目 次
・CISOとは何か?そして、CISOの新しいあり方とは?
・DeNAの体験談に学ぶ、成長に伴う段階的なセキュリティ対策推進の秘策
・脆弱性診断を内製化してコストメリットを示し、徐々に得た周囲の理解
・貫いた「よろず相談応じます、絶対に怒りません」の姿勢
・繰り返し行う教育と情報提供、今後は「体験」もポイントに
Written by 高橋 睦美
一橋大学社会学部卒。1995年、ソフトバンク(株)出版事業部(現:SBクリエイティブ)に入社。以来インターネット/ネットワーク関連誌にてネットワーク・セキュリティ関連記事の編集を担当。2001年にソフトバンク・ジーディーネット株式会社(現:アイティメディア)に転籍し、ITmediaエンタープライズ、@ITといったオンライン媒体で10年以上に渡りセキュリティ関連記事の取材、執筆ならびに編集に従事。2014年8月に退職しフリーランスに。
セキュリティの領域における日本企業のアジェンダ、そしてCISOに求められる役割とは?
【CISOの明日はどっちだ!?Vol.2】本音で対談!情報セキュリティの「理想」と「現実」
一般にCISO(Chief Information Security Officer:最高情報セキュリティ責任者, 情報セキュリティ統括担当役員)とは、企業の情報セキュリティを統括管理する最高責任者を指す。
具体的には、外部攻撃や情報漏えいに備えて、セキュリティポリシーを定め、それに基づいて適切に情報を取り扱うよう、ITシステムも含めた手順や仕組みを整えることが挙げられる。機密情報、プライバシー保護のための管理もCISOの管轄である。また、セキュリティインシデントが発生した際には、情報収集や対策の指揮監督を行い、CSIRTと連携しながら対応に当たる役割も期待されている。
関連する職種には、CIO(Chief Information Officer:最高情報責任者)とCSO(Chief Security Officer:最高セキュリティ責任者)が挙げられる。
CIOは、情報戦略の企画・実行の責任者でありITシステムの導入から管理をまで統括する。CISOやセキュリティ専任担当者が配置されていない企業では、CIOが情報セキュリティについても管理することが一般的である。
CSOは、CISOと同義で使われることも多いが、区別する場合は情報セキュリティのみを担当する責任者をCISOとし、情報に限らず「人」「オフィス」「財産」などを含む広義のセキュリティを担当するのがCSOと、異なる扱われ方をするケースもある。
他の職種と比較することで、特に「情報セキュリティ」分野における責任者であるというCISOの専門性とその役割が浮かび上がってくる。
日本においても、経営課題の1つとしてセキュリティを捉え、対策に取り組む重要性が認識されるのにともなって、企業・組織内で情報セキュリティ対策全般を取り仕切る責任者としてCISOを任命する企業が増加傾向にある。しかし、その役割や定義は企業によって少しずつ異なり、中には残念ながら、「名ばかり」CISOになってしまっているケースもあるという。
またデジタル変革の波が広がる中、生産性向上や効率改善といったビジネス上の目的を安心して達成するために上記ミッションに加え、各部門とコミュニケーションを取り、手助けしていくアプローチが求められ始めている。
そこではセキュリティに関する技術的な素養に加えて、社内のさまざまな悩み事や課題を聞き取り、解決法を探り、異なる立場の相手にとってわかりやすい言葉で必要な事柄を伝えるコミュニケーション能力も求められることになるだろう。これは経営層との「橋渡し役」を果たす上でも重要なポイントだ。
エムオーテックス(MOTEX)が2018年11月13日に開催したセミナー「CISOの明日はどっちだ!?」では、そんなCISOのあるべき姿について、エキスパートが意見を交わした。
スマートフォン向けのゲーム事業を中心に幅広くインターネット関連サービスを提供している株式会社ディー・エヌ・エー(DeNA)。最近ではペイメント(決済)やタクシーの配車を行うオートモーティブサービスなどにも事業領域を広げ、一言ではその事業内容を言い表せないほどになっている。
