サイバーリスクを経営層に理解してもらうには
株式会社 日立製作所
AI&ソフトウェアサービスビジネスユニット
GTM戦略本部 本部長
恒原克彦 氏
2026年3月10日、クローズドセミナー「PSIRTの定着と高度化~事例で学ぶ定着ポイントとAIによる業務高度化~」が開催された。冒頭、日立製作所の恒原氏は、社会的な要請(法規制など)への対応を含め、PSIRTがフェーズチェンジの時期を迎えていると指摘した。
続いて登壇した八雲法律事務所の山岡裕明弁護士は、経営層にサイバーセキュリティを正しく理解してもらうための要諦を解説した。山岡氏は、サイバーリスクが「目に見えない技術の問題」として後回しにされがちな現状を指摘し、具体的な被害イメージを持たせることが重要だと説いた。
八雲法律事務所
弁護士(日本・カリフォルニア州)
山岡裕明 氏
経営層の多くがサイバーリスクとして「個人情報漏えい」を挙げるが、真に警戒すべきは「事業継続を損なうリスク」という点である。サイバー攻撃によって工場や物流、受注システムが停止すれば、その期間の営業損失は甚大だ。実際に被害に遭った企業の決算では、数百億円規模の損失が計上されることも珍しくない。山岡氏は、サイバーリスクが事業そのものを止める経営直結の課題であることを強調した。
また、株主、取引先、ユーザーからの損害賠償請求といったリーガルリスクも無視できない。経営層には「善管注意義務」があり、これを怠れば役員個人が損失補填を求められる恐れがある。自然災害に起因する損害についてだが、東京電力の福島第一原発事故を巡る訴訟では、旧経営陣が義務を怠ったとして、一審で役員らに計13兆円の賠償責任が認められた例もある(二審では責任が否定された)。サイバー被害についても参考になる。取引先やユーザーとの関係では、契約で賠償責任を制限していても、「重過失」があればその条項は無効となり得るところ、裁判例上サイバーセキュリティの不備は重過失が比較的認定されやすい。
山岡氏は講演の中で、実際に企業のアカウント情報が販売されているダークウェブを提示し、被害の実態を生々しく紹介した。「サイバーリスクは目に見えないからこそ、実例や実演を通じて具体的にイメージを持つことが重要。自社製品のセキュリティマネジメントを浸透させるには、経営層と組織全体がサイバーリスクの実態を正しく認識し、その解像度を上げることがすべての出発点になる」と締めくくった。
株式会社日立ソリューションズ
シニアOSSスペシャリスト
渡邊歩 氏
続いて、日立ソリューションズの渡邊歩氏による講演「脆弱性管理とサプライチェーンリスク対応高度化の取り組み」が行われた。最近では、法規対応のためのエビデンスとしてもSBOM(Software Bill of Materials)が注目されている。これはオープンソースのモジュールの中のライブラリの構成を部品表として依存関係を可視化するもの。渡邊氏はSBOMを詳しく紹介し、PSIRTでの活用性が高いとした。また、自動化も重要なポイントに挙げた。
株式会社 日立製作所
コネクティブインダストリーズ事業統括本部
プロダクトセキュリティ推進センタ
センタ長
亀井章 氏
三つ目の講演は、日立製作所の亀井氏による「日立コネクティブインダストリーセクターにおけるプロダクトセキュリティ強化の取り組み」として、日立コネクティブインダストリーセクター(以下、セクター)におけるプロダクトセキュリティ強化の経緯、そしてセクター全体でのデータドリブンマネジメントによる脆弱性運用強化の取り組みを紹介し、PSIRT強化は事業継続性の鍵となると述べた。
PSIRTは組織・人材・プロセスの壁をどう越えるのか
講演に続き、パネルディスカッションが行われた。テーマは「PSIRTはなぜ回らないのか。組織・人材・プロセスの壁をどう越えるのか」「PSIRTを定着させるためのIT投資運用の勘所」の二部構成で、最新のITツールやAI活用を交え、組織に定着させ継続運用するための要諦が議論された。
