日本電気株式会社（NEC） 青木 聡様 インタビュー

導入：組織と役割について

Q サイバーセキュリティへの取り組みの中で、貴部門が果たす役割とはどのようなものでしょうか？

サイバーセキュリティ部門（サイバーセキュリティ技術統括部）において、大きく二つの役割を担っています。
1つは、お客様にセキュアな製品・システム・サービスを提供するためのセキュア開発・運用の推進の役割です。NECでは、セキュリティ・バイ・デザインの考え方に基づき、企画提案から設計・構築、運用保守まで、全てのフェーズにおいて、セキュリティ実装プロセスを組み込んでいます。当統括部では、セキュリティ実装のための管理規程や実施基準、技術ガイド、チェックリストなどの策定に加えて、実装のための手法の研究やツール開発なども行っています。また、全社的な推進体制を構築し、各事業部門に配置したセキュリティ責任者との連携により、セキュア開発・運用の実施状況の一元管理・可視化、改善に向けた指導や支援も行っています。セキュリティ・バイ・デザインを実践できる人材の育成についても担っており、NECグループのサイバーセキュリティ人材育成のCoE（Center of Excellence）として、育成プログラムの開発だけでなく組織内のジョブローテーション・OJDによる実践力の育成も行っています。
もう1つは、インシデント対応です。お客様がインシデントに遭われた際に、初動対応の助言、フォレンジック調査による原因究明、対策内容の提案をサポートしています。

Q 全てのフェーズでセキュリティ・バイ・デザインの適用をするために苦労した点は何でしょうか？

私たちがセキュア開発・運用に取り組み始めたのは2000年代初頭で、すにで20年以上の実績があります。現在のルールや実装のためのツールなどが当初から揃っていたわけではなく、段階的に整備し積み上げてきました。
長年の実践知をもとに、2022年9月に全社員向けに「サイバーセキュリティ管理規程」を制定し、2023年10月から施行しています。これまで、管理規程の周知、理解促進、徹底を図るために、さまざまな工夫をしてきました。幅広い業界や業種に対応するために、あえて汎用的な内容でまとめているため、現場での運用プロセスの構築や管理規程を補完する追加のルールやガイドラインの設定は、各組織で実施してもらっています。そのため、各統括部に配置したセキュリティ責任者の役割が重要になっており、我々のセキュリティ専門部隊と連携して、セキュリティ・バイ・デザインを適用するためのスキルの習得が重要になっています。

Q 改善事例として成果が上がったものはありますか？

セキュリティ実装プロセスの推進や実践できる人材の育成に関しては、常に現場の声を収集しながら改善を繰り返しています。特に、人材育成については、セキュリティ実装に必要なスキルの習得を目的に資格取得の促進を図っており、登録セキスぺの資格取得者は着実に増えています。その他のセキュリティ関連試験の合格者も年々拡大しており、確かな成果が出ています。
また、セキュリティ専門の部門だけでなく、事業部門側にも有資格者を配置することが重要だと考えています。各組織に所属する社員がどのような研修を受け、どの資格を保有しているかを把握・管理するために「タレントダッシュボード」を設けており、育成計画立案などに活用しています。これらの取り組みの効果もあり、事業部門側でも多くの社員が資格を取得しており、これまでセキュリティの専門資格に馴染みのなかった人にも、資格取得の意義を理解してもらえるようになってきています。

組織としてのサイバーセキュリティ戦略

Q NECグループ内でのサイバーセキュリティ人材の重要性は、どのように高まっていると感じますか？

NECでは、「安全・安心・公平・効率」という社会価値の創造を通じ、持続可能な社会の実現をPurposeとして掲げており、安全・安心な社会の実現のために、高度なセキュリティ人材の育成は不可欠と考えています。2022年から「サイバーセキュリティ管理規程」を全社員向けに定め、セキュリティ実装の推進体制を構築し人材育成に取り組んでおり、システムインテグレーターとして、お客様のシステムに携わる社員にとって、セキュリティのスキルは必須と考えています。
また、昨今では、高度化・巧妙化するサイバー攻撃の脅威が経済安全保障上の重要課題になっていることから、NECでは2025年5月に「.JP（日本のサイバー空間）を守る」をスローガンとして日本のデジタルインフラの安全性確保に貢献するための事業強化を行いました。変化し続ける社会情勢やビジネス環境に即したセキュリティ対策の実践的なスキルを持つ人材の育成が、ますます重要となっています。

