ランサムウェア攻撃、サプライチェーン攻撃などセキュリティ脅威は拡大を続けている。野村総合研究所（NRI）グループのNRIセキュアテクノロジーズ（NRIセキュア）は、コンサルティング、マネージドセキュリティサービス、ソリューション開発など多岐にわたるセキュリティ事業を展開し、顧客のセキュリティ対策の強化を支援している。1月、社長に就任した建脇俊一氏は、より組織を成長させるために、人材育成、事業の拡大、グループ間の連携強化などを推進し「安全安心な社会の実現」を目指していく考えだ。
（取材・文／岩田晃久　　写真／大星直輝）

組織を1000人規模に拡大へ

──1月に社長に就任されました。これまでの振り返りをお願いします。

　責任も大きくなり、やることも増えたと実感しています。就任後は、いろいろなお客様を訪問しました。その中で、当社の現場スタッフが日々、しっかりと支援できていることを評価してもらえました。同時に、これまで以上に期待する声もいただいたので、しっかりと応えていきたいという思いです。

──自社の強みを教えてください。

　コンサルティング、ソリューション開発から導入・運用、ソフトウェア開発、セキュリティ診断、教育など広範なケイパビリティを持っていることが特徴の一つです。そして、これを支えるのが独自のセキュリティインテリジェンスとなります。脅威情報はもちろんですが、法規制や社会動向、セキュリティ技術、市場動向などを高度な知見として蓄積しています。セキュリティインテリジェンスはわれわれの事業の源泉となるので、今後も強化していきます。

　また、ビジネス構想の上流工程からセキュリティを検討するお客様が増えている中で、NRIのコンサルティング事業やソリューション事業と連携し、ビジネスプラットフォームにセキュリティを組み込むといった取り組みができるのも当社の強みです。

──組織を強化するためにどういった取り組みを推進しますか。

　現在、連結での従業員数は721人（23年7月1日現在）ですが、1000人規模まで拡大させる予定ですので、その規模に耐えられる仕組み、インフラ、風土づくりに取り組んでいます。

　人材面では、先ほど述べた広範なケイパビリティがあるので、それぞれの現場で経験を積めますし、リーダーやマネージャーといった責任あるポジションに若手を積極的に起用することもしています。研修は年間での目標時間を設定し、会社がサポートしながら勉強時間を確保できるようにしています。こうした環境を用意することで、社員の成長を促進します。

　セキュリティ事業者は、世の中の脅威動向に合わせた柔軟性や機動性が重要です。会社の規模が大きくなっても、その部分は損なわれないように心掛けていきます。

──事業面ではいかがでしょうか。

　中核ビジネスである、コンサルティング、DXセキュリティ、マネージドセキュリティサービス、ソフトウェア開発の四つの事業をしっかりと成長させていきます。加えて、デジタルトラストの観点で重要となる、データ保護、アイデンティティ管理、セキュリティ管理、といった領域の事業を拡大させて、デジタル社会の実現に貢献したいです。

　また、法改正や政策、制度の変更に伴うセキュリティ強化が求められるケースが増えているので、それに対応するセキュリティサービスを提供していくのも重要だと考えています。

　NRIグループの中での役割としては、セキュリティトラスト機能をNRIのビジネスプラットフォームに実装してNRIのソリューションの価値を高めていくことがわれわれの役目ですので、しっかりと取り組みます。

DXの流れを攻撃者が利用

──ランサムウェアによる被害やサプライチェーンを狙った攻撃など、セキュリティ脅威が拡大しています。現状をどのように分析されますか。

　ICTサプライチェーンは、クラウドやサードパーティー製品の増大で、サービス環境が複雑化しています。このため、新たな脆弱性が生まれアタックサーフェスが増加しています。加えて、AIがサイバー攻撃の武器として利用されるようになっていますし、IT利用者を巧みにだます犯罪も増えています。現在は、DXへの取り組みが進み、デジタルが社会を変革する時代となりましたが、一方で、その流れを攻撃者が活用している状況だと捉えています。

