Value Interview:宮部 義幸 氏、小島 啓二 氏

専門技術だけでなく、経営者としての目線を備えたセキュリティ人材の育成が不可欠

いまやサイバーセキュリティは組織が信頼を構築していくにあたって不可欠であり、経営者が先頭に立って取り組むべき重要課題となっている。サイバーセキュリティの国際会議「サイバー・イニシアチブ東京2018」では、日本を代表するメーカーである、パナソニック株式会社 専務執行役員 CTO・CIO 宮部 義幸 氏と株式会社日立製作所 代表執行役 執行役副社長 CISO 小島 啓二 氏が登壇。「Trust(信頼)の構築 − 経営者アジェンダとしてのサイバーセキュリティ」をテーマに、PwCコンサルティング合同会社 パートナー サイバーセキュリティ・アンド・プライバシー・リーダー 山本 直樹がモデレーターとして話を聞いた。

宮部 義幸 氏

宮部 義幸 氏

パナソニック株式会社 専務執行役員 CTO・CIO

1983年、松下電器産業(株)(現パナソニック(株))に入社。2008年に役員に就任。2011年常務取締役 技術担当、2013年AVCネットワークス社社長、2014年代表取締役専務。2015年4月より技術・知的財産・モノづくり総括・調達を担当。2016年4月より技術・モノづくり・調達・IT革新総括を担当。2017年6月より現職。

小島 啓二 氏

株式会社日立製作所 代表執行役 執行役副社長 CISO

1980年に京都大学大学院で数学を修めた後、コンピュータアーキテクチャーの研究者として中央研究所に入所。1996年からの4年間、米国にある「Hitachi Computer Products America」で勤務した。2014年からは日立グループのCTOと研究開発部門のCEOを務めた。2018年より現職。

小島 啓二 氏
山本 直樹

山本 直樹

PwCコンサルティング合同会社 パートナー
サイバーセキュリティ・アンド・プライバシー・リーダー

コンサルティング業界で20年以上の業務経験を持ち、金融機関や大手製造業などへサイバーセキュリティをはじめ幅広い分野のサービスを提供。PwC入社以前には、米国系コンピュータメーカーの情報セキュリティ統括責任者として多様な実務経験も持つ。

グローバル時代に求められるセキュリティガバナンス

山本

まず、日本を代表する企業であるパナソニック、日立製作所のお二人へ「グローバル企業におけるセキュリティガバナンス」についてお伺いしたいと思います。両社ともに国や地域を越えて複合的な事業を運営されていますが、グローバルを通じたセキュリティガバナンスの適用にはどのように取り組んでいるのでしょうか。

宮部

パナソニックでは、従来から三つのラインに基づいたセキュリティガバナンスを推進しています。一つが企業内の情報システムという軸でのガバナンスで、日常的に活用しているITに関するものです。二つ目が、モノづくりにおけるガバナンスです。当社は日本、中国、アジア、欧州、南米と世界各国に多くの工場を構えていますが、そうした生産拠点のネットワーク化が急激に進む中、工場のセキュリティにもしっかりと対応していかなければなりません。そして、三つ目が製品自体のガバナンスです。近年、多くの製品がネットワークに接続されて、そうした製品に対するセキュリティが重要な課題となっています。このラインについて、情報システムはCIO(Chief Information Officer)、モノづくりはCMO(Chief Manufacturing Officer)、製品はCQO(Chief Quality Officer)が責任を持っており、現在はこの三つの役職を私が兼務していますが、部門横断的な人材交流や情報共有レベルの向上といったメリットがあります。

小島

日立製作所では幅広くIT事業を手掛けていますが、2017年5月、ランサムウェアの「WannaCry」に感染するというセキュリティインシデントが発生しました。感染源は欧州にあるグループ会社の顕微鏡で、そうした検査機器から感染が一気に広がることは想定外だったわけです。私たちはM&Aも含めて企業規模を拡大し続けていますが、グローバルの規模でも、多様な種類の機器があるという意味でも、アタックサーフェス(攻撃領域)もどんどん拡大していることを、このインシデントを通じて改めて実感しました。そうしたことから、グローバルでのセキュリティガバナンスについて一から見直しを図っているのです。これも、CISO(Chief Information Security Officer)としての重要なミッションの一つと考えています。

山本

WannaCryの感染に対して、インシデントレスポンスという点ではどのような対応を行ったのですか。

小島

感染後、即座にレスポンスチームを設置したことで適切な対応ができました。その後レビューを行ったところ、ネットワークの設計を含めてグローバルのセキュリティ機関から警告を受けていたことも分かったんですね。そうした事前防衛策を子会社まで行き渡らせることができなかった、つまり、全社を通じたガバナンスの適用がまだまだ不足していたわけです。今回の経験により、情報公開の重要性と、拡大し続けるアタックサーフェスを一社だけで防御するのは困難であると感じました。他の企業をはじめ、政府機関や現地の機関といかに協力体制を築いていくかが重要になると考えています。

山本

グローバルガバナンスの適用に苦労している企業は多く、日本の本社側セキュリティ部門を立ち上げて対策を講じても、海外では手付かずのケースが少なくありません。グローバルでのセキュリティガバナンスの適用は国際的に事業を展開する企業にとって欠かせないものであり、綿密に計画を立てて確実に実行していく必要がありますね。

