日清食品HD・喜多羅CIO　×　ラック社長・西本　対談（3/3）

サイバーセキュリティにどう立ち向かう

西本：サイバーセキュリティの取り組みについてお伺いします。「一つの情報システム部門」にこだわってこられた日清食品グループさんならやはり、自社ですべて担うべきだと思いますが、いかがでしょうか。われわれが言うことではなく、すでにしっかりやっていらっしゃるとは思いますが。

喜多羅：社内のセキュリティ部門はまだまだ強化する必要があり、人材も採用しているところです。ただ技術的な対応以前に、社内の一人一人が、業務と同じようにセキュリティリスクについても、きちんと理解することが重要です。昨今のセキュリティインシデント（事故）はどうやって起きるのか、多少技術的であろうが知る必要があります。

そのためにも私自身が実際に確認し、当社にとってリスクの大きさはどうかと判断していかなくてはなりません。今どきのCIOは自分で手を動かさなければならないこと、見ておかなければならないことがたくさんあるんですよ（笑）。

発信も重要です。自分自身がエバンジェリスト（啓発者）になって、インシデントが発生すると業務にこのような影響があるからやっておかなければならないんだよと、社内外に発信することがCIOには求められています。

西本：セキュリティ人材の社内でのキャリアパスも考慮する必要がありますね。IT部門だけに負荷をかけるのか外部の専門企業にアウトソースするのか、どちらを選択されてもいいと思いますが、事業リスクとのさじ加減は重要ですね。

喜多羅：事業を理解した上で取捨選択し、判断するためには、自社内でセキュリティ人材に活動してもらわなければなりません。ソリューションを導入した後も、リスクが担保できているかを見ていかなければなりませんから。ただ、世の中のベストプラクティスはと考えると、われわれだけでセキュリティ対策に取り組むのではなく、その道のプロと二人三脚でやっていくのがよいと考えています。

悩ましいグローバルでのセキュリティ統治

西本：グローバル展開を進める上でのセキュリティガバナンスはどうされていますか。

喜多羅：まだまだマルチローカルで、各地域に任せてやってきました。これは日本サイドの手が足りなかったという組織的な背景が理由です。日本をハブとして、いろんなマーケットとどう協働していくかが当社のグローバルモデルですから、それをどうサポートしていくか。

日本がハブになるとは言っても、地域間で情報や成功事例の共有が不可欠です。例えば「サーバー管理ってどうするの」といったごく身近なことから共有できる素地を作るんです。そういう形でのグローバル化をわれわれの部署から発信していければおもしろいなと考えています。

怖いのは、海外事業会社の１社がウイルスに感染するとグループ全体に被害が広がってしまう可能性があることです。今までなら、小さい会社は小さいなりのやり方でやっていればよかったのですが、それが許されないステージになりました。そのため「この会社でウイルス感染してグループ全体にまで影響が出たら、大変な責任問題になりますよ」と説明し、有無を言わさずに標準システムを使ってもらうことで最低限のセーフティーネットを張っています。

西本：仕方がないですね。国・地域によっても、組織によっても運用レベルが違うわけですから。

喜多羅：詳しいことはお話しできませんが、手を入れていかなければならない部分がまだ多くあります。

西本：海外の子会社や関連会社で起こる事案というのは、当社の緊急対応サービス「サイバー119」で扱う中でも結構あります。ちゃんとした日系企業でもセキュリティレベルが保たれていないことがありますし、取引業者のレベルが低いこともあります。本当にびっくりするようなことがありますね。

経営から見えるリスクにも備えを

西本：セキュリティの3要素として、CIA（Confidentiality＝機密性、Integrity＝保全性、Availability＝可用性）がよく言われますが、ビジネスを守るためにやらなければならないことはたくさんあります。機密情報を守るには、偽のデータを紛れ込ませておくとか、分かりづらい場所に保管して攻撃者が到達するまでに時間がかかるようにするといった手立てを含めて総合的に考えないと賢い対策にはなりません。セキュリティ屋はすぐに「こうあるべき」と言いがちですが、当社を含め、反省しなければなりません。

喜多羅：SAP社のソリューションを導入する際に、当社のCEOからこんな質問がありました。「SAPが世の中で広く使われているというなら、ハッカーも多いということだな。ハッカーが知らないうちに入ってきて数字を操作したらどうするんだ」と。答えに詰まりました。

財務諸表の信頼性がなくなってしまったら、ウイルス感染どころの問題ではありません。IDやアクセスの管理はこうやっています、元帳はこう管理していますという話はもちろんするのですが、経営から見ているリスクは全然違う部分だったりしますね。

最後に ～本日の学び～

喜多羅：今回の対談では、ラックがものづくりの発想で会社を作り上げてこられたと知って驚きました。サイバーセキュリティといえば、世の中の動きを見て右から左にさばくような印象を持っていました。大変失礼な言い方になりますが、足を地に付けてアプローチされていると知ることができた。目から鱗が落ちる思いでした。

ラックには、今後もどんどんコアビジネスを磨いていってほしいと期待しています。セキュリティを取り巻く外的環境はさらに厳しさを増し、攻撃手法も多様になっていて、われわれですべてを把握することは難しくなっています。そんな中、本物のプロとして専門技術を磨き続けていただきたいですね。

加えて、当社内の意識改革もサポートしていただきたい。社員にセキュリティの話をしても、われわれとは温度差がかなりあるのが現実です。システム部門はそう言っているが実際には何も起きないんじゃないか、などと思われてしまうんです。ラックには公的なスピーカー、プロフェッショナルとして社員の啓発に力を貸してしていただけることを期待しています。

西本：「一つのシステム部門」にこだわって取り組んでこられた点はさすがだと思いました。それと、御社の安藤宏基CEOの著書「カップヌードルをぶっつぶせ！」のタイトルに象徴されるように、一番の事業の柱をぶっ壊そうという発想が企業文化として存在することを改めて知り、大変に感銘を受けました。

当社の創業者（故人）も「不安定の安定」ということをよく言っていました。安定すると人はすぐに気を抜くので、安定しそうになったら組織をぶっ壊せと。本日の対談を通じて創業者の言葉を改めて思い出し、空の上からガツンとやられたような思いになりました。本日はどうもありがとうございました。

日清食品HD・喜多羅CIO　×　ラック社長・西本　対談（全3回）

• 日清食品HD・喜多羅CIO　×　ラック社長・西本　対談（1/3）
• 日清食品HD・喜多羅CIO　×　ラック社長・西本　対談（2/3）
• 日清食品HD・喜多羅CIO　×　ラック社長・西本　対談（3/3）

プロフィール

日清食品ホールディングス株式会社
執行役員・CIO
喜多羅 滋夫（きたら しげお）
P&Gとフィリップモリスにて20年余りIT部門に従事した後、
2013年日清食品ホールディングス株式会社にCIOとして入社。
グローバル化と標準化を軸に、グループ情報基盤の改革を推進中。

株式会社ラック
代表取締役社長
西本 逸郎（にしもと いつろう）
1986年ラック入社。2000年にセキュリティ事業に転じ、日本最大級のセキュリティ監視センター「JSOC^®」の構築と立ち上げを行う。様々な企業・団体における啓発活動や人材育成などにも携わり、セキュリティ業界の発展に尽力。