未来ビジネスを創るテクノロジーの力／NTTテクノクロス最前線で活躍する女性エキスパートに訊くサイバー脅威の現状と対策のポイントは

ターゲットに狙いを定め、情報や金銭を搾取するサイバー攻撃。
その手口がますます巧妙化しています。
被害に遭えば、企業の経済的・社会的影響は計り知れません。
既にセキュリティー対策は企業に課せられた最も重要な経営課題の1つとなっています。
この対策をトータルにサポートするNTTテクノクロスでは、
多くの女性が活躍しています。
ここでは企業のセキュリティー対策をコンサルタントとして支援する2名の女性エキスパートに、
差し迫る脅威の現状と有効な対策、働き方ややりがいについて聞きました
（聞き手は日経BP 総合研究所の小林暢子／本文内敬称略）。

サイバー攻撃は実社会に影響を及ぼす大きな脅威

小林いまやセキュリティーは経営の最重要テーマの1つとなっています。顧客情報が漏えいすると、ビジネスパーソン向けの新聞・雑誌だけでなく、視聴者層が広いテレビのワイドショーでも大きく取り上げられるほどになりました。ここまで注目度が高まっている理由はどこにあるのでしょうか。

中田サイバー攻撃が「特別な世界の出来事」ではなく、「身近なリスク」として認知されたからだと思います。デジタル化が進み、あらゆるものがインターネットにつながるようになりました。便利になった半面、リスクも広がったわけです。

いつ、どこで、何が起こるか分かりません。国家レベルの攻撃もあり、その手口は非常に巧妙です。実際に情報や金銭が搾取される事案も多数発生しています。搾取された個人情報は次の攻撃に悪用される可能性もあります。影響範囲も大きいから、メディアも大きく取り上げるようになったのでしょう。

土屋海外ではエネルギー関連の会社がサイバー攻撃を受け、ビジネスや市民生活が大混乱したことがあります。日本国内でも病院が狙われて、外来診療ができなくなった事案が発生しています。サイバー攻撃は事業に多大なダメージを与えるだけでなく、私たちの暮らしや生命にも直結する大きなリスクとなりました。

小林サイバー攻撃の手口も巧妙化しているということですが、最近はどんなパターンが増えているのですか。

中田有名な攻撃事例はランサムウエアです。いろいろな手口で企業や行政機関などのICT環境に侵入し、情報資産を暗号化して使えなくします。そして「元に戻してほしければ、お金を払え」と脅してきます。データやシステムの復旧に対し身代金を要求する以外に、当該データの公開や破壊、それらによるシステムの停止を以て脅迫する攻撃も増えてきています。その手口も、人の意識の弱みを突くフィッシングメールや偽サイト経由での攻撃や、比較的セキュリティー対策の弱いリモートワーク環境経由での攻撃など常に新しいものが生み出されています。

NTTテクノクロス株式会社
セキュアシステム事業部第三ビジネスユニット
アーキテクト
中田美佐氏

NTTテクノクロス株式会社
セキュアシステム事業部第三ビジネスユニット
テックリード
土屋直子氏

お客様に寄り添い、最適なセキュリティーデザインを提案

小林サイバー攻撃は常に新たな手口が生まれているんですね。手を変え品を変え攻撃してくるから、守る側も大変ですね。そんな中で、お二人はセキュリティー分野のスペシャリストとして活動しています。具体的にどのような仕事をしているのですか。

中田今の業務の中心はクラウドセキュリティーです。昨今は企業のクラウド利用が一般的になりましたが、その一方でクラウド環境の脆弱性を突く攻撃も増えています。またクラウド事業者がセキュリティーを含むシステム運用を実施してくれると安心していたが、実は、利用者が求めるレベルのことは行ってなかったなどのずれが発生することも多いです。

安全なクラウド利用を促進するため、国は「ISMAP（Information system Security Management and Assessment Program）」というクラウド事業者に求められる要件を定めた評価制度を作りました。登録申請し、セキュリティー基準を満たしたサービスだけが「ISMAPクラウドサービスリスト」に登録されます。私は主にその登録を支援しています。

クラウド事業者も含め様々なお客様の現状を分析して課題を明らかにするなど、コンサルティングに近い業務も担当しています。その上でセキュリティー規定の整備や監査、モニタリング、さらに教育や研修など、組織にセキュリティーが根付くためのお手伝いをしています。

土屋私も中田と同じチームで、セキュリティーマネジメントやクラウドセキュリティー関連のコンサルティング業務に携わっています。その中でも、国際的に整合性のとれた情報セキュリティマネジメントシステムに対する第三者適合性評価制度の「ISMS（Information Security Management System）認証」や、クラウド事業者およびクラウド利用組織を対象とした「ISMSクラウドセキュリティー認証（ISO/IEC 27017）」などの認証取得を中心に支援しています。

加えて、認証基準となる様々な規格を発行する「ISO（国際標準化機構）」という団体に参画し、セキュリティー関連規格の標準化活動にも携わっています。ISO委員として国際的な会議に出席して規格の立案や改訂活動に参加しています。

