イベントレポート◎日本セキュリティ大賞2025／サミット編

　2025年11月13日、一般社団法人日本デジタルトランスフォーメーション推進協会（以下、JDX）主催による「日本セキュリティ大賞2025サミット＆アワード」が、会場とオンラインのハイブリッド形式で開催されました。

　日本セキュリティ大賞は、日本のセキュリティ水準を高めるための知見を広く発信するイベントであり、自治体や民間企業、学究機関など産官学のセキュリティ実践者が集い、最新の事例を共有する実践者のための交流の場となっています。

　昨年の開催（関連記事：日本セキュリティ大賞2024「セキュリティは“競争”ではなく“共創”、業界全体で連携推進」は表彰式のみにとどまりましたが、今回は大きく規模が拡大されました。

　会場を広げると共に、イベントの当日は「表彰式（アワード）」に加えて、サミットと称した「基調講演」や「パネルディスカッション」、セキュリティの“次の一手”を5分間でプレゼンする「ソリューションピッチ」などを用意。今回のテーマである“攻めのセキュリティ”の名に違わぬ充実した内容となりました。

　本稿では、イベント前半に行われた基調講演やパネルディスカッションなどのサミットの模様を見ていきましょう。表彰式の模様については、「イベントレポート◎日本セキュリティ大賞2025／アワード編」でレポートしています。

基調講演：インシデント発生時の初動対応が鍵に

　まず、基調講演ではJDX代表理事の森戸裕一氏が、『インシデント発生時、運命を分ける「初動対応」体制作り～リスクを“信頼”に変えるクライシスコミュニケーションと人材育成戦略～』のテーマで登壇しました。

　最近の大規模なセキュリティインシデント（以下、インシデント）の事例に言及し、サプライチェーン全体において業界横断の連携に基づいて脆弱性をカバーし、実践的なセキュリティ対策を行うことが重要だと述べました。

森戸氏は、重大なセキュリティインシデントが発生した時に初動の対応の重要性を強調した

　セキュリティを災害に例え、「災害発生時から人命救出までの初動は72時間とされ、セキュリティについても同様に、重大なインシデント発生から72時間のうちに何をやるか、初動をシミュレーションしておくことが必要だ」と森戸氏。その際のポイントとなるクライシスコミュニケーションの5原則について語りました。

　昨今は、インシデントへの対応が企業の評判に大きな影響を及ぼすようになっています。こうした状況を鑑みて、セキュリティ運用と、組織の評判や信頼性を維持・向上させるための戦略的な取り組みであるレピュテーションマネジメントとの連携が需要であると指摘しました。

　レピュテーション保護のためには、初動の前段階である監視・検知から、インシデント対応、その後の予防対策、継続的改善といった、一連の取り組みをPDCAで回していくことが大切です。

　森戸氏は、「これが実現できている企業は、セキュリティ対策の体制作りと運用に真剣に取り組んでいると、対外的にアピールしていってほしい」と呼びかけると共に、セキュリティ投資の考え方にも言及しました。

セキュリティ対策は企業価値を高める投資であり、その価値を定量化して経営判断に役立てるROSI（Return On Security Investment）の視点を持つことが大切だ（出典：「日本セキュリティ大賞」会場での提示資料）

　また、日本セキュリティ大賞の位置づけについて、「受賞を通じてセキュリティ体制がしっかりしている企業・組織であることをアピールする、あるいは自社ブランディングに活用して各企業・団体の業績や採用活動、人材育成にいかすといったことに活用してほしい」と述べました。

パネルディスカッション：3つのテーマで活発な議論

　パネルディスカッションは、アワード・ファイナリストのプレゼンテーションを中心に展開されました。テーマは、『セキュリティを武器にする民間企業の経営』『自治体において“壁”を乗り越えるための現場からの挑戦』『人材育成に向けた教育現場からの挑戦』の3つです（順不同）。

