富士通、セキュリティとシステム品質改善に向けた体制強化・改編を発表 新役職CQOを設置

富士通はここ数年で発生したセキュリティインシデントへの対処として、組織改革を含めた新たな取り組みを発表した。CQOの設置やリスク・コンプライアンス委員会の強化、脆弱性スキャンの導入などを実施する。

[後藤大地，有限会社オングス]

　富士通は2023年5月19日、情報セキュリティ対策とシステム品質改善に向けた体制強化と改善策について発表した。最高品質責任者（CQO）を設置するとともに、リスク・コンプライアンス委員会の体制・機能の拡充、最高情報セキュリティ責任者（CISO）およびCQOに強化された権限が付与される。

　富士通は、2021年に発生したプロジェクト情報共有ツール「ProjectWEB」への不正アクセスや2022年に発覚したクラウドサービス「FJcloud-V／ニフクラ」「FENICSインターネットサービス」におけるセキュリティインシデント、最近の「Fujitsu MICJETコンビニ交付」関連の一連のトラブルなど、サイバーセキュリティやシステム品質に関する複数の問題を発生させている。今回の体制変更及び対策強化は、これらの問題に対処するものだ。

富士通は情報セキュリティ対策の強化とシステム品質改善に向けた取り組みについて発表した（出典：富士通のWebサイト）

新役職CQOを設置　セキュリティ体制はどう変わるのか？

　富士通は情報セキュリティ対策およびシステム品質改善に向けた取り組みとして、組織構造を主に以下のように変更した。

• グループ全体の品質責任者としてCQOの役職を新たに設置する
• 最高経営責任者（CEO）が委員長を務めるリスク・コンプライアンス委員会の体制機能を拡充し恒常的、全社的な対応を実現する体制を強化する。CQOを当委員会に追加するとともに、具体策まで決定し迅速に実行する体制へ変更する
• CISOとCQOに対して強化した権限を付与し、人事制度や投資リソースなどその他の最高責任者の管轄を含む全体を統括するCEO主導のリスクマネジメント経営を実施する

　サイバーセキュリティ対策の強化とシステム品質の改善としては以下の取り組みを実施する。

• 管理対象のIT資産に対する脆弱（ぜいじゃく）性スキャンおよび脆弱性情報との比較検出する仕組みを導入する。管理対象に入っていない資産についてはサイバー攻撃者と同じ視点でインターネットに公開されているアクセス可能な資産を把握する仕組みを導入してグローバルでの運用を開始
• CISOに対してサイバーセキュリティの観点からシステムの稼働を差し止める権限を付与する。現場のセキュリティ統制予算をCISOの裁量下に置くように変更
• セキュリティ責任者の人材像を再定義してプロフェッショナル認定制度の見直しを実施する。報酬制度を含めて見直し、現場組織のセキュリティ体制を強化
• 富士通Japanにおける迅速な品質統制の権限集中化を実現する。標準化されたプロジェクトマネジメントや品質管理、リスクモニタリングによる予兆検知、現物確認を展開する
• 証明書発行処理の中でのトランザクション一意性確保に関する設計や実装、テストにおけるフェールセーフの徹底化およびその妥当性を検証する第三者の体制を構築（2023年5月より施行）
• Fujitsu Developers Platformに開発プロジェクトの進捗（しんちょく）やテスト密度、不具合検出率など開発現場で発生する品質に関わる情報を追加するとともに、EVM（Earned Value Management）や品質指標と組み合わせて解析を実施して品質や出荷を客観的に判断する仕組みを構築する