パネリストには、八雲法律事務所の山岡裕明弁護士、日立製作所の檜垣宏行氏と瀬戸宏一氏、日立ソリューションズの鈴木則夫氏が登壇。司会は日立ソリューションズの楢崎裕美氏が務めた。
最初のテーマ「PSIRTはなぜ回らないのか。組織・人材・プロセスの壁をどう越えるのか」に対し、PSIRT構築支援に携わる鈴木氏は、大きく二つの課題を提示した。
株式会社日立ソリューションズ
セキュリティコンサルタント
鈴木則夫 氏
一つ目は「セキュリティ意識の低さ」である。意識が低いために優先度が上がらず、現場に脆弱性調査を依頼しても回答が得られない、あるいは膨大な調査工数を懸念して対応が後回しにされるといった問題が生じている。
二つ目は「セキュリティの人材不足」だ。専門知識を持つ人材がいないことで、発見された不具合が脆弱性か品質問題かの切り分けができず、対策の要否や妥当性、さらには外部報告の必要性についても的確な判断が下せない状況を招いている。
山岡氏は、こうした課題の根本原因である「セキュリティ意識の低さ」をさらに深掘りした。「意識が低いのは、セキュリティや脆弱性の重要性が正しく認識されていないからです。特に脆弱性。脆弱性は何を意味し、何故生じるのか、それをコードレベルで認識することが重要。私はこれを『サイバーセキュリティの理解の解像度』と表現していますが、その低さが諸悪の根源であると考えています」と指摘した。
製造業は本来、製品の不具合には極めて敏感であり、特に人命に関わるリコール事案などには迅速に対応する文化を持つ。山岡氏は「ソフトウェアの脆弱性も製品の不具合と同じであると認識すべきだ」と説く。むしろ、脆弱性に起因するインシデントはより広範囲で深刻な被害をもたらす可能性が高い。しかし現状では、脆弱性に関する情報が現場に十分届いておらず、受け手側の理解も追いついていないと分析した。
株式会社 日立製作所
マネージド&プラットフォームサービス事業部
プロダクトセキュリティソリューション部
担当部長
檜垣宏行 氏
檜垣氏は、PSIRTの運用開始後には「組織・プロセス・人材確保」の3点が重要になると指摘した。組織面では、個々の当事者意識に加え、セキュリティ共通言語を用いた円滑なコミュニケーションが欠かせない。プロセス面では、ガイドラインやルールの整備はもちろん、既存のモノづくりにおける品質担保プロセスとの整合性を図る必要がある。さらに、慢性的なセキュリティ人材の不足も大きな壁となっている。檜垣氏は「これらのポイントを踏まえた体制整備が必要ですが、一筋縄ではいかないのが現状です」と、運用の難しさを吐露した。
日立製作所のPSIRT構築・運用における工夫
楢崎氏は、組織・プロセス・人材確保という困難な壁を越え、PSIRTを浸透させるための工夫を日立のPSIRTをけん引する瀬戸氏に尋ねた。
瀬戸氏は、日立においてもこれら三つの切り口を重視したと語る。まず組織面では、トップダウンの方針を隅々まで浸透させるため、中核組織として「CoE(Center of Excellence)」を採用。専門性やノウハウを集約することで、責任範囲や意思決定ルートを明確化し、「誰が・いつ・どう判断するか」というプロセスの具体化を図った。
株式会社 日立製作所
コネクティブインダストリーズ事業統括本部
プロダクトセキュリティ推進センタ
瀬戸宏一 氏
具体的には「プロダクトセキュリティ推進センター」がCoE機能を担い、各社の実務リーダーとデジタルの専門部署が共通目標を掲げて対策を立案。その内容を、各社を兼務するリーダーが現場に持ち帰り実行に移す体制を構築することで、ガイドライン策定やフロー整備の迅速化を実現している。
プロセスへの定着に向けては、セキュリティを開発工程そのものに組み込む「インプロセス化」を採用した。具体的には、ガイドラインを整備して同社の品質管理システム(QMS)へ統合。開発ライフサイクルの中でセキュリティと関連性の深いフェーズを特定し、そこに必要な作業や判断を組み込んでいった。
