サステナビリティ事例でも取り上げた
『セキュリティ・バイ・デザイン プロジェクト』から、
様々なミッションでセキュリティを支える社員5名が集まり、座談会を開催。
変化し続ける時代の中、全社をあげてセキュリティに取り組む意義、
持続可能な社会との関係や、プロジェクトに込めた思いをそれぞれの視点で語る。

セキュリティの
全容を知っている人はいない。

プロジェクトがはじまったきっかけには、どのような課題感があったのでしょうか。

中村：サイバー攻撃の増加やサプライチェーンの複雑化など、社会の変化とともにセキュリティの重要性が高まる中、全社をあげてセキュリティの意識や品質を向上させていく目的で始まったのが、この『セキュリティ・バイ・デザイン（以下SBD）プロジェクト』です。問題が起きてから対処するのではなく、企画・設計段階からセキュリティを組み込んでおくSBDの考え方は、安全・安心な社会へ貢献するとともに、当社の企業価値を高めるためにも不可欠でした。

角道：お客様のセキュリティレベルを高めるコンサルタントの立場からすると、SBDの考え方に基づきセキュリティを企画・設計段階から組み込んでおかないと、後戻りしたときに開発のやり直しや、それに関わる工数など大きなムダが出てしまうと考えていました。加えて私のチームではお客様にSBDを説明するときに「事業継続」の観点で話をしています。近年サイバー攻撃も増えており、セキュリティの問題でシステムが止まってしまうと事業が継続できなくなります。SBDはサステナビリティという観点からも必要だと思います。

巧：私はSBDという言葉がまだなかった頃から、事前にセキュリティを組み込んでおく考え方の必要性を唱え続けてきました。社会の基盤であるセキュリティは、規模の大小を問わず、すべてのお客様にとって取り組むべき課題だと思います。

稲川：情報システム自体がもはや社会のインフラですよね。当社が携わっているシステムも一般の方が使われているものがたくさんあるので、安全・安心に使ってもらえるシステムを当社として提供していくのも、社会のインフラを守っていくことに繋がっていくのだと思います。

安西：社内浸透を進めている私は、「セキュリティは品質の一部」という捉え方をしています。セキュリティの品質を高めるためには新しくルールを作るよりも、既存のものづくりの過程やルールの中にセキュリティを組み込むことが大切。当社が提供する製品・サービスの価値を上げ、当社の企業価値を高めていくためにも、全社をあげてセキュリティ品質を高めることが必要でした。

中村：ここにいるメンバーはそれぞれセキュリティの専門家ですが、一人がセキュリティに関するすべての知識を持っている訳ではありません。ルールを作る人だけでなく、システム開発やお客様への提案など当社が携わるシステムに関わる人たちも巻き込んで、少しずつ人数を増やしていき、この5人のコアメンバーを中心としてセキュリティを専門とする他のメンバーも参画し、全社の組織が連携して進めていく形となりました。

部門ごとに異なる
セキュリティ意識を統一する。

全社横断型のプロジェクトであることが特徴ですが、他部門との連携はどのように行っていますか。

中村：「システムがあるところ、全てにセキュリティがある」という言葉があるように、一口にセキュリティといってもその領域は非常に多岐にわたります。各部門の社員が関わるセキュリティは、要件も求められるレベルも様々。ルールと意識をひとつに統一するのは難しいことでした。

安西：セキュリティのルールを全社に浸透させるには、当然のことながら部門間の連携が必要ですが全社を統制するには、我々プロジェクトメンバーだけでは難しいです。例えば全社のガバナンスを担う部門や、品質を推進する部門、セキュリティをビジネスとしている部門と連携して、より浸透しやすいルールの策定や推進を日々行っています。

角道：安西の話に続けると、セキュリティにおける部門間の連携は「普段は別々に業務をしているので、なかなか他の部門との接点が少ない」ことが課題です。でも『SBDプロジェクト』で、部門を越えたワーキンググループがいくつも生まれたことで、普段関わりがない人とも連携がしやすくなったと思います。私の担当分野であればコンサルティングをやっている別部門のグループやクラウドのグループがあったりします。高い専門性を持つメンバーや課題を感じているメンバーが組織の垣根を越えて一緒になって考えています。

稲川：クラウドの観点でいうと、テーマが限定的なように思われますが、実際はその中の分野がかなり多岐にわたっています。また、日々移り変わる技術トレンドに追随していくことも課題です。『SBDプロジェクト』で高い専門性や知見を持つメンバーとつながることは、新たな動向や情報にキャッチアップできてとても有意義です。

全社に浸透させていく上で難しかったことや、工夫したことはありますか。

安西：会社の規模が大きいこともありますが、セキュリティの意識はルールを作っただけでは浸透できないのが難しいところです。浸透するためには、全社員を対象とした教育や説明会を実施すると同時に、部門の特性やレベルに応じてカスタマイズした勉強会も実施して、理解を促進することが重要だと考えています。

