• Column
  • 巧妙化する攻撃から事業継続を守り抜く、重要インフラ&産業サイバーセキュリティの今

サイバーセキュリティの実践には経営層と現場とのコミュニケーション力が重要に

「第10回 重要インフラ&産業サイバーセキュリティコンファレンス」のパネルディスカッションより

篠田 哲
2026年5月11日

経営層と現場のそれぞれとの“信頼関係”が前提に

長谷川 :体制を整えるなかで見えてきた課題はありますか。

三宅 :当社はこれまで「全員参加型セキュリティ」を掲げてきましたが、2026年度からは、単にルールを遵守する段階を超え、リスクを認識し自律的に判断し行動に移す「全員実践型」へと進化させます。これにより、グループ社員1人ひとりがセキュリティを自分ゴトとして捉え、能動的に動く組織の実現を目指しています。

 そこでの大きな課題はIT資産の正確な把握です。グループ共通のネットワークに接続されている会社はデジタルで機械的に把握できます。ですが個社独自の環境を構築しているグループ社などは毎年、Excelベースの「ITカルテ」を作成し、ヒアリングを繰り返しています。情報の鮮度をいかに保つか、「システム」や「資産」といった用語の定義をいかに現場と揃えるかがコミュニケーションの出発点だと感じています。

別所 :JR西日本グループでは、組織、人、技術の3つの切り口で整理しています。組織面で重視したのは経営層のマインドセットです。2025年の大阪・関西万博の前には「万博開催時には確実に攻撃を受ける。今から準備が必要だ」という危機意識を経営層に訴えました。

 その後も経営層を対象にした「経営層向けトップ研修」をCISO主導で実施するなど徹底した教育を継続しています。さらに、セキュリティへの取り組みをグループ共通KPI(Key Performance Indicator:重要業績評価指標)に設定し、当事者意識を高めています。

 人の面では、グループ各社の取り組みを支援するために「グループセキュリティアドバイザー」によるフォロー活動を進めています。一方的に指示を出すのではなく、各社の現場の悩みに寄り添ってアドバイスを積み重ねることで、信頼関係の構築を図っています。

 技術面では、グループ会社に任せるのではなく、JR西日本主導でツールを選定・展開する方式で進めています。

経営層と現場のそれぞれが求める情報を素早く提供する

長谷川 :本社から支社、そして現場へと施策を届けるために、どのような工夫を凝らしていますか。

別所 :階層的な組織では、取り組みを隅々まで浸透させるのは難しいと考えています。研修動画の視聴だけでは、なかなか自分ゴト化は進みません。より身近な人から伝えれば共感を得られると考え、各現場にまでCSIRTメンバーを配置し、取り組みを広めています。

 表彰制度も用意しました。「資格取得者が増えた」といった具体的な事例を捉え、高いレベルでのKPI達成を称えることで各組織のモチベーションを高めています。セキュリティリーダー認定制度も設け、資格取得と社内研修の受講により「セキュリティリーダー」「セキュリティマネージャー」「セキュリティスペシャリスト」として認定しています。

三宅 :ANAでグループCSIRTを設立した際に工夫したのは、総務リスク部門を巻き込んだことです。サイバーセキュリティもリスクの一部に位置付けているため、総務部門の協力なしにはグループCSIRTの活動は難しいと考えたからです。ただIT色の強いサイバーセキュリティの分野に総務部門の協力を得るためには、サイバーリスクが事業に与える影響の大きさなどを粘り強く説得し続けました。今では一丸になって取り組む体制が整っています。

 ちなみに海外拠点などの現場を訪問する際は、冒頭で必ず「これは点検ではなく支援です」と明言しています。「現場のお悩み事解決しに来た」という姿勢を示すことで、実情に即した本音での対話ができ、より効果的な対策の実装につながっています。

長谷川 :異なる立場の人々と対話する際、特に意識している原則はありますか。

三宅 :これは、私の師匠からの教えですが「セキュリティに関する相談は絶対に断らない」という姿勢を貫いています。他部署の管轄だからとたらい回しにすれば、二度と相談してもらえなくなり、潜在的なリスクが表面化しにくい状況を招きます。どんな些細なことでもまず受け止める。べき論だけを語らず、現実的な落としどころを見つけることの積み重ねが、現場との深い信頼関係を築く鍵になります。

 経営層に対しては、システム構成を分かり易くデフォルメしたシステム構成図やデータのフロー図、攻撃状況の可視化などを意識しています。直感的に理解できる形で提示すれば「攻撃は増えているが大きな被害は出ていない」といったコミュニケーションがスムーズになります。

別所 :私は「先手を打つ」ことも重要だと考えています。他社でインシデントが発生した際、経営者は必ず不安を覚えます。問い合わせを受ける前に、自社の状況を経営層へインプットする、そのスピード感が経営層の安心につながります。

 経営者はセキュリティだけに時間を割けません。相手が知りたい情報を、相手のプロトコル(文脈)に寄り添って提示するのがコミュニケーションの基本です。現場向けには簡潔なメッセージングを、経営層向けにはビジネスインパクトを重視した情報を可視化して届けるよう意識しています。

日本の重要インフラを支えるには誠実なコミュニケーションが不可欠

長谷川 :現場で奮闘している方々へのメッセージをお願いします。

別所 :組織を動かすためには、いかに仲間を増やしていくかが重要です。社員1人ひとりが自律的に行動できる文化を定着させるために、周囲に仲間を広げる活動を是非、続けていただきたいと願っています。

三宅 :セキュリティ担当は、しんどく、つらい場面が多い仕事です。しかし、単に会社を守るだけでなく、重要インフラを通じて「日本を守っている」という気持ちで取り組んでいます。現場から頼られ“愛されるセキュリティ担当”を目指すことが、巡り巡って施策の浸透を早める近道になると確信しています。

長谷川 :体制や技術がどれだけ整っても、最終的に組織を動かすのは“人と人との信頼関係”です。現場からの信頼も、その根底にあるのは誠実なコミュニケーションに他なりません。組織を動かすための本質的なヒントをありがとうございました。