セキュリティ品質も日本製品の強みに

山本

日本製品は品質の高さに定評がありますが、近年では品質を評価する項目の一つにセキュリティも挙げられています。製造業の立場から、製品やサービスの品質としてのサイバーセキュリティをどのように捉えられていますか。

小島

私どもの製品やサービスには重要な社会インフラに関わるようなものがありますが、品質を考えた場合、大きな評価軸の一つに「実績」があると考えています。とはいえ、実績だけでは評価が困難なこともあります。そこで、設計や品質保証のプロセスを投入するとともに、情報を広く公開していくことが重要だと考えています。これはなかなか勇気のいることなのですが、これをやっていかなければ信頼は実現できません。長い目で見れば、積極的な情報公開は信頼につながっていくと考えており、WannaCryに感染した時も広く情報を公開したことが奏功し、株価に対する影響も生じませんでした。

宮部

当社も製品のセキュリティを品質の一つとして捉えており、それを推進する組織として「製品セキュリティセンター」を設置し、出荷前のセキュリティ検査をはじめ、市場に投入された製品についてもアタックテストを行っています。自社製品のセキュリティを守ることに対して、製品セキュリティセンターのチームは高いモチベーションをもって取り組んでいるのです。また、あらゆる業界で同様のインシデントが発生していることから、当社を先行事例として異業種の企業の方々からも相談をいただくケースが増えています。

山本

従来、サイバーセキュリティ対策は情報システム部門を中心に行われていました。しかし、最近では生産拠点の品質管理部門がサイバーセキュリティを考え始めており、そうした背景には、単に製品を売るだけでなく販売後の顧客とのつながりを強化する「サービス事業へのシフト」も影響していると考えられるでしょう。

経営者の目線を持ったセキュリティ人材の育成が急務

山本

サイバーセキュリティに関する人材不足が問題となっていますが、この課題へはどう対処していますか。

小島

当社には大きなIT部門があり、サイバーセキュリティのテクノロジーという面については十分に育成できると考えていますが、経営目線でセキュリティを見ることができる人材は圧倒的に不足しています。経営者としての経験に加え、デジタルリテラシーとグローバルな感覚を有した人材の育成が急務であり、そうした観点に基づいてセキュリティ人材の育成に努めています。

宮部

私もセキュリティの専門技術を有した人材の育成に加え、そうした人材が経営目線を持って社内外に対して多様な取り組みを行っていくことが必要だと考えています。製品のセキュリティについては、業界に先駆けて取り組みを行ってきたことで当社の活動が世に知られたこともあり、新卒や中途採用の優秀な人材が集まるようになってきています。

山本

サイバーセキュリティの人材は、将来的に約193,000人も不足するともいわれています。数はもちろん質の向上も重要であり、経営的な視点を備えるように教育、育成を行っていくことが不可欠です。実際、金融業界などでは経営者や役員クラスの人材がCISOを担うケースが徐々に増えています。このようなキャリアパスが提示されることで、社内でセキュリティをリードしていく人材にも光が当てられるようになると期待を寄せています。

サイバーセキュリティ面でも治安の良い国を目指す

山本

それでは最後に、重要な社会・生活インフラに携わっている立場から、安心で持続可能なデジタル社会を実現してくために、近未来社会のサイバーセキュリティについてどのような展望をお持ちなのかをお聞かせください。

宮部

サイバーセキュリティは、法律面でまだ整備できていない部分があることに加え、一般の方々の理解も十分ではなくコンセンサスができていないのが実情です。もちろんメーカーがやらなければならないことも山積みですが、国を挙げてサイバーセキュリティに取り組んでいく必要があると考えています。国家というレベルにおいてもサイバーセキュリティの“治安”を保つことができれば、多くの産業が発展していけるようになるでしょう。

小島

サイバーセキュリティの問題は非常に大きなチャレンジで、単独の企業だけで全て担うのは不可能であり、民間・政府を問わず皆が協力し合って次のレベルの信頼を創出していかなければなりません。そうした機運は出来上がりつつあり、インシデントに対する情報や対処のためのベストプラクティスの共有も進んでいます。そうした取り組みをグローバルにも広げ、次の社会を築いていくことが必要です。日本は未来社会のコンセプトとして「Society 5.0」を提唱していますが、その実現のためにも万全のセキュリティが不可欠となるでしょう。

宮部

セキュリティは、安定的な経済や生活などの多様なモノをつくるベースになることですよね。サイバーセキュリティに関係している皆さんは、「自分たちの取り組みがより良い社会をつくっていくんだ」という前向きな攻めのセキュリティ活動ができれば、理想とする安全な社会が実現されるのではないでしょうか。

小島

私も賛成です。明るく元気にセキュリティに取り組むためにも、情報の公開やシェアなど、デジタル社会の良さを生かしながら透明性を徹底的に上げていくべきだと思います。

山本

他国と比べて犯罪が少なく治安がいいと言われている日本の社会を、サイバーセキュリティの面でもさらに良くしていこうというのですから、より明るく自信を持って取り組んでいきたいですね。私もコンサルタントの立場から、皆さんと一緒になって未来社会のセキュリティを実現していきたいと考えています。本日はありがとうございました。