「性弱説」で守る組織と人。経営課題となったサイバーセキュリティの現在地（NTTセキュリティ・ジャパン斉藤宗一郎さん【前編】）

Show Notes

サイバー攻撃の手法が高度化・巧妙化する中、企業のセキュリティ対策は大きな転換点を迎えています。もはやIT部門だけで完結する技術的な課題ではなく、経営層がリーダーシップを発揮すべき「経営課題」としての認識が不可欠です。しかし、具体的にどのように経営層を巻き込み、組織全体の意識を変えていけばよいのでしょうか。

今回より、ジャーナリストの川端由美が新パーソナリティを担当。リニューアル第1回のゲストに、元資生堂グループCISOで、現在はNTTセキュリティ・ジャパン株式会社にてCISOアドバイザーを務める斉藤宗一郎さんをお迎えし、実務的な視点からセキュリティの最前線を語っていただきます。

前半となる今回は、セキュリティ対策の「潮目の変化」と、人を疑うのではなく弱さを前提とする「性弱説」に基づいたガバナンスのあり方について議論を深めました。

■□ ハイライト □■
経営課題へシフトする「チームスポーツ」としてのセキュリティ：
かつてはIT部門内で完結していたインシデント対応ですが、現在はサプライチェーン全体や経営層を巻き込む事案が増加しています。米国では「チームスポーツ」とも表現されるこの変化の中で、なぜ今、セキュリティが企業存続に関わる経営マターとなっているのか、その背景を解説します。

「見えないものは守れない」ランサムウェアと投資判断：
どこにデータがあるか不明確な状態では、リスクを管理することはできません。被害者でありながら加害者のような対応を求められるランサムウェア被害の特殊性や、経営層から予算を獲得するために有効な「PML（予想最大損失）」を用いた定量的な対話手法について掘り下げます 。

性悪説でも性善説でもない。「性弱説」のアプローチ：
日本企業になじみ深い性善説、あるいは厳格な性悪説ではなく、斉藤さんは「人は本来弱いものである」という「性弱説」を提唱します。不正のトライアングル（動機・正当化・機会）のうち、組織がコントロール可能な「機会」をテクノロジーでいかに減らし、社員を魔が差す瞬間から守るかという視点は必聴です。

IT部門任せにしない「データオーナーシップ」：
データの価値や鮮度（いつまで機密として守るべきか）を最も理解しているのは、IT部門ではなく事業部門（データオーナー）です。一律に鍵をかけるのではなく、ビジネスの現場が主体となって情報の重要度を判断し、適切な強度で守るための役割分担について語ります。

＜ゲスト・プロフィール＞
斉藤 宗一郎（さいとう・そういちろう）さん
NTTセキュリティ・ジャパン株式会社 CISOアドバイザー
日本IBM、米国の通信会社ベライフォンでのサイバーセキュリティコンサルタントを経て、資生堂にて6年間情報セキュリティ責任者（CISO）を務める。現場の運用からコンサルティング、そして全体を俯瞰するCISOまで、粒度の異なる視点を行き来する豊富な経験を持つ。

■□ 収録後記 □■
今回の対話の中で特に印象的だったのは、「ファイアウォールなどの防御壁は、防火扉のようなもの。利便性のために開けっ放しにしていては、いざという時に役に立たない」という工場になぞらえた例え話でした。
エンジニア出身の私（川端）にとって非常に腹落ちする説明であり、見えにくいデジタルのリスクを物理的な現場の安全管理に置き換えて考えることの重要性を再認識しました。また、「社員を監視する」のではなく、「弱い人間である社員を守るためにログを取る」という斉藤さんの温かい眼差しは、セキュリティガバナンスの冷たいイメージを覆すものでした。
後半ではさらに組織論に踏み込み、ガバナンスの構造や経営リーダーシップについて伺います。

（JCGR編集部）