妥当性を見極める力で安全と信頼を築く。監査の視点に着目したNECのセキュア開発と人材育成

深刻な社会問題となっているサイバー攻撃の被害を防ぐため、官民双方でさまざまな対策が検討され、取り組みが推進されている。重要インフラやサプライチェーン全体をどのように保護するかといった議論も活発化しており、実効的なサイバーセキュリティ対策の必要性がこれまで以上に高まっている。

こうした取り組みの土台であり、サイバーセキュリティの出発点ともいえるのが「セキュア開発」だ。

セキュア開発とは、製品・システム・サービスの企画・提案から設計、運用に至るまでの各フェーズにおいてセキュリティ対策を組み込む開発手法である。早期から徹底して脆弱性を排除することで攻撃者に“隙”を与えないようにする。

このセキュア開発に以前から真剣に取り組んできたのがNECである。システムの脆弱性に対する開発側の責任が大きく見直される以前から、NECは自発的にセキュア開発を実践してきた。近年では、セキュア開発の実践知をまとめた「サイバーセキュリティ管理規程」をシステムエンジニア（SE）だけでなく全社共通の規程として定めるなど、全社を挙げてセキュア開発の体制強化を進めている。

そのNECが、さらなる体制強化に向けて新たな施策を打ち出した。セキュア開発の現場に、システム設計や対策の妥当性を客観的に評価する「監査」の視点を組み込むという。この施策を推し進めているサイバーセキュリティ技術統括部のメンバーに話を聞いた。

開発するシステムの妥当性を現場の担当者が客観的に評価

セキュア開発を実践するため、NECは専任組織を立ち上げ、SEだけでなく全社員を対象とする規程を定め、セキュア開発を効果的に実践するためのツールも独自に開発するなど、包括的な取り組みで推進体制を整えてきた。

こうした取り組みを通じて、NECにはセキュア開発を実践する環境が確立されている。セキュリティ関連の会議や勉強会に参加する社員は年々増加しており、セキュア開発はシステム開発を行うSEだけでなく、全社の共通認識となっている。

この推進体制の実効性をさらに高めるために次に打てる一手は──。NECが着目したのは、セキュア開発の対策の妥当性を客観的に評価する「監査」の視点を加えることだ。

もちろんNECは、これまでもセキュア開発の推進体制の中に監査の機能を持たせてきた。事業部門を第1ライン、それを支援・統括する専任部門を第2ライン、そして独立した立場で全体を評価する内部監査部門を第3ラインとする、いわゆる3ラインモデルに基づく体制を整備している。内部監査部門が主にルールや規程が適切に運用されているかを中心に、客観的な評価を行ってきた。

今回NECが新たに取り入れようと考えたのは、それとは異なる性質や役割を持つ監査だ。「より現場に近いところで機能する監査です。NECのセキュア開発推進体制がきちんと機能しているかどうかを評価するのではなく、実際に企画・設計・構築するシステムやセキュリティ対策の妥当性を、現場の担当者自身が一歩引いた目線で評価できれば、さらに強固なセキュア開発体制につながると考えました」とNEC サイバーセキュリティ技術統括部 統括部長 青木 聡は話す。客観的な視点が鍛えられれば、お客さまへの説明の説得力、ひいては信頼にもつながると判断した。

NEC サイバーセキュリティ技術統括部 統括部長

青木 聡

CISA®取得で本質的なビジネスリスクが見えるように

こうした監査の視点やスキルを身に付けるためにNECが取得を推進しているのが、ISACA®が認定する国際資格「CISA®（Certified Information Systems Auditor／公認情報システム監査人）」である。

CISA®は、セキュリティ対策の観点も含めて、システムやサービスが適切に設計・実装され、現場で有効に機能しているかを、法令や規制、社内ポリシー、さらにはISOなどの国際標準やフレームワークに照らして評価するための知識と考え方、そして、それらを前提とした実務能力を証明する資格だ。一般的には、内部監査部門の担当者やシステム監査・セキュリティを専門とするベンダーの監査人などが取得するケースが多く、NECのようなシステムインテグレータが組織として広く取得を推進する例は必ずしも多くはない。「CISA®の学習を通じて、監査計画の立て方や、エビデンスの収集・評価、サンプリング、報告といった具体的な監査スキルに加え、監査結果を改善につなげるための提案力までを身につけます。こうした力は、セキュア開発の現場での判断や説明に直結すると考えています」とNEC サイバーセキュリティ技術統括部 タレントマネジメントグループ アーキテクト 根津 弘人は説明する。

NEC サイバーセキュリティ技術統括部 タレントマネジメントグループ

アーキテクト

根津 弘人

NECは、既にセキュリティの設計・実装・運用を幅広くカバーする国際資格CISSP（Certified Information Systems Security Professional）の取得を積極的に推進しているが、これに加えてCISA®の取得も重視し、高度なエキスパート人材にはCISSPとCISA®を併せて持つように推奨している。