Q 全社員向けの「サイバーセキュリティ管理規程」とは？

「サイバーセキュリティ管理規程」は、お客様に提供する製品・システム・サービスに対してセキュリティ実装を徹底するための仕組みを構築することを目的とした社内規程です。セキュリティ実装に関わる全社員を対象としており、管理規程には、推進体制として各統括部へセキュリティ責任者を配置すること、その役割も定めています。また、これを補完する実施基準やマニュアル、技術ガイドなども策定しています。各統括部のセキュリティ責任者が、各フェーズのセキュリティ実装状況確認するための約400項目のチェックリストがあり、これをシステム化して可視化できるようにしています。

登録セキスペ制度の活用

Q 登録セキスペ資格取得者は、社内のどのような場面で活躍していますか？

登録セキスペ資格取得を目指して体系的にセキュリティ技術を学び、資格取得後は、各部門内に設置しているセキュリティ責任者としてセキュア開発やセキュリティ提案を推進する役割を担って活躍している社員もいます。

Q 登録セキスペの知見や倫理規定が、NECの業務品質・信頼性向上にどのように寄与していますか？

お客様へのセキュリティ提案、セキュリティ実装や運用など、システムインテグレーターとしてセキュア開発を推進・実施する上で役立っていると考えています。

Q 登録セキスペがいる組織といない組織の違いはありますか？

まず、情報セキュリティを体系的に理解しているかどうかで、セキュア開発を推進・実施するうえで少なからず違いが生まれるのではないかと感じています。
資格を取得するために、これまで知らなかった用語や対策手法などを覚えたり、実際に対策適用する環境や活用シーンを学習したりすることで、自身が携わるシステム提案や開発運用で活きてきます。

人材育成・キャリアパス

Q 若手エンジニアがセキュリティ領域で成長していくうえで重要な姿勢・習慣は何だと思いますか？

知識欲は重要な姿勢だと思います。日々変わるセキュリティの動向や新しい技術に触れながら、気になったことや疑問に思ったことを少し深く掘り下げてみることをお勧めします。その背景にある理由やつながりを考えていくことで、より理解が広がっていくはずです。
また、自身のスキル・知識習得の現在地を知るために、登録セキスペなどの資格取得にチャレンジする姿勢も重要だと思います。

現場の課題と展望

Q.サイバーセキュリティ人材の育成や確保において直面している課題はありますか？

システムエンジニア、開発者、営業など、サイバーセキュリティを専門としない職種の社員にも、日常業務と並行してセキュリティの知識を学ぶ時間を確保してもらう必要があります。しかし、セキュリティは技術範囲が非常に広いため、効果的かつ効率的な教育プログラムを設計し、提供することが難しいと感じています。
このような課題に対して、当統括部では、サイバーセキュリティ専門のタレントマネジメントグループを立ち上げ、セキュリティ・バイ・デザインを実践できる人材の育成に必要なプログラムを提供するだけでなく、組織内への網羅的な配置まで、包括的な人材育成体制を確立しています。

Q 今後のNECグループとして、サイバーセキュリティ人材にどのような活躍を期待していますか?

NECグループでは、20年以上にわたり、セキュア開発・運用を実践してきた歩みを経て、いかなる製品・システム・サービスにおいてもセキュリティはなくてはならないものになってきています。
その中で、営業部門と技術部門（システムエンジニア・開発者）がセキュリティ知識を理解した上で、提案、システム構築、ソフトウェア開発に取り組むことで、より安全・安心な製品・システム・サービスを提供できると考えています。

受験者・若手技術者へのメッセージ

Q これから登録セキスペを目指す方へ、どのようなマインドセットを持つと良いでしょうか？

セキュリティの脅威は日々変化しています。新たな脆弱性や攻撃手法、技術の進歩に対応するためには、常に情報を収集し、学び続ける姿勢が欠かせません。そのため、継続的な学習を支える好奇心や、セキュリティへの強い関心を持つことが何より重要だと思います。

Q 資格取得後に広がる可能性について、メッセージをお願いします。

資格を取得すると、周囲からはセキュリティに関する確かな知識と技術を備えた専門家として認識されるようになります。それに伴い、システムの設計や運用、日常のセキュリティ対策に関する相談や意見を求められる機会も増えていくでしょう。
また、登録セキスペ同士でつながり、情報交換や活動を通じて新しい知識や刺激を得られることも大きなメリットです。
資格取得によって得た自信を糧に、ぜひさまざまなことに挑戦してみてください。きっと活躍の場がさらに広がっていくはずです。