パネルディスカッション1：『セキュリティを武器にする民間企業の経営』

　「セキュリティを“武器”にする経営～事業をスケールさせる、攻めの組織とリスクマネジメント～」と題したパネルディスカッションでは、企業のセキュリティ対策と運用を中心に具体的な取り組み事例や考え方などが話題となりました。

　同パネルディスカッションに登壇したのは、食品会社の太田油脂株式会社（愛知県岡崎市）とライフネット生命保険株式会社（東京都千代田区）、総合人材サービス業のパーソルホールディングス株式会社（パーソルHD、東京都港区）です。

　EY新日本有限責任監査法人のプリンシパルである杉山一郎氏がモデレーターを務めました。

パネルディスカッション『セキュリティを“武器”にする経営』において、モデレーターを務めた杉山氏

　太田油脂は供給責任を果たすうえで、DX推進による生産性向上に取り組んでいた際に、自動車業界を中心にサイバー攻撃でサプライチェーンが分断されたケースが多発したことを受け、経営陣や全従業員への情報セキュリティに対する適切な教育が必要と判断しました。

　大きな課題となったのは、「デジタルのリテラシーが低い世代の意識をどう改革するか、製造現場の従業員にどのように教育の機会を持たせるか」ということ。

　従業員との意見交換を重ねたうえ、必要最小限の時間で場所を問わず受講できるリスキリング環境（全15回／毎回15分／オンライン）の構築や、情報セキュリティ初級認定資格の取得の必須化などにより、セキュリティレベルを全社的に強化しました。

　中小企業である同社によるDX推進と情報セキュリティ教育の両立が地元で評判となり、多くの企業から相談が持ちかけられるようになりました。

　これを契機に、同社はDX 推進室を分社化して、ITコンサルティング会社を設立して、それまで培ってきた知見を地元企業に還元する形で地域貢献できるようにしました。昨今の大規模なサイバー攻撃の案件もあって、中小企業の問い合わせや要望が増えてきているといいます。

　「当社は食品会社だが、将来は既存の食品安全監査などに情報セキュリティの項目が加わり、これに関する顧客からの問い合わせが必ず来るようになるだろう」と同社の太田健介代表取締役社長。今後もDX 推進と情報セキュリティ対策の両輪で取り組み、地道な努力を重ねていくとしました。

『セキュリティを“武器”にする経営』と題したパネルディスカッションの登壇者。左から太田油脂の太田氏、ライフネット生命の竹山氏、パーソルホールディングスの宮下氏

　パーソルHDでは複雑化するセキュリティリスクに対応するために、大掛かりなSecurity Operation Center（SOC）の再編を行いました。SOCとは、サイバー攻撃の常時監視、検出や分析、対応策のアドバイスを行う組織であり、インシデントの検知に重点が置かれています。

　セキュリティ強化の必要性を経営陣に説明した際、「それがコストに本当に見合うのか」と納得が得られにくかったとのこと。そこでSOCの品質向上やAIの活用など定性的な効果だけでなく、インシデントに対する初動対応時間の短縮といった定量的な効果もアピールすることで説得しました。

　専門性の高い外部パートナーとの協力体制に基づいたSOCへと再編を進める中で、タテ割り組織だった旧来のSOCには属人化された業務が数多くあることに気づきました。そこで、これらの業務や部門の役割を見直して再定義し、“10年近く蓄積されたSOC運用のひも解き”を進めることで解決を図ったといいます。

　こうした取り組みにより、インシデントに対するSOCによる初動対応を約60％短縮するなど、さまざまな成果が実現されているとのことです。

　成功要因について、グループIT本部情報セキュリティ部サイバーセキュリティ室シニアコンサルタントの宮下海里氏は、「各部門の担当者や管理職、外部パートナーなど、関係者と地道にコミュニケーションをとってきたことだ」と語りました。

　一方、ライフネット生命保険 IT戦略部の竹山真人部長は、全部門参加型のCSIRT（*1）を構築したことを紹介。20を超える社内の全部門から選出されたメンバーが参加することで、従業員一人ひとりの責任意識を向上させる取り組みとなりました。
（*1）Computer Security Incident Response Team。セキュリティインシデントに迅速かつ的確に対応する組織。「シーサート」と読む

