「AIは活かすが任せきらない意識が大切」 - イー・ガーディアンCISO徳丸氏：セキュリティリーダーの視座（2/3 ページ）

[星原康一，ITmedia]

セキュリティに集中するために独立

―― 事業部長、システム開発、セキュリティの情報収集を全て担当していたのですね。過酷な環境ではないですか？

徳丸氏：　はい。帰宅は21時から22時、そこから食事を済ませてセキュリティを調査したり、記事を執筆したりする日々でした。「この働き方は続けられない」と感じ、セキュリティの時間を確保するべく、独立することを決意します。

　Webセキュリティ専業のコンサルタント企業「HASHコンサルティング」として独立したのが、2008年のことです。

　その後、2015年に元同僚でイー・ガーディアンで代表取締役社長を務めている高谷康久に声を掛けてもらい、グループ傘下に入りました。社名も「EGセキュアソリューションズ」に変更し、エンジニアも増えました。現在は、EGセキュアソリューションズの取締役CTO兼イー・ガーディアングループのCISOとして技術に深くコミットしています。

Photo by 山田井ユウキ

―― セキュリティの面白さは、その後どう変化しましたか。

徳丸氏：　出発点はソフトウェアの脆弱性でしたが、次第に「なぜ脆弱性が生まれるのか」「どうすれば減らせるのか」という組織・教育・マネジメントの側面へ意識が広がりました。書籍で知識を届ける、企業として「知らないからやってしまう」をなくすガバナンスなど、個人の技術から組織的な仕組みへと考えが成熟していったのが、この時期の変化です。

CSIRTを作ってインシデント対応強化

―― 一口にCISOと言っても役割はいろいろだと思いますが、徳丸さんはCISOという役職をどう捉えていますか？

徳丸氏：　一般論では情報セキュリティの責任者で、セキュリティ・ガバナンスに責任を持つ役割です。

　ただし、私の場合、CISOの就任は一昨年ですが、それ以前からイー・ガーディアンはプライム上場企業なので、セキュリティの運用は当然やっていました。親会社の情報システム部門に優秀なメンバーがいて、オペレーションはもともと“きっちり”回っていたので、それを壊す必要は全くないと考えました。

―― その前提の上で、着任後に最初にやったことは。

徳丸氏：　CSIRTを作り、役割と責任を明確化しました。インシデント対応自体は情シスが以前から回していましたが、判断・責任の線引きをはっきりさせ、関連会社・海外子会社まで含めた横断体制にしました。

　併せて、情報セキュリティ規程を更新してCISOの役職とCSIRTの位置づけを明記しました。CSIRTはバーチャル組織として運用し、対外的にも「やっている」ことが伝わる形にしました。

Photo by 山田井ユウキ

―― 体制づくり以外に、日々どんな意思決定や業務支援をしていますか。

徳丸氏：　これまでのところ、幸い重大インシデントはありませんが、ヒヤリ・ハット級の事象は起こり得ます。その際にどこに不備があったのかを整理し、「こうすべき」という助言や再発防止までの手当てを進めます。また、現場対応を吸い上げ、横展開するのが基本です。

従業員の行動を称えるセキュリティ教育

―― セキュリティ関係者以外の従業員への教育はどうしていますか。

徳丸氏：　事業の中核に電話サポートセンターを含むBPO（Business Process Outsourcing）があり、ITに詳しくない人が個人情報を扱う現場が多いです。そこで毎年、グループ向けに動画型の教育コンテンツを作っています。例えば、従業員による情報持ち出しや、メールによるフィッシング被害など、その時々で社会的に問題化している重点テーマの教材を手厚く用意します。

　ただし、メールの添付ファイルを開いてしまうなどは教育してもゼロにはできない現実があります。なのでEDRなどによる検知・対応を前提に、通報、初動、封じ込めの流れを固めます。誤報であっても通報した人を責めない、むしろ称える文化を意識して作るのもセットです。

―― 教育の効果測定は難しい領域です。どう向き合っていますか。

徳丸氏：　試験は実施しますが、100％の結果を求めるのは難しいですよね。それでもやらなければいけないことなので信念を持って毎年やります。基本は変えずに、時代に応じた重点項目を少しずつ更新する、というやり方です。「これさえやれば大丈夫」という奇策はないので、事例をベースに結末も伝えて実感を伴わせることを重視しています。