：私は、入社以来NEC一筋30年です。当初は大阪の研究所でヒューマンインタフェースについて研究しており、2000年に社内にセキュリティ関連の事業部が発足すると同時に異動。その後はセキュリティに関するISOの機関に出向し、第三者セキュリティ評価業務に従事しました。

脆弱性や脅威対策の分析や評価を4年ほど行ったことで、セキュリティに関する知見を積みました。NECに戻ってからは、それらの知見を社内のセキュリティ推進に還元しています。外部にコンサルティングサービスとして提供する業務にも携わっています。

──セキュリティ対応で一番重要視しているところは？

神谷：お客様自身も理解していない課題を具体化することです。コンサルタントの役割でもあると考えています。課題が明らかになれば、技術、組織、人材など、それぞれの課題解決に応じた社内のフレームワークを選定し、課題解決を実現していきます。

──各業界のセキュリティ対策状況は？

神谷：私は製造業も担当なので、工場のセキュリティ担当者とやり取りすることが多いですが、自分たちのセキュリティ対策が十分なのかどうか分からないといったお悩みをよく聞きます。そこで私たちが専門家として資料、ルール、体制などをアセスメント（現状調査）して、改善していくのが一般的な流れです。

──NECにおける組織・体制の変化について

吉府：DX戦略コンサルティング事業部が設立されたのは2021年。メンバーの半数が外部からの中途人材で構成されています。まさに外の文化とNECにもともとある文化の融合から、新しい文化が形成されていると感じています。評価、働き方、報酬などについても、ドラスティックに変わっている状況です。

奥山：セキュリティ対策については、毎日のように新たな案件の依頼が来るため、メンバーを増やすと共に、さらなる育成体制を充実させて、チーム力を高めていきたいと考えています。

120年の歴史ある企業ですが、働き方は至って柔軟です。社内にはおしゃれで清潔なカフェがあり、フリーアドレスで服装も自由。ただ、今はリモートワークが中心で、私もフルリモートで仕事をすることが大半ですね。

働く時間においてもスーパーフレックス制度が導入されているため、自分のペースに合った働き方が可能です。

柏崎：NECでは、ビジネスモデルや社内カルチャーなど、ドラスティックな大改革を行っています。一方で、AI、IoT、生体認証といった、これまで培ってきた高い技術力もある。NECのDXコンサルティングであれば、これらの技術部門やスペシャリストと連携しながら、ビジネスを進めていけることが面白みであり、醍醐味だと思っています。

また、働きやすさを補足すると遠隔地勤務も可能です。社内では、最新の技術のPoCが社内で実地検証されています。顔認証で買い物ができたり、メンバーが社内のどこにいるのか分かる技術も導入しています。

──求める人材像について

奥山：セキュリティに関する相談や事案は多様です。それぞれのニーズやフェーズに合わせて課題を聞き出すコミュニケーション力が必要だと考えます。一方で、セキュリティの専門的な知識に関しては入社してから学ぶことができます。

吉府：コンサル志望であれば課題解決が本質になりますから、同業務に対して強いモチベーションを持って臨むことのできる人です。

神谷：様々なバックグラウンドを持っている人が活躍できることが、NECの特長。私も最初からセキュリティに携わっていたわけではありません。一方で、大学も含めキャリアの中で得た知見が、今のセキュリティに応用できていると感じています。

現時点ではセキュリティに関する経験がなくても、何らかの専門分野を持ち、セキュリティに少しでも興味を持っている方であれば、セキュリティ領域はもちろんNECで活躍できると思います。

日本電気株式会社
https://jpn.nec.com/

日本電気株式会社の採用情報
https://jpn.nec.com/recruit/index.html