「息をするようにセキュリティ対策」の時代へ―ＮＴＴデータ関西がリードする「守りのDX」

ＮＴＴデータグループが掲げるビジョン「Trusted Global Innovator」、これまでにない革新的なITパートナーとして信頼を得るために。ＮＴＴデータ関西は、地域からグローバルまで、そしてセキュリティ対策からシステム全般まで、お客さまのIT環境を見渡せるトータルインテグレーターとして視野の広いご提案を続けてきました。

今回は、ＮＴＴデータ関西 第二法人事業部部長の小谷にインタビューしました。セキュリティ対策に留まらないソリューション提案で、関西圏の多くの企業の信頼を得続けている同事業部の仕事ぶりから、ＮＴＴデータ関西ならではの強みについて紐解いていきます。

プロフィール

「攻めのDX」に注力するために。セキュリティなど「守りのDX」はＮＴＴデータ関西へ

「第二法人事業部」はどのような業務を担当しているのですか？

第二法人事業部は主に関西圏を中心とした、製造・通信・エネルギー・小売・物流業などエンタープライズなお客さまと共に、データ分析、クラウド活用、働き方改革などDXの推進を進めています。DXを推進していく中でセキュリティ対策のニーズも急速に高度化しており、第二法人事業部でもセキュリティ対策サービスには力を入れています。

小谷さんは企業におけるDX戦略の中で、「セキュリティ」をどのように位置づけていらっしゃいますか？

DXには「攻めのDX」と「守りのDX」があると考えています。例えば「攻めのDX」は、新サービスの創出や他社との差別化、いわゆるビジネス拡大のためのITソリューションに投資をすること。そして「守りのDX」は、内部統制の強化、コスト削減、そしてセキュリティ対策、のように社内の業務改善やリスク対策としてITソリューションに投資をすること、と考えています。

攻めのDXは「どのぐらいの投資をし、どのぐらいの効果が見込めるか」といったROI・経営的な計画・目標を立てやすいのですが、守りのDXは同じような形では判断しにくいのです。特に、セキュリティ対策はどこまで予算をかければいいのかが非常に難しい。例えば同じように守りのDXといえる経理業務のデジタル化はペーパーレスによる経費削減や人件費削減などで効果の見通しが立ちますが、セキュリティ対策そのものはいくら費用をかけても利益を生んでくれるわけではありません。また、「DX＝デジタルシステムへの投資」と捉えられがちですが、セキュリティインシデントは人に起因するところも大きく、ガバナンスの強化・教育、といった人財育成や仕組みづくりが大切だと考えています。

よくセキュリティ対策を保険に例えるのですが、「どんな保険に入れば確実に安心できるか？」は、一概には言えないものですよね。我々は、お客さまが守るべき資産や情報、そのレベルを見極めて、どうお手伝いさせていただくかを一緒に考える仕事をしているわけですが、まさにこれが難しいところだと感じています。

ただ、お客さまとしては本来、他社と差別化を図りつつ競争に勝ち抜くためのサービス・商品を開発し、ビジネスを拡大する「攻めのDX」により注力したいはずですよね。そこで、企業として守るべき領域、特にセキュリティといった部分は信頼のおけるパートナーにお任せいただくのが良いのではないかと思っています。

「守りのDX」を固めるパートナーとして、ＮＴＴデータ関西の強みはどこにあると考えていますか？

ＮＴＴデータグループはセキュリティだけではない、トータルのインテグレーターだということですね。

本来、セキュリティ対策を担うためにはお客さまの業務全体、システム全体、運用全体を知っておく必要があります。何か起きた際、セキュリティ担当者は原因を探ることに躍起になりがちですが、実は「どういう風に業務を止めればリスクを軽減できるか考える」ことや、「完全復旧を待つだけでなく、最低限でもいち早く業務再開できる方法を見極める」、「業務再開後にも継続してリカバリをしていく」といったこともとても重要です。

ＮＴＴデータ関西は、もともとお客さまの業務改革や、大規模な基幹システムの開発、といった事業がメインですから、こういったことも含めてマネジメントし、オペレーションできる。そこがひとつの強みではないかと。

