経営と現場の板挟みになりがちなガバナンス、優先してやるべきことを明確に――リクルート 鴨志田昭輝氏：ITmedia エグゼクティブセミナーリポート（1/2 ページ）

リクルート社内のセキュリティ組織を立ち上げ、「なるべくガバナンスをしない」を旗印にセキュリティインシデント対応に当たってきたが、今度は「ガバナンス担当」を命じられ、もがきながらも前進している。

[高橋睦美，ITmedia]

　リクルート社内のセキュリティ組織を立ち上げ、「なるべくガバナンスをしない」を旗印にセキュリティインシデント対応に当たってきたのが、同社セキュリティ統括室長を務める鴨志田昭輝氏だ。その同氏が今度は「ガバナンス担当」を命じられ、もがきながらも前進している。

　ITmedia エグゼクティブセキュリティセミナー 2023春の基調講演において、「ビジネスやワークスタイルの変革に、セキュリティガバナンスはどう向き合うのか？」と題し、その取り組みについて話した。

「なるべくガバナンスをしない」を旗印に成果を上げてきたRecruit-CSIRT

リクルート セキュリティ統括室長 鴨志田昭輝氏

　「ユーザーとクライアントをマッチングする」というビジネスを核に、「SUUMO」「じゃらん」「ホットペッパービューティー」「Airレジ」といった多数のブランドでサービスを展開するリクルート。今や従業員数はグループ全体で5万人を超えている。

　その同社で、一人CSIRTからスタートして「Recruit-CSIRT」を立ち上げ、育ててきたのが鴨志田氏だ。もともとはセキュリティベンダーでさまざまなプロジェクトに携わっていたが、「あるべきセキュリティと自社の利益とがなかなか一致しないこともあり、プロフェッショナルとして正しいセキュリティを実現するためにユーザー企業に転身した。

　少しずつRecruit-CSIRTに仲間を集め、2018年には「サイバーセキュリティに関する総務大臣奨励賞」を受賞するほどうまくいった理由は、「セキュリティのスペシャリストが、ユーザー企業で幸せになることを重視して組織作りをしてきたから」だと鴨志田氏は述べた。

　「幸せ」とは具体的には活躍と成長のことで、さまざまなキャリアを持った人たちがリクルートに来て、活躍し、成長できるような組織を作りたいと言い続けたことでさまざまな人が集まってくれて、表彰されるようなCSIRTを作ることができた。

　ただ、話はそこで終わらない。2019年10月、同氏は新たに「セキュリティガバナンスを担当せよ」との辞令を受けた。

　実は鴨志田氏はCSIRT作りを進める中で「なるべくガバナンスをしない」ことを旗印に掲げていたという。上意下達的な関係ではなく、現場との信頼関係を重視していたからだ。「CSIRTでは、『こちらの指示に従え』といったガバナンスではなく、現場と対等な関係で一緒に頑張っていくことで成果を出し、感謝されることを大事にしていました」（鴨志田氏） にもかかわらずセキュリティガバナンスというミッションを担うことになり、引き受けるからには、やはり「セキュリティとして正しいことができるガバナンスを目指したい」と考え、取り組んでいる。

経営と現場の板挟みになりがちなガバナンス、優先してやるべきことと後回しにすることを明確に

　「多くの組織においてセキュリティは“総論賛成、各論反対”になりがちです。セキュリティを強化するんだ、という大方針に対しては皆さん賛成します。今や“セキュリティのことなんて知ったこっちゃない”という経営者やマネージャーはほとんどいませんが、にもかかわらず、具体的な施策に落ちてくるといろいろな反対意見が飛び出てきます。（鴨志田氏）

　この結果セキュリティ部門は、経営陣のセキュリティ強化に対する期待と現場とのギャップの間で板挟みになってしまいがちだ。これは、ある意味「宿命的」なものかもしれない。

　リクルートの場合も同様で、ガバナンス強化に向かう背景には、それまで子会社であった主要な中核事業会社・機能会社をリクルートに統合し、ガバナンスおよびマネジメントを強化することで、次の10年を担う事業の育成を強化するという経営層の方針があった。経営層はすでに「個人情報保護やサイバーセキュリティを含めたリスクマネジメントが非常に重要」といったメッセージを発し、ガバナンス強化に舵を切っている。

　一方現場はどうかというと、コロナ禍の影響でさまざまな変化に直面した。社員の働き方が変わり、テレワーク環境への移行が進んだこともあるが、より大きかったのはカスタマーへの影響の方だ。例えば飲食店はコロナの影響を踏まえ、売り上げが減少しても利益を出せるよう、バックエンド業務のシンプル化などに取り組み始めている。リクルートとしても、それまで事業の柱としていたマッチングプラットフォームだけでなく、予約管理や決済といったさまざまなソリューションを強化し、こうしたニーズに応えようとしている。

　「端的に言うと、経営からはガバナンスを強化せよと言われます。一方現場ではビジネスが非常に多様化し、どんどん新たなソリューションビジネスが出てきており、カスタマーの大切な情報を預かることも増えています。この結果ギャップがさらに拡大し、セキュリティがますますやりにくくなるという構造が、セキュリティ統括室長を拝命した2019年の時点で見えていました」（鴨志田氏）

　この向かい風の中で一番に重視したのは「経営への説明責任をきっちり果たす」ことだった。それも、「ちゃんとやっていること」を伝えるというよりも、優先順位を明確にして対策にメリハリを付け、期待値を経営とそろえることを重視したという。

　なぜなら企業のリソースは有限であり、あれもこれもとやっていてはとても間に合わない。そこで、優先してやるべきことと後回しにすることを整理し、優先順位を付けて経営に説明できる状態を整えることにまず取り組んだ。

　「セキュリティというものは、さまざまな脅威や問題が起こる中でどんどん手厚くしようとして施策が増え続ける傾向にあります。そこで、費用対効果の低い施策をやめ、取れるリスクは取り、減らせる施策をいかに減らしていくかの活動に、今、力を入れています。やらないことを明確にし、その分を新たに必要なことに投資していきます 」（鴨志田氏）

　もう1つは事業との接点だ。数百というオーダーでさまざまなサービスが展開され、開発体制もばらばら、それぞれ個別最適化されている中でセキュリティ対策を効果的に進めていくために、社内の組織として各事業との接点となるセキュリティ推進組織（1.5線）を設けることにした。