そんな同社はかねてからセキュリティの内製化にこだわり、各種サービスの脆弱性検査を行うセキュリティ部を設置したほか、組織内CSIRTとしてさまざまなセキュリティの相談事に応じる「DeNA CERT」を設立するなど、着実に体制作りを進めてきた。が、その道のりは決して平坦ではなかったという。
MOTEXが2018年11月13日に開催したセミナー「CISOの明日はどっちだ!?」の特別セッションに、DeNAのシステム本部 セキュリティ部 部長を務める茂岩祐樹氏が登場。アスタリスク・リサーチのエグゼクティブ・リサーチャで旧知の仲でもある岡田良太郎氏の質問に答える形でその歩みを振り返った。
起業直後でまだ数人規模でしかなかったDeNAに加わる前は、日本IBMでストレージ関連のエンジニアとして活躍していた茂岩氏。ひょんなきっかけからDeNAに転職し、以来、サーバやネットワークといったインフラ面を担当してきた。その中で自然と、ファイアウォールをはじめとするネットワークセキュリティにも携わるようになっていったという。
そんな同氏がセキュリティの体制づくりを行ったきっかけの1つは、「スマートフォンが出てきたこと」(茂岩氏)だそうだ。「それまでDeNAのサービスが対象としていたガラケーでは、キャリア側のゲートウェイを介して通信することから、『このIPアドレスからしか通信はこない』と特定し、それ以外の通信はブロックすればセキュアな環境を構築できた。ところがスマートフォンが登場し、Wi-Fi接続も増えてきた結果、さまざまな攻撃を受ける可能性が高くなってきた」(茂岩氏)
そこでアプリケーションにも目を向け、セキュリティの観点からさまざまな診断を実施し始めてみたところ、案の定、さまざまな穴が見つかった。ひとまずそれらを塞いでいったが、「これを場当たり的にやっていては非常に非効率だと判断し、開発プロセスや組織体制も含め、どのような形にすれば問題が起きにくくなるかを考え始めたのが2010年頃のことだ」(茂岩氏)という。
最初は、インフラ担当の仕事との掛け持ちで「1人CSIRT」状態だったというが、徐々に周囲の理解を得ながら整備を進めてきた。2011年にはDeNA CERTを設立して外の組織と横の連携を取りながら対策を推進できる体制を整え、4年前にはセキュリティ事業専任の「セキュリティ部」を設立した。今ではこれらを合わせてのべ22名体制でセキュリティ対策に取り組んでいる。半分はサービスの脆弱性診断に、残り半分は社内のセキュリティポリシー策定や監査といったタスクを担当しているそうだ。
CISOの目から見ると理想的にも思えるDeNAの体制。だが、岡田氏の言うように「これを実現するには、セキュリティエンジニアを自社に抱える勇気が必要」だし、そのための予算も欠かせない。いったいどのようにしてそんな体制を実現していったのだろうか。
「セキュリティ製品を売るわけではないうちのような企業では、セキュリティはコストセンターになる。つまり規模が小さければ小さいほど会社にとってはうれしいことになる。だが、何とかして技術力の高いセキュリティチームを作れないかと考えて思いついたのが、脆弱性診断チームを内製化することだった」(茂岩氏)
茂岩氏らは少しずつ、DeNAが展開する多種多様なサービスの脆弱性検査で実績を作っていった。そして、事業が広がる中、外部に頼らず自分たちでセキュリティ診断ができる体制を作ればコストメリットが生まれることを証明し、会社として「内製する体制が必要だ」というコンセンサスを形作っていったという。
1人で始めたセキュリティ対策を、事業がどんどん拡大する中で茂岩氏はどのように社内に広げていったのだろうか。
同氏は「皆さんにお願いしながら、『セキュリティは大切だ』という認識を高めていった。ただ、DeNAには国内だけでなく海外にも事業部がある。この海外の人たちを巻き込むのはとても大変で、何度も足を運び、フェイス・トゥ・フェイスで『セキュリティについても一枚岩で取り組もう』と説明していった」と振り返る。
こうした地道な取り組みを通じて、社内全体でセキュリティへの認識を高めていくこと自体は素晴らしい取り組みだ。だが茂岩氏は同時に「そこにあぐらをかいて、お上の裁きのようなことを始めてしまってはいけないと、常に自らを戒めている」という。