　今回、実践的なインシデント対応体制の構築を進めると共に、参加メンバーには独立行政法人情報処理推進機構（以下、IPA）が主催する情報セキュリティマネジメント試験の合格を義務化しました。

　この取り組みにより、セキュリティ知識がレベルアップし責任感が生まれるなど、資格取得はかなり効果的だったようです。

　また、きめ細やかな研修に加え、ゲーム感覚でできるCSIRTのインシデント対応訓練などを通じて、全社レベルでセキュリティの底上げを図りました。

　その取り組みについて、竹山氏は次のように語っています。「まず組織を作って徐々に活動を広げるようにした。最初はやりやすい形でスタートさせ、段階的に活動内容を積み上げていけば一定の効果も出てくるものだ」。

パネルディスカッション2：『自治体において“壁”を乗り越えるための現場からの挑戦』

　行政DXおよびセキュリティ対策に関する自治体の取り組みを取り上げたパネルディスカッションでは、“前例や予算、知識の壁を越えた、現場からの挑戦”がテーマです。

　ここでは、行政DXの現場を阻む壁とそれをどのように突破したのか、柔軟な発想や実践方法をどう実現したのかなどが話題の中心となりました。

　パネリストとして登壇した3つの自治体で、広島県大崎上島町と京都府舞鶴市は、それぞれコンサルタントに頼らないゼロトラスト環境の構築、神奈川県横須賀市はAIを活用したお悩み相談チャットボット「にゃんペイ」の公開実験を事例として紹介しました。

日本電気株式会社官公ソリューション事業部門エグゼクティブストラテジストの桑原義幸氏がモデレーターを務めた

左から大崎上島町企画課・調整監の内藤潤三氏、横須賀市経営企画部デジタル・ガバメント推進室の太田耕平室長、舞鶴市デジタル推進室の吉崎豊室長

　大崎上島町では、予算や人員という現実的な考え方ではなく、そういう制限がなかったら何ができるのか、何をしたいのかという理想的な視点から検討をスタート。さまざまなベンダーから意見を求め、そこから学んだ知見をいかし、最終的に想定を大きく下回る予算で環境を構築できたといいます。

　舞鶴市は、“日本一働きやすい市役所を目指す”というビジョンに基づきDX推進に取り組む中で、職員のPCを「Google Chromebook」に切り替えるなどして、結果的にゼロトラスト環境の構築にたどり着いたとのこと。

　大崎上島町と舞鶴市とも、クラウドへの移行により働く場所を選ばない環境を実現しており、職員の考え方や仕事風景が大きく変化したとしています。

　また、横須賀市では、市役所の職員に対し、不適切な回答が絶対出現しないという前提で開発したチャットボットに、そういう回答をさせることができたら表彰するといったコンテストを実施。さらに、ボット開発への協力を求めて全国に公開し、多くのフィードバックが得られたといいます。

　こうしたユニークなアプローチの一方で、不適切な回答を完全になくすことは難しいとの結論に至り、現在は認知症予防のための音声会話型AIなどの導入に取り組んでいます。

パネルディスカッション3：『人材育成に向けた教育現場からの挑戦』

　セキュリティに係る人材の育成をテーマにしたパネルディスカッションでは、『次代のサイバーセキュリティを担う“人”をどう育てるか～教育現場の挑戦を深掘り～』がテーマとなりました。

　情報セキュリティ大学院大学の桑名栄二学長をモデレーターに迎え、教育機関による日本のサイバーセキュリティの将来を担う「人づくり」について、香川大学と東京電機大学が取り組み内容、課題や対応策などを説明しました。

　香川大学では、大学公認サークル「SETOKU（Security Team of Kagawa University）」がサイバー防犯ボランティアとして、サイバーセキュリティに関するさまざまな活動を通じ、産学官連携による地域に根差した実践教育を展開しています。