その一人がNEC サイバーセキュリティ技術統括部 リスクハンティング・システムグループ アソシエイトアナリスト 鈴木 雅也である。「技術者としてだけでなく、より中立的な立場から評価や改善策を検討できる知識や考え方を身に付けたいと考えCISA®を取得しました。私は脆弱性診断やペネトレーションテストなど、比較的、技術の側面が強いサービスを通じてお客さまのシステムを評価していますが、技術的な観点にとどまらず、ビジネスや組織を俯瞰し、ガバナンスや内部統制の観点からもシステムやセキュリティ対策を評価できるようになりたいと考えたのです」と鈴木はCISA®取得を目指した理由を語る。

NEC サイバーセキュリティ技術統括部 リスクハンティング・システムグループ

アソシエイトアナリスト

鈴木 雅也

CISA®の学習・取得によって得た監査の知識や考え方は、鈴木が日々行う脆弱性診断やペネトレーションテストのアウトプットにすぐに表れたという。「技術的なリスクにとどまらず、より本質的なビジネスリスクまで見えるようになりました。それにより、ペネトレーションテスト後に提出するレポートの質も変わりました。単に脆弱性を指摘するだけでなく、ビジネスに与える影響や、リスクへの向き合い方に関する助言までを含めた報告に変わっています。私自身の説明の仕方も大きく変化し、ビジネスの視点で会話に臨むお客さまのプロジェクトマネージャや品質保証部門、加えて非技術部門の方々にもリスクとの向き合い方を伝えることができるようになりました。リスクを指摘する側・される側という関係ではなく、リスクをどのように扱っていくべきかを一緒に考える関係に変わったと感じています」と鈴木は話す。

鈴木以外のCISA®取得者からもさまざまな声が上がっている。例えば「開発やシステム提案の現場で、プロジェクトのリスクを監査人の視点で捉えられるようになった」「資格取得の過程で学んだ知識を基に、事前のセルフチェックの要点を整理できるようになった」「セキュリティに限らず、ITにかかわるさまざまな場面で役立っている」といったものだ。他にも「提案や業務遂行の場面で説得力が増す。官公庁・自治体案件への対応がしやすくなるケースがある。第三者に安心感を提供できる。これらもCISA®取得の価値だと考えています」と根津は続ける。

現役エンジニアがトレーナーを務め現場で活きる力を磨く

CISA®取得には、内部監査の担当者やセキュリティエンジニアに限らず、コンサルタントや官公庁・自治体案件に携わる開発エンジニアなど、幅広い社員が挑戦している。その資格取得を後押ししているのが、NECグループ内で内製しているCISA®取得支援の仕組みだ。

具体的には、ISACA®認定のトレーナー資格を保有し、各部門の実務で活躍している現役エンジニアがトレーニングを提供している。先ほどCISA®の学習・取得後の変化を語った鈴木も現在はISACA®認定トレーナーの1人として取得支援に携わっている。CISA®を通じ自身の業務に大きな変化を実感したことから、同じ視点を持つ人材を1人でも多く育てたいと考えるようになったという。

「鈴木は、CISA®に加えてCISM®（Certified Information Security Manager／公認情報セキュリティマネージャー）、CISSPやCCSP（Certified Cloud Security Professional）、情報処理安全確保支援士といった高度資格を保有しています。国際的にも通用する知識とNECの現場で培った実務経験の両方を踏まえ、わかりやすく実践的なトレーニングを提供しています」と根津は説明する。

鈴木のような現役エンジニアがトレーナーを務める意義は大きい。トレーニングの内容は、より実践的となり、受講者は自身の日々の業務を具体的にイメージしながら監査を理解し、学ぶことができるからだ。実際、講師の経験談は大きな魅力となっている。

「ただ資格試験に合格する事のみを主眼に置くのではなく、CISA®の学習・取得を通じて考え方やアウトプット、コミュニケーションがどう変わったか、それが現場の業務の中でどのように活きるのかを意識するなど、セキュリティや情報システムの各分野に強みを持つトレーナー陣が、各々の経験をもとにした具体例を交えることで、受講者の理解を促進できるよう工夫しています。また、トレーニングは定期的に開催しており、各回の効果や課題についてトレーナー間で密に意見交換をするなどして継続的な改善を図っています。これらの工夫の結果として、受講者からは『自分の業務にどう当てはめればよいかが分かった』という声をよく聞きます。これまでSEは自分が開発したシステムを“一方的にチェックされる側”と考えてしまうケースがありましたが、トレーニングに参加する中で監査に対する意識が変わったという方もいます」と鈴木は言う。

CISA®を取得した人材が、そのノウハウを実務で活かし、その経験を伝えながら次の育成を担う。このような循環が生まれていることも、CISA®がセキュア開発の体制強化にもたらした大きな成果といえる。「CISA®は、資格を取得して終わりというものではありません。現場においてセキュリティ対策も含めたシステムやサービス設計・実装の妥当性を考え続けるための、共通の視点や考え方を身に付けるものだと捉えています。現役のエンジニアがトレーナーを務めることで、そうした考え方を個人にとどめず、組織として共有し、継続的に活かせる体制を実現しています」と根津は語る。