組み込みの対象は主に脆弱性対応で、情報の入手から検知、対策まで多岐にわたる。脆弱性の影響を正確に把握するには、設計資産と脆弱性情報を迅速かつ的確に照合させることが極めて重要だという。瀬戸氏は、「これらをちゃんと流していくプロセスを作ることが肝要です。私たちも道半ばながら、取り組みを進めています」と、運用の核心を語った。
人材への定着については「スチュワードシップ」の考え方を採用した。これは受託者として資産や責任を誠実に管理し、長期的な価値向上を図る姿勢を指す。瀬戸氏は「DXと同様、全社員がツールを即座に使いこなすのは難しいため、各社から数人ずつ募った『ユーザーアドバイザリーグループ』を組織しました。彼らとPSIRTの運用やツールの活用法、改善案をともに検討しています」と説明する。
これを受けて山岡氏は、日立が脆弱性対応を体系化している点を評価し、日本でもこうした対応の義務化は時間の問題であると指摘した。また、脆弱性の重要性を浸透させるための言語化や可視化の重要性に触れ、「『重要だからやれ』という抽象論では現場に浸透しません。エンジニアに対していかに丁寧に伝えるかということも大事なポイントです」と、コミュニケーションの質が鍵であることを強調した。
PSIRT運用に向けた日立のソリューション
鈴木氏が挙げた「セキュリティ人材の不足」という課題に対し、檜垣氏は「人材には限りがあるため、ツールの活用による効率化が不可欠」と指摘した。その解決策として、同セクターがカスタマーゼロとして利用する「PSIRT運用プラットフォーム」を紹介した。
同ソリューションは、製品のSBOMと外部の脆弱性情報を照合し、検知時にアラートを自動通知する仕組みを持つ。生成AIによるサポート支援機能を搭載している点も大きな特徴だ。日立における具体的な運用について、瀬戸氏は「当初は手作業で登録していたが、膨大な脆弱性情報(約60万件)を前に、新製品登録だけで数千件のアラートが飛ぶなど、設計部門の負荷が限界に達していた」と振り返る。
この課題を解決するため、日立はPSIRT業務のDX化を推進。工数やスキル不足といった実務上の制約を踏まえ、設計部門との適切な連携(いい関係)を築くためのアプローチを試行錯誤している。また、PSIRTの実効性を高めるには、業務の設計や検討だけでなく、現場での運用・実行フェーズこそが本丸であると強調した。
お客さまへのAI活用事例を問われた鈴木氏は、「日立ソリューションズでは、生成AIを活用した脆弱性調査支援サービスを提供しています。これは脆弱性の概要や顕在化しない条件、用語解説などのレポートを生成AIが作成するSaaSで、現場の調査工数削減に大きく寄与します」と紹介した。さらに、瀬戸氏は同セクターの例として設計側業務の負荷軽減、品質向上に向けて、ルールベースでの判定はPSIRTやプラットフォームが担い、意思決定が求められる場合はAI Agentが支えるような取り組みを始めていると紹介した。
最後に、PSIRTを根付かせるためのアドバイスを求められた山岡氏は、経営層が問題意識を持つことで組織や予算が迅速に動くと指摘した。そのための鍵として、現場から経営層への継続的な情報発信を挙げ、「トップダウンを実現するには、ボトムアップでのインプット量を増やすことが不可欠。ただし、経営層が理解しやすいよう情報を『可視化』することが重要なポイントです」と締めくくった。
楢崎氏はパネルディスカッションの締めくくりとして、PSIRTの本質は組織を作ることではなく「継続的に回り続けること」にあると総括した。実効性を高めるには「組織・プロセス・人材」を三位一体で定着させることが不可欠であり、ITツールやAIはその定着を支え、人手による限界を補うための重要な手段となる。デジタルの力で可視化・標準化・効率化を図る本日の議論が、PSIRTをいかに定着・運用させていくかを考える出発点となれば幸いであると結んだ。
本セミナーで共有された日立グループの知見や活用事例は、カスタマーゼロとして自社で実践・検証してきた経験に裏打ちされたものであり、これからPSIRTの構築・高度化をめざす企業にとって、持続可能なセキュリティ体制を築くための確かな指針となるはずだ。
※所属部署名などは、セミナー開催時のものです
