経営者が学ぶべき「有事の振る舞い」と、セキュリティの「かかりつけ医」（NTTセキュリティ・ジャパン 斉藤宗一郎さん【後半】）

Show Notes

前回（前半）は、セキュリティが技術的な問題から経営課題へと「潮目」が変わった背景と、人の弱さを前提に組織を守る「性弱説」という新たなアプローチについて深掘りしました 。 

▼前編はこちら 

「性弱説」で守る組織と人。経営課題となったサイバーセキュリティの現在地（NTTセキュリティ・ジャパン斉藤宗一郎さん【前編】）

Spotify | Apple Podcasts

今回はその続編として、より実践的な組織論とリーダーシップに迫ります。ぜひ後半をお楽しみください。

サイバーセキュリティが「経営課題」であるならば、経営層や監査部門は具体的にどう関与すべきなのでしょうか。そして、未知の領域である「生成AI」のリスク管理は誰が主導すべきなのでしょうか。

元資生堂グループCISOで、現在はNTTセキュリティ・ジャパンにてCISOアドバイザーを務める斉藤宗一郎さんをお迎えしたリニューアル第1回の後半戦 。 今回は、組織のガバナンス構造（3線モデル）の理想と現実、そしてNTTグループで実施されているユニークな「社長研修」のエピソードを通じて、組織全体でリスクに立ち向かうための実践的な処方箋を紐解きます 。

■□ ハイライト □■
「1.5線」のジレンマと、監査部門へのエース投入：

ガバナンスの基本である「3線モデル」に対し、多くの日本企業は現場とセキュリティ部門が入り混じった「1.5線」の状態に留まっています。この状況を打破するために斉藤さんが実践したのは、セキュリティ部門のエース人材をあえて「監査部門（3線）」へ異動させるという人事戦略でした。その意図と、組織全体にもたらす効果について解説します。

生成AIのガイドライン策定は誰の仕事か？ ：

生成AIのリスクは、技術的なセキュリティだけでなく、倫理（Ethics）、法務（Legal）、社会的影響（Social Impact）の「ELSI」を含みます。IT部門任せにするのではなく、経営戦略や法務部門がオーナーシップを持ち、多角的な視点でガイドラインを策定する必要性を議論します。

IT用語禁止？ NTTグループの「社長研修」： 

NTTグループで実施されている経営層向けセキュリティ研修では、あえてIT用語を一切使いません。学ぶのは技術ではなく「有事の振る舞い」。「復旧を急げ」「徹底的に調べろ」――社長の何気ない一言が現場を萎縮させ、証拠隠滅や判断ミスを招くリスクについて、リアルなシミュレーションを通して学びます。

平時の備えとしての「セキュリティのかかりつけ医」： 

サイバー攻撃を受けた際、初対面の専門業者（フォレンジックベンダー）に調査を依頼しても、ネットワーク構成の把握から始まり初動が遅れてしまいます。人間の医療と同じく、平時から自社の「健康状態」や「体質」を理解している信頼できるパートナー（かかりつけ医）を持つことの重要性を説きます。

＜ゲスト・プロフィール＞
斉藤 宗一郎（さいとう・そういちろう）さん 

NTTセキュリティ・ジャパン株式会社 CISOアドバイザー 日本IBM、米国の通信会社ベライフォンでのサイバーセキュリティコンサルタントを経て、資生堂にて6年間情報セキュリティ責任者（CISO）を務める。現場の運用からコンサルティング、そして全体を俯瞰するCISOまで、粒度の異なる視点を行き来する豊富な経験を持つ。

■□ 収録後記 □■
後半の議論で特に心に残ったのは、「有事の際の社長の一言の重み」です。自動車の運転でパニックブレーキを普段から練習していないと踏めないように、経営者もサイバーインシデントという「有事」のシミュレーションをしておかなければ、適切なアクセルとブレーキの判断はできません。 

また、話題に挙がった「かかりつけ医」の重要性は、生活習慣病の救急搬送における「最初の15分が生死を分ける」という医療の現実とも重なります。日頃からカルテ（ネットワーク図や構成）を共有できるパートナーの存在が、企業の命運を左右することを痛感させられる回でした。 

セキュリティはゴールではなく、終わりのない「ジャーニー（旅）」です。日々プレッシャーと戦う担当者の皆様に、心からのエールを送ります。

（JCGR編集部）