──IoT環境に対するセキュリティ強化にも取り組まなければならない状況です。

　IoTでさまざまなモノがネットワークに接続され情報・データが活用されますが、特性を踏まえたセキュリティの確保が不可欠です。IoT機器の中には、ライフサイクルが10年以上とITシステムに比べて長いものが存在し、そのため時間の経過とともに、セキュリティ対策が不十分になってしまう傾向があります。さらに、IoT機器では機能やリソースが限られてしまうケースがあるため、暗号化やマルウェア対策、ロギングといったセキュリティ機能を実装する場合には、IoT機器特有の制限を考慮する必要があります。

　当社は、IoT/OT（制御技術）向けのセキュリティ支援を10年以上前から始めており、18年にはデンソーと合弁会社のNDIASを設立するなどして、支援実績を積み重ねてきました。自動車業界では、自動運転に対応した法規制の影響で一定のセキュリティ対策を行うことが求められるようになりましたが、自動車以外の業界ではこれからといった印象です。

　自動車業界向けの支援で培ったIoT/OT領域でのノウハウを基に、各社のセキュリティ状況を診断し、セキュリティ強化を進めるためのロードマップの策定や独自のコンサルサービスの提供、マルチベンダーの立場でそれぞれの企業に適したソリューションをインテグレーションして導入から運用維持するといった支援を行います。

──多種多様なセキュリティ製品を扱っていますが、ユーザーの需要は変化していますか。

　当社では毎年、「企業における情報セキュリティ実態調査」を実施しています。最新の調査結果を見ると、エンドポイントではEDR（Endpoint Detection and Response）製品の利用が大きく進んでいます。クラウドセキュリティでは、ユーザーのクラウド利用の可視化や制御を行うCASB（Cloud Access Security Broker）、ID・アクセス管理のIDaaS（Identity as a Service）といったサービスの導入を検討するお客様が増加傾向にあります。新しい対策としては、クラウド環境のセキュリティの設定状況を継続的に評価するCSPM（Cloud Security Posture Management）への関心が高まっています。

　今後は、セキュリティ業務でAIを活用するサービス、サプライチェーン全体やサードパーティーのセキュリティを統制管理するようなサービスなどの需要が拡大していくとみています。

業界全体での支援が必要

──パートナーとはどういった取り組みをされていますか。

　サプライチェーンリスクの高まりなどにより、大手企業だけがセキュリティ対策を実施すればよいという時代ではなく、あらゆる規模の企業がセキュリティ対策に取り組み、社会全体のセキュリティレベルを上げていく必要があります。これを実現するには、パートナーの力が不可欠ですので、今後も積極的に連携を図っていきます。

──ラックやグローバルセキュリティエキスパート（GSX）といったセキュリティベンダーとの協業を進めています。競合のイメージも強いですが、その狙いを教えてください。

　22年4月にラック、GSX、当社の3社が発起人となり、任意団体サイバーセキュリティイニシアティブジャパン（CSIJ）を設立しました。主な目的は、新たな領域にフォーカスしたサイバーセキュリティ対策の実装支援、それに必要な人材の育成と輩出に業界全体で取り組むことです。現在は、20社以上が会員となっています。業界が一丸となり、セキュリティ強化や人材育成の支援をお客様に提供することで、社会全体のセキュリティレベルの底上げが図れると信じて活動します。

　CSIJの活動以外にも、業界全体でしっかりとセキュリティに関する啓発活動をしていくのも大切なことです。さまざまな手段を使って多くの機会をつくっていきます。

──今後の抱負をお願いします。

　社員一人一人の成長が当社の成長につながりますし、当社の成長はNRIグループの発展を支えるエンジンとなり、お客様のビジネスの健全な成長を支援できます。この好循環を生み出すことで、安全安心な社会の実現を目指します。

眼光紙背 ～取材を終えて～