企業のセキュリティへの対応は、すでに一部門の課題ではない。企業の総力戦だ。重大インシデントを前に楽観主義を唱える稀有なプロフェッショナルの一言とは。
2025年初頭、アサヒグループホールディングスがランサムウェア攻撃を受けた。データのバックアップはあったし、生産システムは受発注システムとは疎結合で感染を免れたようにみえる。それでも工場は止まった。「作ったものが受発注できなければ在庫がたまる。システムは切り離せても、サプライチェーンはつながっている」と横浜信一は分析する。DXが進んだ企業ほど、復旧の複雑度は劇的に高まる。セキュリティは、もはやIT部門だけの問題ではない。
「東証プライム約1600社の社長全員がセキュリティの重要性を認識しています。しかし問題は、社長自身が何を学び、何ができなければならないかが明確になっていないことです」。横浜は2024年度に、NTT国内グループ会社の社長258名全員を対象にセキュリティ研修を実施した。講師には横浜自身も立つ。テーマは「リスクベースマネジメント」と「インシデントマネジメント」の2点に絞った。前者はゼロリスクを追求せず、リスクを理解した上で経営判断する能力。後者は攻撃を受けた際のリーダーシップだ。前例のない社長向けのセキュリティカリキュラムは自ら作成したという。
横浜は、いわゆるテックの専門家ではない。通産省で8年、マッキンゼーで20年を経てNTTに転じた。「私が得意なのは、テクノロジーとグローバルマネジメントの交点。技術的に深い知識がなくとも、自分の土俵を作れば世の中に役立てと思っていました」。だからこそ、経営者の言葉でセキュリティを語れるのだろう。
そして横浜が強調するのは「現場運用力」だ。「セキュリティ製品は、上市された瞬間に攻撃者もそれを買う。リバースエンジニアリングされ、すぐに穴を見つけられる」。導入するだけでは不十分で、自社に合わせてカスタマイズし、検知手法を追加し続けなければならない。実際、NTTセキュリティが検知するインシデントの約半分は製品のシグネチャではなく自社で独自に作成したものだという。「日本には現場のエンジニアを尊重する文化がある。それはセキュリティ運用においてアドバンテージになります」。
26年4月、横浜は「セキュリティ・トラスト・フォーラム」を立ち上げる予定だ。大企業の経営者が集まり、学び合う場だ。社団法人ではなく有償制の草の根活動にこだわった。「自助、共助、公助の自助の部分を、信念のある人がやっていく」。
テック系経営幹部に必要な資質を問うと、「オプティミズム」という答えが返ってきた。新しいテクノロジーにはリスクがつきまとう。「ごもっともな慎重論」を唱える者が現れる。それでも、プラスがマイナスを上回ると思えば前に進む。「ホモ・サピエンスだけは『あの山の向こうには何があるのだろう』と地球上に広がった。我々のDNAには希望が組み込まれている。私たちの未来は明るいですよ」。
横浜信一◎東京大学工学部を卒業後、通商産業省(現・経済産業省)へ入省。92年マッキンゼー・アンド・カンパニー東京支社に入社。2000年パートナー就任。11年NTTデータ、14年日本電信電話(現・NTT)、18年から現職。NTTセキュリティホールディングスCEO兼務。
