日本DX大賞は、自治体や企業などのDXの推進事例から優れたDX事例を掘り起こし、広く共有する機会として2022年から実施しているコンテストです。2024年6月19日に開催されたMX(マネジメントトランスフォーメーション)部門では、デジタル化を通して企業風土や業務プロセス、意思決定に関わるワークフローなどの変革に取り組んだ企業を表彰しています。
自社で開発した「サイバーセキュリティダッシュボード」によって、グループ内企業の一般社員から経営層まで、データに基づく共通認識を形成したほか、セキュリティのリスク低減と意識向上も実現した、日本電気株式会社(以下NEC)の事例をご紹介します。
1. NECが直面していたセキュリティ課題
サイバー攻撃の脅威が日々高まる中、企業のセキュリティ対策は喫緊の課題となっています。しかし、多くの企業では経営層から一般社員まで、セキュリティリスクの共通認識を持つことが難しく、効果的な対策が取れていないのが現状です。
ランサムウェアと呼ばれる脅迫型のサイバー攻撃は、10数秒に1回のペースで行われており、特に人、システムの弱い部分から攻撃されるケースが多くあります。生成AIの発達により攻撃はますます高度化し、加速することが予想されます。
NECグループはグローバル全体で約11万人の従業員を擁し、連結子会社254社、20万を超えるITアセットを抱えており、エンタープライズ、パブリック、インフラに至るまで幅広く事業を展開しています。このような業態の企業は、さまざまな攻撃者のモチベーションにつながる要素を数多く有する、最も狙われやすい企業の一つと言えます。
このような状況下で、NECが直面していた主な課題は以下の3点でした。
- ガバナンス:グローバル全体で統一的な指標がなく、外部公開アセットの脆弱性を放置すると、攻撃を受け事案に発展してしまうリスクがある
- アカウンタビリティ:社会的要請の高まりは認識されているが、投資効果が見えづらく予算を確保しにくい
- アウェアネス:サイバー空間の不可視性がスキルや意識の欠如に繋がり、事件、事故を引き起こす場合がある
こうしたセキュリティ上の課題を解決するために、NECは、グループを取り巻くサイバー空間の状況、リスクと脅威をひと目で理解できるよう、「サイバーセキュリティダッシュボード」を開発。全社的な活用により、社長から一般社員までデータを共通言語としたグローバルなコミュニケーションを可能にし、データドリブンなセキュリティカルチャー変革に成功しました。
2. サイバーセキュリティダッシュボードの概要
サイバーセキュリティダッシュボードは、NECのサイバー防衛を司るCyber Defense-Gを中心に、業務の合間にプロトタイプを開発。CEOをはじめとした経営層とコミュニケーションを取りながら、本格的な開発を開始、信頼とフィードバックを得ながら拡大させていきました。
当初はセキュリティ専門家やWebエンジニア、元ゲームデザイナーなど7名程度からスタートしましたが、現在は20名程度が全体の2~3割の工数で自発的に規模を拡大しています。
(1)リスクダッシュボード:グループ内の各部門や会社ごとに、セキュリティレーティングという形で客観的なスコアを公開。リスクの発生箇所や件数、具体的なリスクと程度、対処状況を可視化しています。
(2)脅威ダッシュボード:NECグループが現段階で受けているサイバー攻撃の件数、防御できたフェーズをタイムリーに把握できるようにしています。社員の危機意識の醸成、投資家などへの説明にも役立てています。
(3)マネジメントダッシュボード:セキュリティ施策の効果を可視化し、組織のパフォーマンスを提示。推進者や経営陣への迅速なフィードバックを行います。
サイバーセキュリティダッシュボードのもう一つの重要な役割は、セキュリティ投資の必要性と効果を経営層に説明するためのツールとしての機能です。
サイバーセキュリティダッシュボードのもう一つの重要な役割は、セキュリティ投資の必要性と効果を経営層に説明するためのツールとしての機能です。経営層に対して施策の必要性とセキュリティ投資の効果をデータで説明できたことで、IT費用の10%以上の予算を確保。CISOへの月次報告や取締役会、株主総会や投資家への説明にも活用しています。また、「どこでどうブロックしているのか、分かりやすい」「投資効果がよく分かる」と、セキュリティに詳しくない方からもコメントをいただき、マネジメントレベルのコミュニケーションを活発にしています。
3. 全社員のセキュリティ意識向上への取り組み
全社員のセキュリティ意識を高めていかない限り、社内のセキュリティシステムをより強固なものにしたとしても意味がありません。NECグループでは、世界中に点在しているグループ企業に総勢700名ほどのセキュリティ推進者を各部門に配置。さまざまなセキュリティ施策を展開しています。
