企業の「かかりつけ医」
として、セキュリティを
守り続ける

2026年、セキュリティ対策が取引条件になる時代が始まっています。経済産業省がセキュリティ評価を制度化したことにより、星3・4の取得がサプライチェーン参加の必須条件となりました。本日はそんな企業のセキュリティを「かかりつけ医」として支える2人の専門家にお話を伺います。まず、お二人が日々感じているセキュリティの現状について教えてください。

昨今、大企業も中堅・中小企業もさまざまなところで攻撃が行われていて、それがお客さまの業務に直結しているというのをひしひしと感じています。以前は2015年頃であれば、国や大きな組織を狙った攻撃が主流でしたが、今やどの企業であっても攻撃の対象になり得る状況です。もしかしたら我が社も狙われるかもしれない ― そういった危機感が広がっています。

RaaS、いわゆるランサムウェア・アズ・ア・サービスといって、攻撃をサービス化するものが出てきています。攻撃者が作ったスクリプトをダークウェブなどで販売することで、あまり知識がない人でも攻撃を簡単に行えてしまう。つまり、攻撃手法が多様化しているだけでなく、攻撃者そのものも多様化しているんです。「明日は我が身」ではないですけれども、本当に自分事として考える時代が来たんじゃないかなと感じています。

サプライチェーンへの攻撃が増えているということですが、具体的にどのような変化があるのでしょうか。

大手企業がメインターゲットだったところから、その取引先、つまりサプライチェーンの中の中堅・中小企業が狙われるケースが非常に増えています。なぜかというと、大手企業を直接攻撃するよりも、セキュリティ対策が手薄な取引先から侵入する方が容易だからです。一社のセキュリティ事故が、連鎖的にサプライチェーン全体に影響を及ぼしてしまう。これはもうIT部門だけの話ではなく、経営の話になっていると言っても過言ではありません。

お客さまからよくいただく声として、「何からやっていったらいいのか分からない」というものがあります。経産省の制度として枠組みはあるけれども、じゃあ自分たちのところは何からやるんだっけ、何ができていないんだっけ、というところが分かっていないんです。

特に中堅・中小企業のお客さまは、情シスの方が兼務でやっていらっしゃるとか、一人でやっていらっしゃるとか、結構社内で孤立してしまっているような感じを持っています。相談先がないとか、個人のスキルが足りていなくて手が回らないとか、体制が足りていないとか。そこがやっぱりつらいポイントでありますし、上層部へのエスカレーションもなかなか難しい。そういったところにうまく寄り添ってあげる存在というのが必要なんじゃないかと感じています。

御社では、伴走型セキュリティ対策支援サービスを医療に例えて紹介されていますね。なぜ医療なのでしょうか。

やはりセキュリティという言葉は、経営層にとっても技術の方にとっても取っつきにくい。難しい専門用語や横文字もかなりありますので、なかなか馴染みづらいところがあります。そこを身近に感じてもらうために、医療という言葉を使わせていただいています。

地域のクリニックに行くと、まず診察を受けますよね。時には病院に行って手術を受けたりする。医療が診察から始まって、治療としての手術、その後の体質改善といった一連の流れが、まさにセキュリティと一致する、あるいは非常に近いと感じたんです。

今回のサービスでいうと、まずは診察をして、治療後の計画、いわゆる体質改善を行う ― いわゆる「かかりつけ医」です。

お客さまから「相談先があるというのはすごくありがたい」という声をいただいています。本当にそこにマッチしたサービスができたんじゃないかなと感じています。また、経営層の方向けに、自分たちがどうなっているのかを可視化するようなものがあると、情シスの方も説明しやすくなる。そういった支援ができていることにも手応えを感じています。

経営層は数字的なところをよく気にされます。セキュリティ対策ができている、できていない ― 何をもってできているのか、どれくらいできていないのかが分からないというのは非常に大きな課題です。我々のサービスでは「可視化」にこだわっていまして、脆弱性がどれくらい出てきているかを数値化したり、経産省の星3・4のチェック項目に応じたヒアリング項目も作っています。定性的な可視化と定量的な可視化、どちらの部分についてもご提示できるサービスになっています。

