情報セキュリティ講義で毎回話すこと
20年以上にわたり情報セキュリティの専門家として活動してきた木村が講義で毎回話すことがある。
「保護すべき情報を守るために情報セキュリティ対策が必要なのであって、保護すべき情報がなければ情報セキュリティ対策は必要ありません。つまり、まずは機密情報や個人情報などの保護すべき情報と、その情報を守るうえでの脅威を洗い出すリスクアセスメントが大変重要です。このリスクアセスメントを行ったうえで、最適な対策を導き出していく必要があります」
ところが、木村がISMS主任審査員として見てきた組織の中には、ISMS認証の取得を優先し、保護すべき情報を守るための仕組み作りがおろそかになっている組織も少なくないという。
「詳細なリスクアセスメントが基本」というのが従来のISMSの考え方だったが、木村によれば、「最近の流れは、毎回イチから詳細にリスクアセスメントするのではなく、ベースとなる管理策を原則すべて適用し、組織レベルの上位のリスクアセスメントを実施した後、個々の重要なシステムごとにリスクアセスメントを実施して最適な対策を導き出すという効率的で先進的な考え方」へと変化してきている。
どうすれば組織の情報資産を効果的に守れるのか、どうすればレジリエンス(回復力)のある情報セキュリティ体制を実現できるのか――。現状を変えるため、木村は“表の顔”だけに飽き足らず、“裏の顔“でも最新動向をはじめとする情報セキュリティの要諦を伝え続けてきた。
知見をさらに深めるための自己研鑽もずっと続けている。ISMS主任審査員のほか、ISMSクラウドセキュリティ主任審査員、情報処理技術者関連資格など、10を超える情報セキュリティ関連資格を木村は有する。
そして今、木村のこうした努力の積み重ねを活かせる、またとない機会がやってきている。NTTコムウェアの情報セキュリティポリシーの大改革である。
20年振りの大改革に込める思い
一般企業向けのセキュリティコンサルタント業務などを経て、現在の木村の“表の顔”は初代ISMS推進室のメンバーだった20年前に近いものとなっている。木村を指名する大手クライアントのアドバイザリー業務は続けながら、ISMS認証の維持をはじめ、NTTコムウェア自身の情報セキュリティ体制を強化することが木村の役割だが、情報セキュリティポリシーの抜本的見直しという大仕事に取り組み始めたのだ。
NTTコムウェアの情報セキュリティポリシーは、時代の変化や規格改正に合わせてアップデートされてきたが、土台は木村らが20年前に作ったときから基本的に変わっていない。それを20年振りに土台から作り直そうというのである。持株会社が情報セキュリティポリシーの抜本的見直しをグループ各社に要請したのがきっかけだ。
持株会社が情報セキュリティポリシーの“雛形”として提示したのは、米国政府機関であるNIST(National Institute of Standards and Technology:米国国立標準技術研究所)が公表するガイドラインをベースに、様々なセキュリティ基準を参考とした最先端のもの。先ほどのリスクアセスメントの考え方も含め、木村が描いていた理想像とも一致する。
この雛形をベースに、NTTコムウェアに適した情報セキュリティポリシーを2022年度中に策定し、適用していくことが木村の今一番のミッションだ。
「20年前の私は情報セキュリティについて、よくわからない状態で模索していました。しかし今ではたくさんの経験を通して、情報セキュリティに関する知識及び技能を適用する能力がかなり高まってきたと自負しています。それらを活かして、NTTグループの情報セキュリティ向上に貢献したいと考えています」
NTTコムウェアは、NTTグループ全体のDXを推進し、競争力強化、全体最適を牽引していくことが求められており、世界に約900社以上あるNTTのグループ会社におけるセキュリティの下支えをする役割も期待されている。
「20年振りの情報セキュリティポリシーの大改革に携われることができ、とても気持ちが高揚している」。こう語る木村は、NTTコムウェアだけではなく、グループ全体に寄与する情報セキュリティの土台作りに現在挑んでいる。