日々激しさを増すサイバー攻撃にいかに対抗するか
──サイバーセキュリティの新たなガイドラインとNECの取り組み

セキュリティの専門人材を独自に育成

　NECは、社会のさまざまな分野にシステムを提供する企業として、20年以上前から社内のセキュリティ対策への取り組みを段階的に進めてきた。今回のガイドラインで設置が推奨されているCSIRT（シーサート／Computer Security Incident Response Team）が社内に作られたのは2002年のことである。

　CSIRTは、早川が言う「サイバー攻撃などのセキュリティインシデントが発生した時に迅速に対応できるチーム」のことで、ときに「消防団」とも形容される。セキュリティインシデントに対して適切な処置をするだけでなく、その原因を分析し、仕組みを改善していく。そのようなミッションを持ったチームの存在によって、社内のセキュリティ体制はより強化されることになる。

　「セキュリティへの取り組みにおいて重要なのは人材です。NECでは、独自のプロフェッショナル認定制度のもとに、セキュリティを専門とする人材を育成しています。CSIRTにとどまらず、セキュリティの知識を持つエンジニア、コンサルタント、営業担当などを幅広く育成していること、さらにはセキュリティのスキル向上とキャリアアップとがリンクする仕組みがあることがNECのセキュリティ人材育成の特長です」 （早川）

ステークホルダーとセキュリティ方針を共有

　一方、「サプライチェーン全体を見たセキュリティ対策」にもNECは以前から取り組んでいる。NECが取引をしている企業はおよそ1,600社。そのビジネスパートナー全社に「お客様対応作業における遵守事項」というマニュアルを配付し、セキュリティに関する遵守ポイントの周知、研修、さらに遵守ポイントが実際に守られているかどうかのチェックまでを行っている。これと同様のマニュアルは、グループ内企業にも配付されている。
　さらに、お客様へ提供するシステム、製品・サービスに関しても、開発段階からセキュリティを考慮した対策を行っている。「セキュリティ・バイ・デザイン」と呼ばれるそのコンセプトへの取り組みもまた、非常に早い時期から始まったものだ。サイバーセキュリティ戦略本部の青木聡は話す。

　「セキュリティの脆弱性があるシステム、製品・サービスを提供することで、お客さまに多大なご迷惑をかけてしまうことは絶対に避けなければなりません。今後、IoT化が進んで、あらゆる製品がネットワークにつながるようになると、機器やデバイス単位でのセキュリティ対策がいっそう重要になるでしょう。そのため、製品やシステムの開発段階からセキュリティリスクを検証して機能設計を行うセキュリティ・バイ・デザインのコンセプトを私たちは非常に重視しているのです」