「今日からセキュリティ担当、よろしくね」と言われたら、何から始める？ 何を重視する？――freee CISO 茂岩祐樹氏：ITmedia エグゼクティブセミナーリポート（2/2 ページ）

[高橋睦美，ITmedia]

　1つは、「全部を守るのは困難だ」という認識を持つことだ。理想を追求するのは大事だが、全てをガチガチに守ろうとするのは非現実的だ。積極的な「諦め」に立ち、取り組みをフェーズ化して段階的に進めていくことが重要だという。例えば、リモートワークが広がり自宅での業務が当たり前になると「社内の情報を一バイトも漏らさない」といった施策は非現実的だ。そこで「絶対に漏えいさせてはならない情報」と「それ以外」に分け、メリハリを付けながら施策を入れていくことが望ましいとした。

　もう1つは、セキュリティは「簡単だけれど、難しい」というちょっと哲学的な言葉だ。茂岩氏は、セキュリティ対策の技術的な難易度はそれほど高くないと感じているそうだ。ただ、「その対策を100％稼働させる」のは非常に難しく、常に努力が必要とされるという。

　「例えば5000人の従業員がいて5000台のPCがあるとき、キッティングの際に全てのPCにアンチウイルスソフトを入れても、半年後もそれらが全てのPCで正常に稼働し続けている自信があるかというと難しいでしょう。勝手に止まっていたり、定義ファイルのアップデートができていないこともあります。なのでモニターし、問題のあるところに手当をする必要があります」（茂岩氏）

　茂岩氏はさらに「一見簡単そうに見えることでも、必ず実行することがセキュリティではすごく大事」という。「ドベネックの樽」でも示されている通り、水は一番低いところから漏れてしまうことから、漏れなく施策を入れ、維持し、全体のレベルを上げていくことが重要だとした。

　また、ある部署がせっかく高い費用をかけてセキュリティに投資しても、何もしていない、セキュリティレベルの低いところから侵入されてしまってはその投資が無駄になってしまう。「全社の統制を効かせ、セキュリティレベルをどんどん上げるだけでなく、全社を適切なレベルにならす機能も発揮し、投資対効果を最適化する観点でもCSIRTは役に立ちます」（茂岩氏）

実は重要なセキュリティポリシー、変化に合わせて常にアップデートを

　次に茂岩氏は、セキュリティポリシーの重要性に触れた。CSIRTを組織し、技術的な対策を実施するのも重要だが、実際には技術だけではなかなかうまくいかず、ポリシーが文書化してあることが重要になる場面もあるという。

　多くの会社では、すでにセキュリティポリシーを策定済みだろう。だが「これを本当に、セキュリティを高めることに活用している企業がどれだけあるかというと、疑問が残ります」（茂岩氏）

　例えば、5年前、10年前に作られたセキュリティポリシーがアップデートされておらず、誰も守っていない状態は危険信号だ。「割れ窓理論」ではないが、「みんなが守っていないのだから、自分も守らなくていいや」と思われてしまう。茂岩氏はこうした事態を避けるため「ポリシーを常にアップデートし、もし厳しすぎて現実的ではないものがあれば思い切ってそのレベルを下げて、守れる状態にするのも大事です」と述べた。

　また、ポリシーというのはセキュリティ活動の根拠であり、新たな法令や技術を反映しながら最新化され、それを事業が参照することで安全に事業が遂行できる存在である。その認識に立ち、JNSAが提供するサンプルやサイバーセキュリティ経営ガイドライン、NISTのサイバーセキュリティフレームワーク、CISベンチマークといったフレームワークを見て、「足りないところがないか、抜け落ちているところがないか」をチェックしていくべきだとした。

　一方で矛盾するようだが、「ポリシーを作ると、それを破る場面も必ず出てきます」と茂岩氏は言う。顧客からの要望などで、どうしてもポリシーとは反するやり方を取らなければいけない「例外」が生じるのは珍しくない。大事なのは、その例外にどう根拠を与えるかだと茂岩氏は述べた。きちんと根拠を考えておけば、その先も事業が続いていく中で、似た事例が出てきた時の議論が楽になるという。

　茂岩氏の場合は、このように個別判断を求められる場面に直面したら「技術」「法律」「倫理」の3つをセットで考え、しっかり判断を下すようにしている。個人情報保護法や不正競争防止法といった関連法令と照らし合わせるだけでなく、社会の公器としてどうやって皆の納得感やコンセンサスを得ながら事業をしていくかを重視し、普段からセキュリティ関連のニュースに耳を傾け、感覚を養うことが重要だとした。

　そして、CSIRT本来の役割であるインシデントに備え、不意を突かれたときに備えてマニュアル整備などの準備を進め、演習を行うこともポイントだとした。「インシデントは二度と同じものはないため、その都度判断を要求されます。だからこそ、考えなくてもいい部分を増やしておき、エネルギーを必要なところに集中できるようにすることが重要です」（茂岩氏）

有事のための準備

　CISOはCxOの中でも比較的新しい役職で、設置している会社もまだ少ない。そんな中で茂岩氏は、自分なりにCISOの役割とは何かを考えているという。経営層とセキュリティの橋渡し役、予算と人材の確保などいろいろな意見があり、それぞれ同意できる部分があるが、それだけではCISOのバリューとしては物足りないと考えているそうだ。同氏の最新のCISO仮説は、「企業文化とセキュリティのベクトルを合わせていくこと」だ。freeeの中でもがきながらこの仮説を検証できたならば、あらためてその知見を共有していきたいとした。