「全員参加のセキュリティ」を進めるにあたり、以下の3つの基本方針を立てて、それぞれに施策を立案・実施しました。
(1)啓発教育によるセキュリティへの間口拡大(Web教育・ディスカッション・オンボーディング)
教材として制作したWebサイトを使って、全従業員を対象にセキュリティ教育を行っています。また、各部署で年4回行われている、実際のダッシュボードを用いたセキュリティディスカッションを通じて、実態を掴んだ意識啓発を進めています。
さらに、人事部門とCISOが連携し、「新入社員からCISOに聞くセキュリティ10の質問」という企画を行いました。新入社員からの質問に対し、CISOの社員がダッシュボードを使いながら、グローバルにNECグループで実際に受けているサイバー攻撃のリアルタイムの状況やリスクを答えていくもので、セキュリティへの理解を新入社員にも広げています。
(2)訓練による注意喚起
役員を含めた全従業員に対して攻撃メール訓練を抜き打ちで実施しています。攻撃メール作成には生成AIを活用。トレンドを反映した文面にしています。生成AIを活用することで、メール作成にかかる工数を90%程度削減しています。
(3)セキュリティの日常への浸透
生成AIによる国内外で公開される記事やブログ、注意喚起などの要約・翻訳を配信しています。また、インターネット上で注目されているニュースをランキング化して画像と要約を生成。プロの声優によるニュース要約の読み上げ機能により、隙間時間で気軽に、まるでラジオや音楽を聴くようにセキュリティに関する情報に接することが可能です。
生成AIによる自動ニュース配信技術の効果としては、通常、制作費と運用費で月数100万程度がかかるところを、約10分の1程度の費用に抑えています。
4. 社内外での評価
セキュリティに対するアウェアネス向上の多様な施策を通して、社員からは「セキュリティを身近に感じられるようになった」などの好意的な意見が寄せられました。
また、セキュリティ意識調査のアンケートの結果、事故に対する危機意識が23ポイント上昇し96%に到達。
攻撃メールの抜き打ち訓練においては、各部門やグループ会社ごとの結果をサイバーセキュリティダッシュボードに公表するようになってから、訓練用の悪質なURLやファイルのクリック率が10%程度低下しており、社員の対応力が上がっていることが、実際の行動に示されています。
ダッシュボードは、セキュリティと関係のない職種からのアクセスも増えていて、全体の累計アクセス数が25万件を突破するなど、社員の日常にセキュリティへの意識が溶け込んでいることが分かります。
サイバーセキュリティダッシュボードの取り組みは、協業ベンダーやサプライチェーン、管轄省庁とのリスクコミュニケーションだけでなく、テレビ番組やプレスリリース、公式ブログでの紹介など、社会への発信においても重要な役割を担っています。
ESGの観点から、企業の持続可能性(サステナビリティ)を評価し、優れた企業を選定するDow Jones Sustainability Indices(DJSI)では、セキュリティ項目において2年連続で100点満点を獲得しているほか、
日本IT団体連盟のサイバーインデックス企業評価においても3年連続で最高位の評価を得ています。
NECにおける、サイバーセキュリティダッシュボードをはじめとしたセキュリティへの取り組みは、先進的な事例として社内はもちろん、外部にも積極的に紹介しており、多様な団体から評価を受けています。
5. 今後の展望
これからデジタル技術がさらに進化するにつれて、デジタルアカウンタビリティはますます重視されるでしょう。NECはデータに基づく正確な情報発信が社会からの信用獲得の鍵になると考えています。サイバーセキュリティダッシュボードを通じて、セキュリティが全員参加で取り組むべきものであることを広め、より一層のセキュリティパフォーマンスの可視化と強化を実現していきます。
NECは今後も、サイバーセキュリティダッシュボードの機能改善をアジャイルに進めていきます。また、セキュリティへの投資を適切に行い、NECの社内での実践で得られた多様な知見を取引先企業やステークホルダー、社会に還元します。
6. まとめ
NECのサイバーセキュリティダッシュボードは、経営層だけでなく世界中のグループ全社員のセキュリティ意識向上にも活用されています。セキュリティの共通言語として、単なる技術的ソリューションを超えて、組織全体のセキュリティ文化を変革するツールとなっています。
サイバーセキュリティダッシュボードは、 セキュリティリスクの可視化、社員同士や社員・経営層間のグローバルなコミュニケーション、ステークホルダーへのアカウンタビリティの向上、グループ全社員の意識改革を同時に実現します。全社員が閲覧可能なダッシュボードを使って情報を発信し、セキュリティ意識を変革するという考え方は、社員のセキュリティのアウェアネスに悩む企業の参考になるでしょう。