星3・4の制度について、企業はどの程度理解しているのでしょうか。

お客さまのところに伺うと、制度の仕組み自体は知っている企業も多いのですが、「じゃあ自社はどこまで目指さなければいけないのか」「星3・4って具体的に何をするの？」というところが、やはり曖昧なところが多く見受けられます。サプライチェーンに関わる企業が対象で、発注元が発注先に対して星3レベルを要求するとか、その軸になるのは、取引先が攻撃を受けて業務が止まった場合にどれくらい影響を受けるかという点です。

だからこそ我々は、同業他社や同規模の企業がどの程度の対策を行っているかという「ベンチマーク」もお見せするようにしています。自社だけでは判断が難しいことも、業界の中での立ち位置が見えることで、経営層にも情シスの方にも、具体的な行動につなげていただける。「今これくらいできていないんです」という現状と、「ここまで上げないといけない」という目標を同時に見せられることが、我々のサービスの強みだと考えています。

西田さんから見て、手柴さんはどのような存在ですか。

本当にクリティカルな部分にすぐ気づいてくださって、サポートしてくださるところがすごいですね。自分たちの業務に集中していると、どうしてもフォーカスしすぎて全体が見れなくなることがあるんです。そういったところでピンポイントで「これ大丈夫？」とすぐ入ってきてくださるので、プロジェクトを進める上で本当に頼りになる存在です。

私の印象に残っているプロジェクトは、入社2年目の時に携わったエンドポイントセキュリティの導入です。約4万台の端末に対してセキュリティを高めていくというプロジェクトのリーダーをやらせていただきました。お客さま先の検証室に籠もって、メーカーさんとも話し合いながら、こういったものを検証した方がいいんじゃないかとか、なぜ上手くいっていないのかを、ずっとトライ・アンド・エラーを続けていきました。

そのプロジェクトでは、事前の検証から構築、運用まで一通り携わりました。運用の中でさまざまなトラブルがあり、私のミスによってお客さまにご迷惑をかけてしまったことも多々ありました。しかし、いかにミスを減らすかという視点は、結局セキュリティ事故の防止にもつながります。設定ミスによって攻撃者に脆弱性を突かれるということにもなりかねない。あの当時の経験は、今の自分にとって非常に大きな財産になっています。

西田さんはいかがですか。印象に残っているプロジェクトは。

全社的な振る舞い検知の対策導入を実施したことがあります。異常な振る舞いを検知してアラートを出す対策なのですが、当時は「ルールだから」という方針で全社導入する話でした。すると部署ごとに「自分たちはこういうことをやっているから入れなくていいんじゃないか」という反応があり、なかなかスムーズに進まなかったんです。

そこで私が心がけたのは、「ルールだから」ではなくて、なぜ入れなきゃいけないのかを真摯に伝え抜くことでした。個人的に大事にしていることが、「自分がされて嫌なことは人にしない」ということ。自分が納得できないものに対しては、人も納得できない。だからこそ、相手の立場に立って、納得できるように説明していく。そうやって各部署の方々と対話を重ねて、最終的にプロジェクトを完成させることができました。

直近で取り組まれていることはありますか。

直近では、ゼロトラストに基づいた構築・運用をやらせていただいています。ゼロトラストは「何も信頼しない」という考え方で、より高度なセキュリティ対策が求められる概念です。このモデルを採用するお客さまが最近増えてきており、その構築・設計・運用に携わっています。攻撃にはさまざまな手法が出てきますので、それに対する新しい防御策もしっかり取り組んで、お客さまに還元していけたらと思っています。

セキュリティの人材が日本全体で不足しているという大きな課題もあります。社内の人材育成はもちろんですが、伴走型セキュリティ対策支援サービスを通じて、お客さまにもセキュリティのリテラシーや知見を還元していきたい。それが長期的に日本のセキュリティレベルを上げることにつながると信じています。

最後に、この記事をご覧になっている方に向けてメッセージをお願いします。

NTT西日本グループは、これまでフレッツ光や音声といったインフラの会社と思われてきたかもしれません。しかしこれからは、伴走型セキュリティ対策支援サービスを皮切りに、セキュリティ対策も含めて一つのインフラとして、お客さまの事業を支える役割を担っていきたい。セキュリティ対策のことでしたら、ぜひNTT西日本にお声掛けいただきたいと思っています。

私たちはお客さまに寄り添いながら伴走し、不安や課題を一緒に解決いたします。セキュリティに対する不安を解消しながら、お客さまが前向きにセキュリティに取り組める環境を作ることが我々の提供価値です。ぜひお声掛けください。