こうした活動がきっかけで、中田も私もセキュリティー系の研究会やWG活動などに従事しています。

小林会社の仕事だけでなく、外部機関の委員も務めているなんてすごいですね。女性では少ないのではないですか。大変だけど、その分やりがいも大きいのでしょうね。

土屋国内のISO委員は、情報工学系、工学系、理学系、語学系などの多様なバックグラウンドを持つメンバーが在籍しているのですが、それぞれの強みを生かしたチームワークによって日本の意見を国際規格に反映できた時にはとてもやりがいを感じます。また、ISO標準化活動に携わることにより、セキュリティー規格に関しての知識や理解が格段に深まります。規格書に書かれている内容は抽象的な表現が多く、専門家でない方には分かりにくい面があります。お客様には、それをかみ砕いて、規格ができた背景なども含めて本質を伝えるように心がけています。そうしてお客様が自分たちに合うやり方を見つけてくれた時はうれしいですね。

中田その気持ちは私もよく分かります。セキュリティーの「あるべき姿」はありますが、それをそのままお客様に当てはめることはできません。セキュリティーの対策状況や業務によって、やるべきことは異なってくるからです。

まずお客様の話をよく聞いてやるべきことを検討していきますが、対策による負担が大きくなりすぎると、日常業務が回らなくなり、対策が形骸化する恐れもあります。そのバランスを取って、お客様が満足できる提案に努めています。難しい作業ですが、お客様が提案を基に自分たちに合う形で実装し、継続的な運用を実現できたときやりがいを感じます。

また、仕事を通じて有識者の方とお会いし、最新のセキュリティートレンド等について意見交換をするのは大変刺激を受けます。研究会活動等を通じてそういう機会が得られることも自分の成長につながっています。

日経BP 総合研究所
チーフコンサルタント主席研究員
小林暢子

セキュリティー用語は「ちんぷんかんぷん」からスタート

小林NTTテクノクロスはセキュリティー対策の提案からその実現までトータルにサポートしています。ケイパビリティの幅広さは大きな強みですね。

中田セキュアシステム事業部には約260名が在籍しており、コンサルタントは私たちを含めて約20名です。ほかに製品やシステムの開発を担うチームもあり、事業部の8割が技術系人材です。リスクは多様化しているので、最先端技術を研究開発するNTTの研究所と密に連携し、複合的なセキュリティー技術の提案・実装に努めています。

当社では様々なセキュリティー製品やサービスも開発・提供しています。研究所の研究成果や技術力をベースに世に展開するというのが基本的なスキームですが、技術があるからお客様に即導入するというわけではありません。当社はお客様に寄り添い、その業務や文化を理解し、より安全かつ運用がしやすくなるよう検討した上で、必要な製品やサービスを提供します。

土屋セキュリティーコンサルティングをお客様に提供する時もそうですね。基本的なコンサルティング雛形文書を渡して終わりではなく、お客様の環境や業務に合わせたカスタマイズにも対応します。また、標準化活動に携わっている者ならではの規格の豊富な知見をベースに、お客様の詳細な状況をセキュリティー規格の要件に当てはめ、そのお客様に最適となる対応方法を提案します。そうした専門性と柔軟性はお客様に高く評価されています。

小林お二人がセキュリティーの最前線で活躍されているのを伺うと、同じ女性として誇らしいですね。セキュリティーには以前から関心があったのですか。

中田実はそうではなく、入社後、配属されたのがセキュリティー系の部署だったので、そこから必死に勉強して今に至るといった感じです。文系出身なので入社してからが大変でしたが、社内にはセキュリティーの専門家がたくさんいるし、NTTのグループ会社や研究所と仕事する機会も多いです。業務を通じて育ててもらったおかげで成長できました。

土屋私も中田と同じく文系の出身なので、セキュリティーどころかICTの知識の習得からがスタートでした。私の場合はセキュリティー規格の翻訳の仕事が、ISO標準化活動に携わるターニングポイントになりました。規格の文書化には、論理的で誰が見ても誤解のない明確さや緻密さが求められます。そうした活動が自分に向いていたのかもしれません。そこから今の仕事につながっています。

小林先ほどサイバー攻撃の手口がますます巧妙化しているというお話がありましたが、守る側も技術を磨いていかなければなりません。コンサルタントとしてやるべきことも、どんどん増えているのでしょうか。

中田その通りです。コロナ禍以降は働き方の多様化が進み、リモートワークを選択できる企業が増えました。会社の目が届かないところで仕事するので、当然セキュリティーリスクも高まります。多様な働き方に対応したセキュリティーを提案できるように、新しい技術や対応策の習得に努めています。

もう1つ、大きなトレンドはAIセキュリティーですね。使い方を間違えると、情報漏えいの可能性もあるので、AIの適切な使い方や情報のガバナンスや管理方法について検討を進めています。

土屋セキュリティーというとサイバー攻撃や情報漏えい対策を思い浮かべる人が多いですが、システムやネットワークの障害、不測の事態によるサービスの停止に備えるのも広い意味でのセキュリティーです。機密性（許可された人だけが情報を利用できること）だけではなく、完全性（改ざんされていない正確な情報を保持すること）や可用性（情報を利用したいときに利用できること）も確保する必要があります。これは国際規格にも定義されている、れっきとしたセキュリティー課題です。

欧州では異常気象の熱波によってデータセンターの機器が正常に動かくなり、クラウドサービスが大規模に停止したことがあります。気候変動がセキュリティーに影響を及ぼしている1つの例です。

これからは何がリスクになるか分かりません。視野を広く持って、セキュリティー強化に取り組むことが大切と思っています。

中田当社はNTTの研究所やグループ各社と連携し、お客様のニーズにマッチする形で最先端技術を提供し、その実装から運用までトータルに支援しています。今後も大切なICT環境を守るセキュリティー事業を通じて、お客様のイノベーションと事業の成長に貢献していきます。