もうひとつ、ＮＴＴデータグループが特定の製品やソリューションに特化していないのも特徴です。メーカーやセキュリティベンダーは自社製品を提供できる強みもありますが、ご提案できる内容もその製品に絞られてくる。そこでＮＴＴデータ関西であれば、フラットにさまざまなソリューションをご紹介して、お客さまのベストプラクティスを取れる。極端なことを言えば「製品を導入するのではなく、既存環境の運用見直しでカバーしましょう」というご提案もできるわけです。

地元企業の身近さも、ＮＴＴデータグループのスケールメリットも、両方活かしたご支援を

「ＮＴＴデータ関西が手掛けるセキュリティ対策」ならではの特徴はどのようなところにあるのでしょうか？

ＮＴＴデータ関西は「関西支社」ではなく、関西に本拠地を置く独立した企業ということで、関西圏のお客さまには大変ご愛顧いただいていますし、「関西は関西でがんばりましょうよ！」と、地元のお客さまを応援したい気持ちは少なからずあります。そしてIT分野だからこそ、ＮＴＴデータ関西が「近くにいて、何かあったらすぐ駆けつけてくる」ことをとても重要視されているお客さまが多いと感じますね。正直、ITの先進技術はやはり首都圏に人も技術も集約されている。特にセキュリティ分野では、関西圏のプロジェクトであっても、首都圏から技術者を呼ぶのが一般的で、それだけ時間もコストもかかることが多いとよく聞きます。

先進技術が首都圏に集約されている一方で、関西圏のお客さまのDX推進がうまく進まなかったりすることには、地元のITベンダーとしての責任を感じる面もありまして。せっかくこの地域に根差した会社ですので、関西圏のお客さまにもいち早く先進技術をお届けして、「人もノウハウもないし」という諦めがないようにしていきたいですね。それに、お客さまに求められているのも感じます。「東京からきてもらうと時間も費用も余計にかかるし、関西人・関西プライスでどないかならへんの？」と（笑）。

その一方で、各地域にあるよりも集約した方が効果の見込める設備については、ＮＴＴデータグループとして全国から集約させています。例えばセキュリティオペレーションセンター（SOC）は、24時間体制で全国各地のネットワークを監視していて、その中で得たデータやノウハウも日々集約されています。それらが各地域会社に提供され、ＮＴＴデータ関西が現場でソリューション導入をしたり、お客さまにレポーティングしたりしていくのです。さらにはＮＴＴデータCIRTというグローバル規模でセキュリティ技術・知見を集約する専門組織もあり、そこから各グループ会社へ情報・技術を供給する仕組みを持っています。

オンサイトでの対応は迅速丁寧、そして一番お客さまに近いところで。一方、データや知見はより広く深くなるよう集約させておいてグループ全社で活用する。この両方を実現しているのがＮＴＴデータグループであり、それがＮＴＴデータ関西を含めたグループ各社の特徴なのですね。

なるほど。テレワークやオンラインでの面談が普及した今でも、「現場に駆けつける」ことはまだまだ重要なのですね。

実際、現場で初めて気づくことも多いのです。例えば、最近はM＆Aなどで事業統合される企業も多くなっていますが、統合された後もネットワークが整理されず、複雑になってしまっているケース。あるお客さまのオフィスで、色の違うネットワークケーブルが3本張り巡らされていまして。聞くと「1本は元々の本社用。もう1本は2年前に買収した会社用。残り1本は最近グループに統合された新会社用で……」と。こういったTV会議や設計書だけではわからない事情が隠されていたりするのを、現場でお話することで目の当たりにすることもあるのですね。さらに現場なら「これ、どうにかしましょうよ」といったご提案もその場ですぐできますし。

これも、トータルインテグレーターならではのご提案かもしれませんね。明確に「こういうセキュリティ対策をしたい」というご要望があるお客さまだけでなく、例えば「テレワークを実施したい」とか「クラウドシフトしていきたい」というところから始まるご相談にも、先の例のように隠れたニーズにもお応えできる。「テレワーク環境を構築するとして、ID管理は？クラウドアクセス制御は？」とお尋ねすると、そこで初めて「そういう問題があるのか！」と気づかれるケースも案外多いのです。これは、セキュリティ専業の方でも、逆に業務システム専業の方でも、全部を提案するのは難しいところかと思います。セキュリティだけではないし、アプリケーションだけでもないところが、ＮＴＴデータ関西の強みかなと。

