安全安心が事業を加速する~事業を支えるサイバーセキュリティの挑戦~
| 執筆者: | ニュートン・コンサルティング 編集部 |
2025年10月7日に開催された「Newton Risk Management and Cyber Security Forum2025」での対談の概要をご紹介します。三菱地所グループ様によるDXを加速するセキュリティ戦略、ゼロトラストへの挑戦や高まるサイバー脅威に対応すべく、P・P・Tの3軸でセキュリティ推進体制を強化されています。限られたリソースで“リスクに先回りする”実践的手法を伺いました。
はじめに:ゼロトラストへの挑戦と新たなリスク
内海:本日は、三菱地所株式会社 DX推進部サイバーセキュリティ推進室 ユニットリーダー/室長でいらっしゃる齊藤さんにお話を伺います。
早速ですが、昨今のサイバーセキュリティにおいては、コロナ禍でテレワークが導入されたことによりクラウド活用が当たり前になってきており、ゼロトラストの必要性も高まってきました。まずは、この分野に関して御社での具体的な取り組みをお聞かせいただけますか。
齊藤:クラウドサービスは、まさに当社でも様々な事業で活用が拡大しています。全社共通の業務から、個別業務に特化した領域まで、クラウドサービスを活用しています。
また、従来の「境界型セキュリティ」から脱却し、すべての通信を信用しない「ゼロトラスト」の考え方を導入し、セキュリティ強化を進めています。これは「MEGIS(メイジス)」というプロジェクトで、快適・柔軟・より安全なセキュリティ環境を目指して取り組んでいます。
内海:事業規模が大きい中でゼロトラストを推進されるのは、非常にチャレンジングな取り組みだと思います。一方で、セキュリティ強化に取り組んでいるにもかかわらず、新たなリスクも顕在化していると伺っています。
齊藤:新しい技術の導入や環境変化により、一定のリスクが生じることは避けられないと考えています。当社では、ゼロトラスト導入により認証やセキュリティ監視などにおいて、これまで意識する必要のなかったリスクが顕在化することがわかりました。その結果、セキュリティ強化の取り組みによって生じるリスクに対応するため、運用プロセスや体制の改善を含むセキュリティ対応が求められるようになりました。
“攻め”と“守り”の連携:DX推進と組織体制
内海:セキュリティ強化を進めるほど対応の難しさも増すという厳しい現実ですね。御社では、DX推進部にサイバーセキュリティ推進室が置かれているという珍しい体制を取られています。“攻め”であるDXと“守り”であるセキュリティを一体化させた狙いは何でしょうか?
齊藤:2025年度のDX推進室では、アセット事業強化のための基盤創出やノンアセット事業の取り組みとして、テクノロジーの活用やBtoCに着目したサービスコンテンツの開発などを進めています。「サイバーセキュリティ推進室」はDX推進室に属する6つのユニットのうちの一つです。“攻め”と“守り”の双方向からIT革新を進め、デジタル変容に対応できる体制となっています。
また当社は、DXによって生活者が暮らしやすさを実感できるまちづくりを目指す「三菱地所デジタルビジョン」を掲げています。その一環として、コンシューマー向けの共通認証基盤「Machi Pass」を中心に、オンライン・オフラインの顧客接点をデジタルで統合するプラットフォームを展開したり、ECや食品関連など様々なオープンネットワーク「MELON(Mitsubishi Estate Local Open Network)」を構築したり、多様な企業と連携してQOL向上のための事業・サービス開発を行っています。
セキュリティ推進の強化戦略:P・P・Tという3軸での実践
内海:御社がこれまでに「DX銘柄」、「DX注目企業」などに選出されてきたのも納得できる先進的な取り組みですね。DX推進にあたってはサイバーセキュリティの強化も必要不可欠かと思いますが、そのあたりの取り組みについてはいかがでしょうか?
齊藤:もちろんデジタル活用の進展にはサイバーセキュリティの強化が不可欠ですし、セキュリティによる安心安全があるからこそ、デジタル推進を加速できるものと位置付けています。
様々なデジタル活用に対応できるセキュリティにするために当社では、People(人)、Process(プロセス)、Technology(技術)という3つの観点からセキュリティ推進の運営組織の強化を実施しています。
運営自体を強化できるような仕組み作りが「Process」にあたるのですが、限られたリソース・要員で無理なく継続して回せることを重視しています。基準・ルールの整備を行い無駄な調整を発生させない工夫をしているほか、「リスクに追われるのではなく、新たなリスクに先回りした状態」を目指し、リスクの優先度付けを徹底しています。
「Technology」では、クラウドサービスや自動化ツール、生成AIを積極的に活用し、セキュリティ推進業務を効率化しています。特にログ・PCAP解析といった機械的な処理には、生成AIが非常に役立ちます。従来は高度な技術を持つプロが担当していたような分析にも強く、業務の効率化・省力化に大きく貢献しています。
そして「People」、すなわち人材育成も重要な項目です。予測困難なVUCAの時代のセキュリティを担う、幅広い専門領域をカバーできる人材の育成に注力しています。
ポイントは、未経験領域と経験領域を組み合わせること、管理・技術、SOC/CSIRTといった区分に限定せず幅広いローテーションで経験を積み重ねることです。これにより、それぞれが得意な部分を伸ばし続けられるようにしています。加えて、デジタル人材の専門性を評価する仕組みとして「デジタル専任職制度」を整備し、人材育成を推進しています。
生成AIの活用と人材育成の鍵
内海:ありがとうございます。P・P・Tという観点から、セキュリティ推進運営の強化戦略を実践されていることがわかりました。最後に、メッセージや今後の提言をお願いします。
齊藤:当社が苦慮しているのと同様に、多くの企業でもセキュリティ対応に苦労されているのではないかと思います。サイバー攻撃では攻撃者側も技術革新を進めているため、限られたリソースで対抗するには、リスクの重要度を見極め、高いリスクから対応していくことが事業者側の基本になると考えています。
そして、新しい技術を恐れて停滞するのではなく、生成AIのような最新技術を理解したうえで活用し、リスクに備えた状態としておくこと。当社は今後も、ビジネスの拡大に資するセキュリティでありたいと考え、安全安心に基づいたデジタル推進の取り組みを継続していきます。
内海:齊藤さん、本日は貴重なお話をありがとうございました。
