<サイバーセキュリティ戦記>NTTグループのプロフェッショナルたちISMS認証の表も裏も知る男 NTTグループで始まった情報セキュリティの抜本的改革に挑む

NTTコムウェア 木村歳修

新ドコモグループの一員として、新たなスタートを今年1月に切ったNTTコムウェアに、ISMS認証の表も裏も知る男がいる。20年前にNTTコムウェアでのISMS認証取得に携わってから情報セキュリティ一筋。現在ではISMS主任審査員及びISMS研修講師として全国の企業を訪れるという別の顔も持つ。

<トラスト(信頼)>あるデジタル社会の実現に向けて奮闘するNTTグループのプロフェッショナルを紹介する本連載。今回登場するのは、NTTコムウェアの木村歳修(きむら・さいしゅう)だ。ISMS認証の表も裏も知る男は今、20年振りの情報セキュリティポリシーの抜本的改革という大一番に挑んでいる。

NTTコムウェアの木村歳修は“別の顔”として活動するため、年20日ほど休暇をとる。

約10日は、ISMS主任審査員として活動するためだ。

「ISMS適合性評価制度」は、ISMS(情報セキュリティマネジメントシステム)に関する国際規格である「ISO/IEC 27001」に準拠した「情報セキュリティの管理の仕組み」を備えている組織を認証する制度である。情報セキュリティが重大な経営リスクとなった現在、日本では大企業を中心に6,000を超える組織がISMSの認証を取得している。

ISMS主任審査員の役割は、このISMS認証の取得・維持を目指す組織の審査を行い、ISO /IEC 27001の要求事項に適合しているかを評価することだ。木村はこれまで約50組織・150件の審査を担当してきた。審査リーダーとして一度担当した組織は3年間、全国の拠点を審査しながら見守り続ける。ISMS主任審査員の資格保持者は、日本全国でわずか約250名。専業で従事する審査員も多い。

あとの約10日は、セミナー講師として演台に立つためだ。ISMSの審査員を対象とした研修や一般企業向けISMS研修会の講師などを長年にわたり務めている。

“表の顔”もISMSである。木村は、NTTコムウェアの初代ISMS推進室の4名のメンバーの1人として、同社の情報セキュリティポリシー策定とISMS認証取得を担当した。NTTコムウェアが社をあげてISMS認証を取得したのは2003年。NTTグループでは2番目の早さだった。

つまり木村は、審査側と取得側の両方の立場を知る、ISMSの表も裏も知る男――。

そう指摘すると、木村はこう返した。「表の顔として、これまで約30社80案件のISMS認証取得支援サービス等のセキュリティコンサルタントとしても活動していましたから、受審側、審査側及びコンサルティングの3つの立場からISMSに関わってきたことになりますね」

とにかく、様々な面からISMSを知る第一人者の1人ということだ。

NTTコムウェア 木村歳修

無から迅速に情報セキュリティポリシーのひな形を策定

情報セキュリティの道に足を踏み入れたとき、木村は30代半ばを迎えていた。今から20年以上前、2000年頃のことだ。

日本の情報セキュリティにとって、2000年は転機の年となった。中央省庁のホームページ改ざん事件が相次いで起こり、情報セキュリティ強化の機運が一気に高まったのだ。

「NTTグループでも、グループ各社に対して、情報セキュリティポリシー策定の指示が出ました」と木村は振り返る。

ただ2000年といえば、「情報セキュリティ」という言葉すら、ほとんど耳にすることがなかった時代である。「現在では考えられないですが、当時のパソコン向けOSであるWindows 98は、ID/パスワードの入力なしに起動できました」

そんな情報セキュリティの黎明期、急に情報セキュリティポリシーの策定を求められても、対応できるグループ会社はそう多くはない。

「情報セキュリティポリシーの策定を手伝ってもらえないか」。当時、木村が在籍していたIT商品本部には、こんな相談が持ち込まれることになる。この依頼に、たまたま対応することになったのが木村だった。

1988年に新卒でNTTに入社以来、電話交換機の保守、マルチメディアシステムの開発など、様々な業務を担当してきた木村だったが、情報セキュリティに関する業務経験はなかった。だが、同じ部署の他のメンバーも同様だった。

一から情報セキュリティに挑み始めた木村。情報セキュリティポリシーって何?というところからのスタート。当時国内には情報が少なかったことから先進的な欧米の事例を参考にすべく、探し出した英語の専門書をデスクに積み上げ、辞書を片手に翻訳しながら、NTTグループ企業の特性に合った情報セキュリティ方針と情報セキュリティ対策基準のひな形をわずか3日間で創出した。

NTTの実情を踏まえたポリシーのひな型は高評価を得た。大仕事をやり遂げた木村は、この経験を活かして「情報セキュリティポリシー策定支援サービス」を立ち上げ、NTTグループ会社や行政機関・一般企業向けにもポリシー策定サービスを展開することとなった。

好きな言葉は「人間万事塞翁が馬」だという木村。人生では、何が幸せに、何が不幸に転じるのか、それが起こったときには分からないのだから、安易に喜んだり悲しんだりするべきではないということを説いた故事だ。

30代半ばにたまたま巡り合った情報セキュリティの仕事。これを機に、木村は情報セキュリティのスペシャリストとしての人生を歩み始める。

RELATED ARTICLE関連記事

SPECIAL TOPICスペシャルトピック

スペシャルトピック一覧

FEATURE特集

NEW ARTICLES新着記事

記事一覧

WHITE PAPERホワイトペーパー

ホワイトペーパー一覧
×
無料会員登録

無料会員登録をすると、本サイトのすべての記事を閲覧いただけます。
また、最新記事やイベント・セミナーの情報など、ビジネスに役立つ情報を掲載したメールマガジンをお届けいたします。