グローバル展開に強いことも、関西圏のシステムインテグレーターとしては貴重なのではないですか？

そうですね。関西圏は製造業がたいへん盛んな地域ですから、本社は関西圏でも、工場・製造拠点が海外にあって、よく行き来されているというお客さまが多い。大企業に限らず、いわゆる中小企業でも海外進出が珍しくないのです。

セキュリティ関連ではシステム規模をエンドポイント（端末）数で表すのが一般的で、例えばＮＴＴデータグループがグローバルで約16万エンドポイント、ＮＴＴデータ関西のお客さまでも大手のお客さまですとやはり数万エンドポイントを運用されている、といった具合です。ただ、大手のお客さまだけがセキュリティ対策が必要、という訳ではありませんし、海外拠点や事業所単位でのセキュリティ対策だと、小規模なものでは500エンドポイント程度、いわゆるセキュリティ対策としては最小レベルのプロジェクトも見られます。

そこで「海外の拠点は外資系のベンダーでセキュリティ対策を……」となると、国内とは別建ての環境になってしまいます。ＮＴＴデータ関西にお任せいただければ、国内の本社から海外の拠点まで一元的にカバーできます。それも、「現地のグループ会社を紹介しますから、お客さまから直接話をしてください」ではなく、現地のグループ会社とのインテグレーションも、ＮＴＴデータ関西がワンストップでマネジメントしますので、より安心していただけると思います。

グローバルでのセキュリティレベル引き上げも自社が先駆けに

「企業のセキュリティ対策」について、最近注目されている問題はどのようなことですか？

お客さまの抱える課題として「自社のIT資産がどこにどれだけ、どのような状態であるのか」を把握しきれていないケースをよく耳にします。パソコンが何台あって、どこにサーバーがあって……はまだしも、それぞれOSは何が入っていて、最新のパッチが当たっているのかまではわからない。例えば、テレワークを実施しよう、海外展開しようというお話であっても、セキュリティ対策よりもまずは資産の洗い出しから始めて、自社環境の現状を把握することをご提案しています。実際に、ＮＴＴデータ関西がアセスメントを実施すると、お客さまも記憶にない端末が出てきて、しかもネットにつながっている……ということは珍しくないのです。

幸い日本国内の拠点は資産がきちんと管理されていて、セキュリティ対策もしっかりしているという場合でも、「最近合併した海外グループ会社のセキュリティレベルが国内拠点相当になっていない、そもそも状況が把握できなかったりするので、足並みを揃えたい」というご相談も目立ちます。日本企業へのサイバー攻撃は国内だけでなく、海外のグループ会社、サプライチェーンが標的になるケースが増えてきていますので、こういったニーズはこれからさらに増えるのではないでしょうか。

こうした問題に対して、ＮＴＴデータ関西からはどのような支援を提供するのでしょうか？

ＮＴＴデータ関西はお客さまの環境を手掛けるだけでなく、自分たちの環境構築も先んじて進めてきていますので、そのノウハウをご提供することが有効だと考えています。ＮＴＴデータグループは、現在すでに海外のグループ会社の人員が全体の2/3近くを占めています。もちろん、グループとして日本本社のセキュリティレベルへの統一化をいち早く進めているので、そちらと連携して海外グループ会社のセキュリティレベルの引き上げに関するノウハウをお伝えし、ＮＴＴデータグループがどう対応したかということを踏まえたご提案ができます。

また、例えばリモートワーク環境であれば、認証/認可・クラウド制御/端末管理/ログ管理……とそれぞれ個別で対策を検討する必要なく、オールインワンでパッケージングされた仮想オフィス・導入した瞬間から使えるゼロトラスト環境を、しかもＮＴＴデータグループ自ら業務に日々活用している環境をご提供可能です。こういったオールインワンのサービスは、もはやお客さまにセキュリティ対策に時間をかけていただかなくとも、気づけばゼロトラスト環境上で仕事ができていて、お客さまには「攻めのDX」に集中していただける。まさに意識することなく「息をするように」セキュリティ対策ができているこの状況が理想的なのではないでしょうか。

「優秀なシステムほどストレスなく使えてしまうので意識されにくい」という話をよく耳にしますが、「息をするように」とは、セキュリティ対策もまさにこのようなフェーズを迎えつつあるのですね。ＮＴＴデータ関西の支援を受け、関西圏の企業がさらに飛躍していくのを楽しみにしています。