だから、仮に誰かが不用意にリンクを踏んでマルウェアに感染したりしても、「絶対に怒らないことを貫いている。自分もそうだが、『怒られる』と思うと積極的に言いたくなくなるが、そうすると隠蔽の文化がはびこってしまう」(茂岩氏)
「報告、相談、何でも大歓迎。けっして怒りません」という姿勢を貫いた結果、「今ではいろいろな事業部から非常に多くの相談をいただいている。さばくのは大変だけれど、いいことだと思う」という。
一方で、時には「このセキュリティルールから外れたことをしたいけれど、どうしたらいいだろうか」という相談を受けることもあるそうだ。新たなクラウドサービスの採用がその典型例だ。「『このルールがあると、うちの事業部のビジネスは成り立たない。どうしたらセキュリティを担保しながら新しいことをできるだろうか』といった相談を受ける。そのような時には、絶対のルールありきではなく、前向きに一緒に解決策を考えている」(茂岩氏)
こうしたDeNAのセキュリティ部の「おもてなしの精神」は見習うところも多いが、なかなか「一朝一夕にはいかないこと」(岡田氏)でもある。コツはどんなところにあるのだろうか。
茂岩氏は「常に噛み砕いて、相手のレベルに合わせて説明するようにしている。また、入社後に受けるe-ラーニングを一回受けたきりでは、人というものは忘れてしまう。だから、何度も何度もやっていかないといけない」と、繰り返し行う教育の重要性を強調した。繰り返し伝えることで、中長期的には、組織それぞれが自律的にセキュリティについて考えられるような構造にしていきたいという。
取り組みを継続的に進めるには、トップの理解も欠かせない。茂岩氏は「トップを動かすにはとにかく情報を提供していくのが大切だ」と、四半期に1回のペースで各事業部向けの「サイバーセキュリティレポート」をまとめ、各事業部のトップに説明して回っているという。
時には相手の状況にあわせて情報提供をする。グループには、さまざまな業種があり、それごとにリスクが異なるからだ。「子会社の社長に『最近のセキュリティ関連のトピックはこれで、こうしたところに特に気をつけてください』と噛み砕いて話したこともある」。最初は『よくわからない』と言う反応でも、繰り返し説明を続けていく中でリテラシーが上がってくるし、最近は『今日の説明は面白かった』と感想を言われたこともあった」そうだ。
こうして経営トップがセキュリティに関する知識を貯えておくことが、何か不測の事態が発生したときに必ず役立つはずだと茂岩氏は考えているという。「全く知識のないところに投資の話を持っていっても難しい。尖った部分までは分からなくても、世の中のだいたいの状況が分かっていれば、こちらから必要な施策を持っていくときにその知識を生かして適切に判断してもらえるはずだ」(同氏)
もう1つ、茂岩氏が重視している「教育」において、今力を入れている取り組みがある。「体験することがとても大事だと思っている。一度インシデントを起こした人は、その後、とても気をつけるようになる。つまり、体験がセキュアな方に行動を変えるエッセンスになっている」と同氏。世の中のいろいろな事例を口で伝えるだけではなく、演習などを通じて体験してもらうのが大事ではないかと述べた。これには、岡田氏も特に共感。同氏はサイバーセキュリティ堅牢化を競技の形で実践するHardening Projectを推進している。
最後に、「もし5~6年前に戻って過去の自分にアドバイスするとしたら?」という岡田氏の質問に対し、「今思えば、外部から調達可能なリソースをもっと使えばよかったなと思う。とことん内製にこだわっていたが、もう少しバランスよく、外の力を借りたり、ツールを使ったりすればよかった」と茂岩氏。自力で頑張れるところは頑張りつつ、成長の段階を考慮して現実的に考え、時には横のコミュニケーションや外部のリソースをうまく使いこなしながらセキュリティ対策を推進していくことの大切さが来場者には伝わったのではないだろうか。
セキュリティの領域における日本企業のアジェンダ、そしてCISOに求められる役割とは?
【CISOの明日はどっちだ!?Vol.2】本音で対談!情報セキュリティの「理想」と「現実」