「相手は社長」 お題目で終わらない実践的なセキュリティ研修は可能か？：半径300メートルのIT

「セキュリティを前進させるには経営層への働きかけが不可欠」とよく言われますが、いざ実践となるとそう簡単にはいきません。今回はこれに本気で取り組む貴重な事例を紹介します。セキュリティ担当者必見です。

[宮田健，ITmedia]

　2025年8月、久しぶりに大規模なリアルイベントに参加しました。セキュリティベンダーのトレンドマイクロが主催する「Trend World Tour 25」では、ベンダーとしての未来予想図を提示するようなセッションが並びました。レポートは別途記事として公開しています。

　実はこのインタビューがメインのお仕事だったのですが、トレンドマイクロによる基調講演を聞いていたところ、興味深いセッションに出会いました。思わず聞き入ってしまったのは、日本を代表する大企業、NTTにおけるセキュリティ対策のユニークな取り組みです。

「ウチには無理」と諦めるのはまだ早い　社長向け研修のノウハウを知ろう

　登壇したのは、NTTグループのCISO（最高情報セキュリティ責任者）を務める横浜信一氏。同氏はCISOとして、巨大なNTTグループの“社長”全員を集め、セキュリティに対するリアル研修を実施したというのです。経営層にセキュリティを“本当の意味”で理解してもらうのは非常に困難でしょう。ただの意識改革にとどまらない取り組みを一体どのように進めたのでしょうか。

基調講演に登壇したNTTグループのCISOを務める横浜信一氏（筆者撮影）

　NTTセキュリティホールディングスのCEOでもある横浜氏は、セッションの中でプロアクティブ・セキュリティを「先手必勝」と定義します。CISOチームは攻撃者だけでなく「取引先」や「当局」、さらに社長や役員陣との板挟みという現状に直面しています。その状況を踏まえ、特に社長や役員陣に向けた興味深い取り組みとして、社長向けセキュリティ研修を実施しているというわけです。

　横浜氏は「必ずインシデントは起きる。それを前提として出発することを経営層にも理解してもらうため、リスクを最小限にするために訓練をする」とし、この研修を進めてきたそうです。

　NTTグループの社長という日本でも特に多忙な社長の方々を対象とした対面のセキュリティ研修は、よくある「意識を高めてもらう」研修というよりも、社長が本当に持っていないといけない知識やスキルを習得することを目標にし、国内のNTTグループ社長300人を10人程度に分け、20〜30回もの研修を実施しました。

　セキュリティの事例はしばしば「大きな会社だからできるんだ、ウチには無理」と言い訳したくなりますが、NTTほどの企業規模でこれができるのなら、どの企業でも可能なのではないかと、希望を持てる内容でした。

社長だらけのセキュリティ研修、その狙いと「これだけは！」の内容

　セキュリティ研修のより詳しい実情は個別のセッションで解説するということで、筆者も急いでそちらに向かってみました。同セッションでは実務に近い部分を担当した、NTTセキュリティ・ジャパンの斉藤宗一郎氏（CISOアドバイザー／営業本部長）と勝山隼伍氏（プロフェッショナルサービス部）が解説してくれました。

NTTセキュリティ・ジャパンの（左）斉藤宗一郎氏（CISOアドバイザー／営業本部長）、（右）勝山隼伍氏（プロフェッショナルサービス部）（筆者撮影）

　社長向けセキュリティ研修はAI活用がトレンドである今、あえて“人”、特に“社長”に焦点を当てたそうです。サイバー攻撃に限らず情報漏えいや内部不正などのインシデントは、重要度が高くなることで、最終的には事業継続の危機、そして企業存続の危機に直結します。

　AIの重要性を感じながらも、最終的に判断するのはやはり“人”。だからこそ、最終的に判断をすることとなる社長に対して、研修を組み立てていったそうです。ここには横浜氏、そしてNTTグループCEOの島田明氏の強い思いもあります。