角道：部門が違えばセキュリティの意識も違うのが難しいですよね。さらに巧や私のようなコンサルタントですと、お客様にSBDを浸透させるのも仕事の一つです。お客様がセキュリティに精通していないことも多いので、そもそもSBDとは何なのかを説明する必要があることも。伝わればお客様にとって絶対にプラスになるので、とてもやりがいがあります。

情報や知見が繋がり、巡る。
好循環を生み出す仕組み。

プロジェクトを経てご自身や周囲にどのような変化がありましたか。

安西：元々私やチームのメンバーは、チーム内でセキュリティのノウハウをもち対応してきましたが、多様化・巧妙化していくサイバー攻撃への対応に、苦慮していました。しかし『SBDプロジェクト』を通じて、セキュリティのメンバーと接点や関係性ができたため、「こういう支援や相談はこの人に聞けばいい」ことがわかるようになって、現場に対して提案できることが増えました。繋がりを通じてより提供できる価値が上がった実感があります。

角道：『SBDプロジェクト』があることで、「自分たちの仕事だけで終わらない、終わらせない」という意識が身についてきているように感じます。これまでは自分たちの業務の中で完結していたことが、プロジェクトが終わったあとも、その内容が「どこに派生するか」を考えて、関係しそうな部門に情報を共有するようになりました。一つのプロジェクトの「次」が見えてくるようになったようにと思います。

稲川：クラウドのセキュリティは多様な条件がある中で、一つのアプローチだけだとお客様やプロジェクトの課題が解決できないことが多いのですが、『SBDプロジェクト』を通じ、「得意な人と繋がること」で突破することができました。自分一人で調査をしていたことが、違った知見を持つ人と繋がることで、さらに短期間でかつ、幅広い知識で改善していけるようになりました。また、私自身がどんな活動をしているかを社内に認知されたことで、情報が集まってくるようになったのも助かっているポイントです。

このような難しいプロジェクトを推進できている、NECソリューションイノベータならではの理由はありますか。

巧：全社への推進がうまくいっているのは、NECグループとしてセキュア開発を行ってきた長い歴史があるからです。グループとしてずっと推進してきたことで、様々なアセットが作られてきましたし、ドキュメントも長年かけて整備されてきています。セキュリティは制度を作るだけでは浸透せず、意識を統一する必要があります。やろうと思っても一朝一夕にできることではなく、長年やり続けてきたことが、ようやくここにきて実を結び始めたと思います。

角道：やはりこの『SBDプロジェクト』を1万数千人規模の会社で全社をあげてやっているという実績は、社外にも高い訴求力を持つと思います。コンサルタントとしてお客様にSBDを提案した際に「それで、NECソリューションイノベータさんでもやっているのですか？」と聞かれることが多かったのですが、自分たちが実際にやっていてここまでできている事実を伝えることができれば、提案により説得力が生まれるのです。

社員一人ひとりが広めれば、
社会がより良くなる。

『SBDプロジェクト』をどのように発展させていきたいと考えていますか。今後の展望や、かなえたい「いつか」について聞かせてください。

巧：少し前までセキュリティは特別なことでしたが、今はもうセキュリティの対策自体が社会課題です。「やることが当たり前」と何年も訴え続けて徐々に浸透してきたことを、社内外に定着させていくのが『SBDプロジェクト』の責任だと思っています。当然お客様にも「企画・設計段階でセキュリティへの対策をすることが当たり前」という話をしていて、それが当社としての「標準品質」になることを目指しています。

角道：私はお客様と直接やり取りをするので、お客様に対してセキュリティの重要性を丁寧にお伝えしていくことを心がけています。お客様ご自身にセキュリティを理解いただく。そうすることでセキュリティ事故も減っていく。社内浸透の先にある社外への浸透も当社の重要な役割です。

安西：私が考えるSBDの本質とは、「事業を正常な形で継続していく」こと。セキュリティの取り組みを通じて事業への影響やリスクを減らしていくことは、社会課題の解決に直結すると思っています。そのために全社の意識を底上げしている立場で言うと、私がいなくても現場の社員が自律的にセキュリティを考えられる組織になっていくことが理想です。

稲川：今後はスマートフォンからデバイスの情報や生体情報がどんどんクラウドに上がっていくため、データにおけるセキュリティがますます重要になってくると思います。日々目まぐるしく変化し続ける環境の中で、セキュリティの意識と品質を高めていくためには、私自身が『SBDプロジェクト』を通じて体感した「繋がることで、できることが増えた」ことを、もっと多くの人に広めていくことが必要です。組織風土の醸成に貢献することで全体の底上げをしていきたいです。

中村：セキュリティが特別なものではなくて、「みんなが考えなければいけないもの」になってきている時代だと思います。例えばスマートフォンの生体認証は誰もが使っているものなので、すべての人にセキュリティ意識が必要な時代だと思うのです。新しい時代におけるセキュリティ対策は、「誰かがやってくれるのではなく、一人ひとりがやる」もの。そんな社会の中で当社の社員一人ひとりが「セキュリティの先生」になれば、社会がより良くなると考えます。今後、さらに横断的な活動を進めていく意義があると考えていますので、これからももっと繋がって、強いチームを目指していきます。

関連リンク