ニュース
» 2022年08月24日 07時01分 公開

「今日からセキュリティ担当、よろしくね」と言われたら、何から始める? 何を重視する?――freee CISO 茂岩祐樹氏ITmedia エグゼクティブセミナーリポート(2/2 ページ)

[高橋睦美ITmedia]
前のページへ 1|2       

 1つは、「全部を守るのは困難だ」という認識を持つことだ。理想を追求するのは大事だが、全てをガチガチに守ろうとするのは非現実的だ。積極的な「諦め」に立ち、取り組みをフェーズ化して段階的に進めていくことが重要だという。例えば、リモートワークが広がり自宅での業務が当たり前になると「社内の情報を一バイトも漏らさない」といった施策は非現実的だ。そこで「絶対に漏えいさせてはならない情報」と「それ以外」に分け、メリハリを付けながら施策を入れていくことが望ましいとした。

 もう1つは、セキュリティは「簡単だけれど、難しい」というちょっと哲学的な言葉だ。茂岩氏は、セキュリティ対策の技術的な難易度はそれほど高くないと感じているそうだ。ただ、「その対策を100%稼働させる」のは非常に難しく、常に努力が必要とされるという。

 「例えば5000人の従業員がいて5000台のPCがあるとき、キッティングの際に全てのPCにアンチウイルスソフトを入れても、半年後もそれらが全てのPCで正常に稼働し続けている自信があるかというと難しいでしょう。勝手に止まっていたり、定義ファイルのアップデートができていないこともあります。なのでモニターし、問題のあるところに手当をする必要があります」(茂岩氏)

 茂岩氏はさらに「一見簡単そうに見えることでも、必ず実行することがセキュリティではすごく大事」という。「ドベネックの樽」でも示されている通り、水は一番低いところから漏れてしまうことから、漏れなく施策を入れ、維持し、全体のレベルを上げていくことが重要だとした。

 また、ある部署がせっかく高い費用をかけてセキュリティに投資しても、何もしていない、セキュリティレベルの低いところから侵入されてしまってはその投資が無駄になってしまう。「全社の統制を効かせ、セキュリティレベルをどんどん上げるだけでなく、全社を適切なレベルにならす機能も発揮し、投資対効果を最適化する観点でもCSIRTは役に立ちます」(茂岩氏)

実は重要なセキュリティポリシー、変化に合わせて常にアップデートを

 次に茂岩氏は、セキュリティポリシーの重要性に触れた。CSIRTを組織し、技術的な対策を実施するのも重要だが、実際には技術だけではなかなかうまくいかず、ポリシーが文書化してあることが重要になる場面もあるという。

 多くの会社では、すでにセキュリティポリシーを策定済みだろう。だが「これを本当に、セキュリティを高めることに活用している企業がどれだけあるかというと、疑問が残ります」(茂岩氏)

 例えば、5年前、10年前に作られたセキュリティポリシーがアップデートされておらず、誰も守っていない状態は危険信号だ。「割れ窓理論」ではないが、「みんなが守っていないのだから、自分も守らなくていいや」と思われてしまう。茂岩氏はこうした事態を避けるため「ポリシーを常にアップデートし、もし厳しすぎて現実的ではないものがあれば思い切ってそのレベルを下げて、守れる状態にするのも大事です」と述べた。

 また、ポリシーというのはセキュリティ活動の根拠であり、新たな法令や技術を反映しながら最新化され、それを事業が参照することで安全に事業が遂行できる存在である。その認識に立ち、JNSAが提供するサンプルやサイバーセキュリティ経営ガイドライン、NISTのサイバーセキュリティフレームワーク、CISベンチマークといったフレームワークを見て、「足りないところがないか、抜け落ちているところがないか」をチェックしていくべきだとした。

 一方で矛盾するようだが、「ポリシーを作ると、それを破る場面も必ず出てきます」と茂岩氏は言う。顧客からの要望などで、どうしてもポリシーとは反するやり方を取らなければいけない「例外」が生じるのは珍しくない。大事なのは、その例外にどう根拠を与えるかだと茂岩氏は述べた。きちんと根拠を考えておけば、その先も事業が続いていく中で、似た事例が出てきた時の議論が楽になるという。

 茂岩氏の場合は、このように個別判断を求められる場面に直面したら「技術」「法律」「倫理」の3つをセットで考え、しっかり判断を下すようにしている。個人情報保護法や不正競争防止法といった関連法令と照らし合わせるだけでなく、社会の公器としてどうやって皆の納得感やコンセンサスを得ながら事業をしていくかを重視し、普段からセキュリティ関連のニュースに耳を傾け、感覚を養うことが重要だとした。

 そして、CSIRT本来の役割であるインシデントに備え、不意を突かれたときに備えてマニュアル整備などの準備を進め、演習を行うこともポイントだとした。「インシデントは二度と同じものはないため、その都度判断を要求されます。だからこそ、考えなくてもいい部分を増やしておき、エネルギーを必要なところに集中できるようにすることが重要です」(茂岩氏)

有事のための準備

 CISOはCxOの中でも比較的新しい役職で、設置している会社もまだ少ない。そんな中で茂岩氏は、自分なりにCISOの役割とは何かを考えているという。経営層とセキュリティの橋渡し役、予算と人材の確保などいろいろな意見があり、それぞれ同意できる部分があるが、それだけではCISOのバリューとしては物足りないと考えているそうだ。同氏の最新のCISO仮説は、「企業文化とセキュリティのベクトルを合わせていくこと」だ。freeeの中でもがきながらこの仮説を検証できたならば、あらためてその知見を共有していきたいとした。

前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

ITmedia エグゼクティブのご案内

「ITmedia エグゼクティブは、上場企業および上場相当企業の課長職以上を対象とした無料の会員制サービスを中心に、経営者やリーダー層向けにさまざまな情報を発信しています。
入会いただくとメールマガジンの購読、経営に役立つ旬なテーマで開催しているセミナー、勉強会にも参加いただけます。
ぜひこの機会にお申し込みください。
入会希望の方は必要事項を記入の上申請ください。審査の上登録させていただきます。
【入会条件】上場企業および上場相当企業の課長職以上

アドバイザリーボード

早稲田大学商学学術院教授

根来龍之

早稲田大学大学院国際情報通信研究科教授

小尾敏夫

株式会社CEAFOM 代表取締役社長

郡山史郎

株式会社プロシード 代表取締役

西野弘

明治学院大学 経済学部准教授

森田正隆