香川大学からはSETOKU学生代表の佐藤璃音氏（左下）がパネルディスカッションに参加し、活動内容を説明した

　SETOKUは、香川大学と香川県警察の包括的連携協力に関する協定に基づいて2021年11月に結成されました。

　香川大学サイバーセキュリティセンターや同県警、一般財団法人日本サイバー犯罪対策センター（JC3）など、多くの企業・団体から支援を受けて活動しているとのことです。

　具体的な活動内容は、「教育（主に小学校低学年を対象とする情報モラル教育）」と「広報啓発（サイバー防犯意識の向上）」、そして「サイバー空間の浄化（フィッシング詐欺被害防止）」の3つとなっています。

　同大学の創造工学部情報コースは、サイバーセキュリティを学び、仕事にする人材を輩出する役割を担っています。これに対し、公認サークルのSETOKUは、もっと幅広くサイバーセキュリティに興味を持つ人を増やしたいという考えです。

　一方、東京電機大学では、社会人向けの履修証明プログラムである「国際化サイバーセキュリティ学特別コース（CySec／サイセック）」を設置することで、大学院レベルの高度なプロフェッショナル人材を育成しています。

　CySecは2014年に、幅広く分野横断的にサイバーセキュリティを学べる場としてスタートしました。その大きな特徴は、外部から招へいした専門家を含め、約40名の講師陣を抱え、より実践的な現場感のある講義や演習を行っていることです。

　また、CySecを中心に、社会人や大学院生、学部生らを含めてさまざまな形で交流の場を設け、学内外の活動を支援する取り組みを充実させており、「サイバーセキュリティに興味を持った人を逃さない」ようにする環境づくりに取り組んでいます。

CySecの責任者を務める東京電機大学未来科学部情報メディア学科の寺田真敏教授（左下中央）、同大学でCySecに携わる研究推進社会連携センター総合研究所の千葉尭助教（右）

　また、個々の事情から学習の継続が困難になり、挫折したり脱落・離脱したりする受講生がいることも課題の一つ。CySecでは、大学の事務局にも協力してもらうようにして、できるだけ学び直しや再チャレンジできるようにするなど、学習への継続的なサポートを行っており、受講生の脱落や挫折をできるだけ防ぎたいとしています。

モデレーターの桑名氏は、パネリストの話を受けて「人材育成に王道や近道はなく、当たり前のことを着実かつ真面目に積み重ねていくしかないと感じた」と総括した

ソリューションピッチ：支援部門ファイナリスト5社が課題解決策を提案

　サミットでは、「ソリューションピッチ～5分でわかる、セキュリティの“次の一手”」と題したセッションも設けられました。

　アワード（表彰）におけるセキュリティ運用支援部門のファイナリスト各社が、自社の製品・サービスやソリューションを用いた最先端の課題解決策を5分でプレゼンテーションする場です。

ソリューションピッチでは印象深かった大きな成功体験を聞かれた登壇者が、それぞれ事例などを紹介した

　司会進行役の大越いずみ氏（サイリーグホールディングス株式会社取締役）は、自身が顧客ならば「だれに任せたいか」「どんな支援策について詳しく知りたいか」という視点から、各社のプレゼンを聞いてみたいと語りました。

　登壇した5社のうち、Pipeline株式会社（東京都中央区）は、日本のサプライチェーンに特化したAI駆動型のリアルタイム外部脅威インテリジェンスプラットフォームをアピールしました。

　また、S&J株式会社（東京都港区）は「Active Directory監視サービス」、NTTテクノクロス株式会社（東京都港区）は「特権ID管理ツール」、株式会社アシュアード（東京都渋谷区）は「セキュリティ信用評価プラットフォーム」、同社yamory事業部がITシステム・ソフトウェア統合型の「脆弱性管理ツール」をそれぞれ紹介し、その特徴や強みなどを説明しました。

　このソリューションピッチを持って前半は終了。新しい取り組みとなったサミットは、アワードのファイナリストや会場参加者、さらにオンライン視聴者も含めて文字通り多様なセキュリティの知見が集結し盛り上がりを見せていました。