「NTT 〇〇」の社長全員・258人にインシデント対応研修を実施、その中身とは

NTTグループCISO／NTTセキュリティホールディングス株式会社代表取締役社長の横浜信一氏

　東京都内で10月21日～24日に開催されたサイバーセキュリティ専門のセミナー／展示会イベント「Security Days Fall 2025」ではさまざまな講演が行われたが、その中から本記事では「『社長、これだけは！』- NTTの社長研修：CEOに身につけて頂きたい最低限の知識とスキルとは」と題したセッションの内容をお伝えしたい。講演したのは、NTTグループCISO／NTTセキュリティホールディングス株式会社代表取締役社長の横浜信一氏だ。

　横浜氏は冒頭、「社長の本音」として、NTTセキュリティホールディングスの代表取締役社長になって分かったこととして「ほぼ全ての社長は（社長経験のない）ルーキー」と「社長業は総合格闘技」ということを挙げた。後者については、就任初日から「社長が決めてください」という相談が集中したという実体験が語られた。

社長として決断しなければならない項目は多く「総合格闘技」だという

「NTTの社長研修」のきっかけは、グループ会社による情報漏洩の重大インシデント

　講演のテーマである「NTTの社長研修」のきっかけとなったのが、2023年に明らかになった大規模な個人情報持ち出し事件だ。NTTグループCISOとして痛恨の事件だったという。

　原因は「内部不正」で、技術的対策だけでは解決は困難。人事、社風、カルチャー、社内コミュニケーションなど複合的な要素が絡むため、各社の実情に合わせた対策が必要となる。そこで、これをグループ会社の社長に考えてもらうための研修を企画したという。国内のNTTグループの全社長が対象だ。

「NTTの社長研修」の取り組みのきっかけは、NTTビジネスソリューションズ株式会社の運用保守業務従事者が不正に個人情報を持ち出した事件

　目的は、社長として身につけるべき基礎的なセキュリティマネジメントと知識の獲得と、万一のインシデント発生時にトップとしてのリーダーシップを発揮できるようにすることだ。

　DXを進めれば、当然ながら情報セキュリティインシデントが発生するリスクがある。この際に対応を誤れば会社をつぶす可能性もある。また、包括的なリスクマネジメントの一環として、これからの社会の経営陣に求められるスキルでもある。

　とはいえ、研修を受けてもらうには、多忙な社長らを惹きつける設計が重要となる。そこで内容を厳選し、今日から使える実践性、そして楽しさを設計に入れている。情報セキュリティ大学院大学と共同開発したマネジメント特化型プログラムをこのために用意したという。

多忙な社長らを惹きつけるべく、厳選した内容と実践を楽しく学ぶというコンセプトで、情報セキュリティ大学院大学とプログラムを共同開発した

連休直前に「ランサムウェアに感染したかも」との報告、そのとき社長が言うべきセリフとは？

　内容は座学と演習だが、事前に「会社で最も守るべきもの」「守るための取り組み」「情報資産漏洩が起きた際のあなたの役目」の3点を宿題として用意。これを小グループで意見交換した。

　その後、「リスクマネジメント」「インシデントマネジメント」についてそれぞれ座学と演習を行う。

　リスクマネジメントは、起こりうる確率と起きた時のダメージの大きさでリスクをマッピングし、セキュリティ対策の予算や人員などのリソース配分に優先順位を付ける考え方だ。

　サイバーリスクを他のリスクよりも特別扱いする必要はないが、インシデント発生時、被害者の企業は“加害者のように”振る舞わなければならないという。

　ここでは、実際にNTTの役員会で報告された19件の事象を使用した。横軸に「起こりうる確率」、縦軸に「起きた時のダメージの大きさ」をマッピングし、リスクを可視化している。

　マップの右上ほど発生確率が高く、発生時の影響も大きく重要であるため、予算や人員の配分はこの評価に基づいて優先順位を決定する必要がある。

　一方で、日本企業の経営者は「リスクは避けることが望ましい」という発想が根強く残っている。全てのリスクをマップの左下に集約したいと考えがちだが、それはリソース面で不可能であり、現場を疲弊させてしまう。また、サイバー犯罪は攻撃者が悪意を持って仕掛けてくるため、「リスクを避ける」発想は通用しない。

リスクマネジメントで必要となるヒートマップ。「ランサムウェア攻撃のリスクを減らせ」といっても、外部が悪意を持って仕掛けてくるものであるため、実現はほぼ無理だろう

　インシデントマネジメントは、シナリオに基づいた演習を通じて、社長がとるべき行動や発言をシミュレーションして、適切な対応を学ぶ。

　ここで「唯一の正解」はなく、社長のスタイルや状況によって対応は異なるが、定石はあることを学ぶとともに、シミュレーションと議論を通じて当事者意識を持った考えをしてもらうのが重要だという。

　演習では「金曜日の夕方に部下からインシデント発生の可能性について連絡を受けた」といったシナリオを設定。社長としてどのような発言や行動をとるか、あらかじめ用意された16種類の「セリフカード」から「望ましい発言」「望ましくない発言」「微妙」を選んでホワイトボードに貼る。他の参加者が貼り付けた意見に疑問がある場合は「？」のマグネットを貼って議論を活発化させている。

インシデントマネジメントとして「三連休前の金曜日の就業時間終了間際に届いたメール」を想定

社長としての16種類の発言を参加者がマッピングするが、他の参加者がそれでいいのかと「？」を付けて議論が行われる

　NTTグループは日本でも有数の“サイバー攻撃対象”であり、経験に基づき原則を整備している。これは「報告を受けたら報告者を褒める」「被害の最小化を大義として対応する」「隠し通すことは不可能であり、いつかは露見する前提で臨む」「開示は事実が確定して初めて成立するため、性急な開示要求と現場の収拾速度のトレードオフを理解する」となっているという。

　最後の点に関してコンサルタントは早期開示を勧めがちだが、原因究明前や被害未確定では開示が成立しないので、原因や被害を確定してから開示するべきだという。

　また、再発防止に関しては「二度と起こすな」という不可能命題を現場に課さないことが重要だという。これは「インシデントは自然災害同様、必ず起きる」ためで、ミッションインポッシブルを現場に課してはいけないと説明した。

258人の社長がいたら、対応策も258通り。社長が変われば対応も変わるはず

インシデントマネジメントの正解はないが、定石はあるという

　横浜氏自身、研修に講師として10回程度参加したという。NTTグループといっても、NTT東西のような大企業だけではなく多様な現場があるので、講師自身が最も学んだと感想を述べた。

　一方、NTTグループ各社の社長はほぼ5年で入れ替わる。このため、これからも毎年、社長研修を行う予定を示した。参加した社長から経営陣研修も含めたいというフィードバックもあったほか、外部の顧客にもこのプログラムを提供する予定だと説明して講演を終了した。

今回の講演で紹介された取り組みは、来年以降の新社長や経営陣に行うほか、外販も予定する