　とはいえ相手は忙しい社長。研修の設計にも工夫が凝らされ「社長、これだけは！」と言えるような厳選した内容に、そして今日から判断力になり得る実践的なものに、さらには楽しさを含むようなものにしていったと勝山氏は述べます。

　「楽しさ」の部分については、インシデントが発生したシチュエーションを基にした「セリフカード」を多数用意し、それが適切なのかどうかを社長同士でディスカッションするという時間が設けられたとのこと。

　例えば社長の言葉として「早急な情報開示が必要になります。詳細解明を急いで」というメッセージを発することは正しいのでしょうか。それとも不適切なのでしょうか。社長自身が「直ちに会見を開きます。私が出ます」と述べるのは、チームとしてどうなのでしょうか。会場に対しても同じ問いを投げかけていましたが、その反応は少し割れていたのが印象的でした。

　勝山氏はこのセリフカードに対する正誤について「正解はない」と言い切ります。しかし、これまでNTTグループが対応してきたインシデントの事例から「定石はある」とも述べます。その定石を知ることこそ、社長向けセキュリティ研修の狙いだというのです。この点に関しては、歴史と経験を持つ企業の強みですね。

「社長としての対応定石を知る」ことこそが重要（出典：NTTセキュリティ・ジャパン発表資料）《クリックで拡大》

　この社長向けセキュリティ研修は一度限りではなく、今後も継続して実施されるとのことです。その意味ではまだ成果を語る時期ではなく、引き続き社長を主体とした取り組みをすることに加え、今後は関連会社や取引先を含む「チーム社長」へも働きかける構えです。

　斉藤氏は初めてこの話を聞いた時に「社長を巻き込むなんて無理」と感じたそうです。自身も社長という立場にいたこともあり、関連するさまざまな人のフィルターにより「議題にすら挙げてもらえないはず」と考えつつも、「実際に社長が責任を取るという厳しい局面があることを踏まえ、社長がインシデント対応を受けたときの洞察、グループ内の経験を共有することは非常に有用だと考えた」と述べます。

　セキュリティリスクは企業にとって問題となっているのは間違いないのですが、技術だけでなく「組織力」こそが重要です。斉藤氏は「社長もその一員として『ことの重要性』を理解してもらうためには、このような研修をより広く取り組む必要がある。今回のセッションが一つでもヒントになれば幸いだ」と語りました。

社長自身が「範を示す」ことの意味

　筆者自身、セキュリティとはセキュリティ担当が考えるだけのものではなく、従業員、ひいては“普通の人”がセキュリティに寄り添い、考えていかなければならないという思いを強くしています。もちろん、本来ならそのようなことを考えなくても、「技術」の力で何とかなることが理想です。AIこそがその鍵になるとは思っていますが、残念ながらそこに至るまでにはもう少し時間が必要です。だからこそ、過渡期と考えて、セキュリティを万人がほんの少し気にする必要があるのです。

　一般の方がセキュリティを気に掛けるというのはある意味、理想論でしかありません。しかし社長がそこから脱し、セキュリティに本気で取り組む姿を見せることは、多くの人に模範を示すこととなる、正しいアプローチに思えます。

　日本を代表する大企業／一大グループがこのような取り組みをしているというのは、心の底から素晴らしいと思えるものでした。恐らく実現までには語られていない苦労がたくさんあったと思います。この事例は他の企業にとっても「こんなことができるんです！」と進言できる、心強いものになっているでしょう。

　社長が考えなくてはならないセキュリティと、私たちが考えるべきセキュリティの性質は異なります。でも、向かう先は同じはずです。社長が示した模範をもとに、私たちも、今日できることを進めていこうではありませんか。

著者紹介：宮田健（みやた・たけし）

元＠ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q＆Aで考えるセキュリティ入門　「木曜日のフルット」と学ぼう！〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』（エムディエヌコーポレーション）が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ＆Aのクイズ形式で楽しく学べる。