ニュース
NEC、サイバーセキュリティ事業を推進する「NECセキュリティ株式会社」を設立
実データを起点にした「データドリブンサイバーセキュリティサービス」を提供
2023年3月31日 06:15
日本電気株式会社(以下、NEC)は30日、同社グループ全体のサイバーセキュリティ事業を推進するNECセキュリティ株式会社を、2023年4月1日付けで発足すると発表した。
NECグループのサイバーセキュリティ専門企業であるインフォセックを母体とし、同社の社長兼CEOを務めている北風二郎氏が、新会社の代表取締役社長に就任。資本金は3億円、社員数は240人でスタートする。インフォセックの160人に加えて、NEC本体、NECソリューションイノベータ、NEC通信システムなどのグループ企業から80人が出向することになる。2023年4月から提供を開始する「データドリブンサイバーセキュリティサービス」を事業の中核に置き、2025年度には、同サービスにおいて220億円の売上規模を目指す。
北風社長は、「NECセキュリティでは、データドリブンサイバーセキュリティサービスの開発、提供を行うことになる。企業や団体が抱えているセキュリティ人材の問題、運用やマネジメントの問題、経営につなげるための課題解決がミッションになる。NECグループが、サイバーセキュリティ経営のプロフェッショナルの集団であることを自負しながら、リアルデータの力でお客さまの成長を支えていく」と抱負を述べた。
また、NEC サイバーセキュリティ事業統括部 ディレクターの後藤淳氏は、「NECセキュリティの発足にあわせて、NECグループのサイバーセキュリティ事業推進体制を刷新。NECグループを横断したセキュリティCoE(Center of Excellence)も同時に発足し、事業推進体制を強化する。NECグループのセキュリティ事業ポートフォリオを、データドリブンサービス中心に変革し、さらに、新サービスを提供するための高度セキュリティ人材も拡充していく」と述べた。
2023年4月から提供を開始する「データドリブンサイバーセキュリティサービス」は、企業が保有する実データを起点に、セキュリティ戦略の策定支援から、導入、運用、監視、対処までをエンドトゥエンドで提供。専門家の知見に基づく分析と、ダッシュボードを中心とした監視・分析サービスを用意するとともに、設計・運用改善コンサルティングや、各種セキュリティ対策サービスも提供する。
NECの後藤ディレクターは、「どのような攻撃を受けているのか、どの対策が機能して攻撃を防いでいるのかなど、さまざまな実データを横断的に分析し、ダッシュボードで可視化することで、セキュリティ対策の全体最適化を図る。また、中長期的な改善サイクルを回すことにより、企業や団体のセキュリティガバナンスの強化、経営リスクの低減、効果的なセキュリティマネジメントの実現が可能になる。経営視点も含めた改善を提案できる」とした。
データドリブンサイバーセキュリティサービスのメニューは、コンサルティングサービスを含めて、今後、順次拡充していくことになる。
さらに、新会社ではマネージドセキュリティサービスやテクニカルコンサルティング、サービスデリバリー、サービスプラットフォーム開発、SOCの提供なども行うことになる。
NECの後藤ディレクターは、「リアルな運用監視データを起点に、経営者目線で分析し、全体最適のアーキテクチャーの実現や運用プロセスの改善を促し、継続的かつ実践的なセキュリティリスクマネジメントを実現する」と述べた。
セキュリティログを自動収集、分析、可視化するサービス基盤と、セキュリティ課題に関する知見を引き出し、企業戦略につなげることができるセキュリティ高度専門人材を強化。「サイバーセキュリティデータサイエンティストにより、単にログのなかからインシデントを見つけ出し、通報するだけでなく、いかに経営のリスクマネジメントに生かすかという視点でアドバイスしたり、サービスを提供したりといったことを目指す。さらに、テクニカルコンサルティングやサービスデリバリーといった人材リソースも拡張する」と述べた。
NECセキュリティの強みとして、「NECグループでのセキュリティ対策の実績および知見」、「政府機関や民間企業へのデリバリーおよび運用の豊富な実績」、「高度なサービス提供を支えるセキュリティ高度専門人材」の3点を挙げた。
ひとつめの「NECグループでのセキュリティ対策の実績および知見」では、NECグループの従業員12万人による情報セキュリティ基盤の構築、運用の知見を活用。「セキュリティダッシュボードの提供をはじめとして、実運用で生まれたノウハウやツールを提供し、可視化することで経営層がセキュリティに関する判断をできるようにする。ここに強みがある」(北風社長)とした。
NECグループの企業とも連携を推進する。経営観点でのコンサルティングにおいてはアビームコンサルティングと連携。デリバリーやソリューション開発ではNECソリューションイノベータ、ネットワーク系のデリバリーではNEC通信システムと連携する考えも示した。
2つめの「政府機関や民間企業へのデリバリーおよび運用の豊富な実績」においては、インフォセックが約20年間に渡り、政府機関および重要インフラ企業に対してセキュリティサービスを提供し、SOCおよびMSSの導入が約200サイトに達している実績を強調。「今後、データドリブンによる可視化と分析する能力を強化することができ、新たな価値を提供できる」と述べた。
3つめの「高度なサービス提供を支えるセキュリティ高度専門人材」としては、NECセキュリティ社内に、国際資格であるCISSP資格保有者が70人以上となることを示し、「セキュリティに関するコアエンジニアが結集しており、さらにNECグループのリソースも活用した形でサービスを提供できる」とした。
なお、NECグループ全体でも、セキュリティ資格保有者の拡充に取り組んでおり、国際資格であるCISSP資格保有者は300人以上となっている。2025年度には450人に拡大する計画だ。
NECでは、サイバーセキュリティ事業全体で、2025年度に500億円の売上高を目指す計画だ。2021年度比で2倍に拡大することになる。
NECの後藤ディレクターは、「業務DXが急速に進む一方で、経済目的でのサイバー攻撃が激化しており、あらゆるシステムやデータが標的となり、企業の事業継続が脅かされている。日本の企業においても、サイバー攻撃の影響により、基幹システムが停止し決算発表を延期したり、国内十数工場が稼働停止になったりといったように、経営にインパクトを及ぼす被害が発生している。また、ひとつの企業に閉じない被害が増加している点も見逃せない。しかも、境界線があいまいになり、データの広がりとともに対策箇所も分散。ハイブリッドクラウド環境の進展により、システム全体でのセキュリティ運用、監視が困難になっている。さらに、運用プロセスが十分に考慮されず、現場の実態が把握できず、セキュリティリスクが潜在化し、インシデントの早期発見、早期対処が困難であるという課題もある」と指摘。
「これらの状況を解決するには、データドリブンでの課題解決が必要であり、網羅的なデータの集約や、リスクの可視化と実践的な対策および改善に取り組まなくてはならない。網羅性や可観測性の高いセキュリティリスクマネジメントと、セキュリティリスクを経営イシューとして把握することが大切である」と述べた。
NECグループでは、ダッシュボードを活用したセキュリティリスクの可視化に取り組んでおり、サイバー攻撃の状況や脅威の動向など、リアルな実態を表示する一方、第三者レーティングと、指摘リスク対応状況をスコアによって可視化し、リスク低減に向けたアクションを加速。ダッシュボードによる可視化からアクションにつなげるセキュリティ経営を実践していることを示した。
