日立製作所が情報セキュリティの強化に乗り出した。2017年10月1日にグループ全体の情報セキュリティを統括するCISO(最高情報セキュリティ責任者)を設置し、同時にCISOが管掌する新組織「情報セキュリティリスク統括本部」を新たに設けた。

 同統括本部はそれまでCIO(最高情報責任者)と情報システム部門に相当するIT統括本部が担ってきた情報セキュリティ関連機能を分離、独立させたものだ。サイバー攻撃に迅速に対応できる体制を整えたほか、事業領域の幅広い日立のセキュリティ対策を一貫でとらえ全体のリスクとして対応していく狙いがある。

 セキュリティが経営リスクになるなか、CISOは、経済産業省が2015年12月に公表した経営者がサイバー攻撃から企業を守るための理念や行動を具体的に記した「サイバーセキュリティ経営ガイドライン」で設置を求めた役職だ。ITサービスでの競合となる富士通やNEC、NTTデータは既に設置済みだった。

 一歩出遅れた日立がこのタイミングでCISOと専任部署の設置に踏み切ったのは、2017年5月に同社がランサムウエア「WannaCry」の被害に遭ったからだ。従来から社内であったCISO設置に関する議論が一気に進んだ。

 初代のCISOには西野寿一副社長CSO(最高戦略責任者)が着任。CISOは東原敏昭社長兼CEO(最高経営責任者)直轄とし、情報セキュリティを経営課題として取り組む姿勢を鮮明にした。「例えばサイバー攻撃に対しての対応を経営判断としてすぐに下せるよう、CISOに強い権限を与えた」と日立製作所 情報セキュリティリスク統括本部の中島透統括本部長は話す。

日立製作所のセキュリティ組織の変化
日立製作所のセキュリティ組織の変化
[画像のクリックで拡大表示]

 新組織の情報セキュリティリスク統括本部は約50人の布陣。具体的な役割は日立グループ全体のネットワークにつながる製品や社内設備の情報セキュリティをマネジメントすること。「有事」と「平時」の2つの軸から、情報セキュリティを強化する。