NECが実践し磨き上げてきたCISA®取得支援の仕組みは、NECグループの一員であり、多くのSEを擁するNECソリューションイノベータを通じて、社外の企業向けにも提供されている。現在は募集型講座としての提供が中心だが、今後は特定の企業や組織向けの講座として展開することも視野に入れている。「NECが実践し、成果があった取り組みは、積極的に他社や社会に紹介していきたいと考えています。それによってセキュアなシステムの提供が進み、サイバー攻撃による被害の抑止につながれば、NECの使命にもかなっています」と青木は話す。

ISACA®認定トレーナー3名が語る取得の経緯と取得支援への思い

NECグループの現役エンジニアでありながらISACA®認定のトレーナーとしても活動する意義をどう捉えているのか、また、その動機はなにか。鈴木と共にトレーナーを務めている3名にも聞いた。

「私は、システム監査の分野で約20年にわたり経験を培ってきました。NECが提供するマネージドサービスの内部監査に加え、お客さま向けシステム監査サービスの提供にも責任者として取り組んでいます。その実務経験をグローバル資格であるCISA®の体系的な知見と結び付け、システム監査の重要性をより多くの方に伝えたいと考え、ISACA®認定トレーナー（CISA®）に挑戦しました。

また、情報処理技術者試験委員としての活動や、システム監査学会、大学などにおける普及・教育活動にも積極的に参画しています。今後も実務と教育の両面からシステム監査人としての役割を果たし、安全・安心な情報化社会の実現に貢献していきたいと考えています」

鈴木 夏彦：ISACA®認定トレーナー（CISA®）

(NEC サービスビジネス統括部)

「社内のCISA®・CISM®勉強会の存在を知り、先輩社員も取得していたことに感化されて参加し、資格を取得しました。特にCISM®の内容は大きな気付きを与えてくれました。CISM®を通じて組織のセキュリティマネージャー、ひいてはセキュリティ人材に期待される役割、実務で求められる視点への理解が深まるなど、これまで経験した業務のどれもがCISM®の知識とひも付くことを実感しています。

　その経験から、これらの資格にある考え方は、組織でセキュリティに取り組んでいる人たちに必ず役に立つ。ぜひ広く伝えたい。そう考えてISACA®認定トレーナー（CISA®／CISM®）になりました」

宮崎 駿：ISACA®認定トレーナー（CISA®／CISM®）

（NEC CISO統括オフィス）

「私はこれまで、サイバーセキュリティの脅威やリスクに直面する業務に就いてきました。監査の視点から、より包括的なセキュリティ知識を獲得したいと考え、CISA®を取得しました。CISA®の学びを通じて、ビジネス視点でセキュリティを考えるスキル、ビジネスリスクの判断力が向上したと感じています。例えば、セキュリティ対策を検討する際には、技術的な視点だけではなく、監査の視点でリスクを捉えて考えることができるようになります。CISA®は監査人のための資格と捉えられがちですが、セキュリティ業務にかかわるあらゆる人にとって、スキルやキャリアの面でも有効な資格です。ISACA®認定トレーナー（CISA®）として、その魅力と価値を伝えていきたいと考えています」

浦元 勇輝：ISACA®認定トレーナー（CISA®）

（NECソリューションイノベータ　第一サイバーセキュリティ統括部）

複雑な環境でもシステムの安全性を高め続ける

サイバー攻撃の巧妙化・複雑化が続く中、システムに求められる安全性はますます高まっていくだろう。さらに、AIのような新しい技術の登場と普及により、正解が1つとは限らない状況の中、開発や運用の現場では、これまで以上に難しい判断を迫られる場面が増えていくはずだ。

セキュア開発の現場に監査の視点を組み込むというNECの取り組みは、そうした状況において現場の一人ひとりに自らの判断や対策が妥当かを見極める力を養うことにつながっている。複雑な環境下においてもシステムの安全性を高めるだけでなく、お客さまとNECをビジネスの視点で深く結びつけていく。

「これからは、あらかじめ決められたルールに従うだけでは対応できない場面が増えていきます。現場で行われた判断を説明できる人材がいるかどうかが、システムの安全性やお客さまからの信頼を左右する時代になっていくと考えています」と青木は話す。

技術を磨くだけでなく、その技術が本当に適切かを見極める力も磨くことによって、NECのセキュア開発は次のステージへと進もうとしている。

関連記事

• NEC、情報システム監査や情報セキュリティなどの国際的専門団体「ISACA」と連携し、国際認定CISAおよびCISM保有者の拡大を目指す: トピックス | NEC
• ISACA®認定トレーニング | NECソリューションイノベータ
• AI時代におけるサイバーセキュリティ人材の資質: イベント・セミナー | NEC

©2026 ISACA. All rights reserved. CISA and CISM are trademarks (or registered trademarks of ISACA)