「技術を知らなければ、適切なリスクは取れない」 マネーフォワードCISO 松久氏：セキュリティリーダーの視座（2/3 ページ）

[星原康一，ITmedia]

AWSで学んだ「Good intention doesn't work」

――AWS時代に学んだことで、現在のCISO業務や組織運営に活きていることはありますか？

松久氏：　AWSはいろんな意味で他とは違う会社でした。一番の特色としては「メカニズム（仕組み）」へのこだわりです。

　AWSには、ジェフ・ベゾス氏の言葉として「Good intention doesn't work, only mechanism works!　（善意は機能しない、仕組みだけが機能する）」という考え方が浸透していました。

Photo by 山田井ユウキ

　特に日本企業は、「頑張ろう」「気をつけよう」といった個人の意識や善意に依存した運用をしがちです。しかし、AWSでは「すべての業務において、どう仕組みを作るか」が常に問われます。

　AWSの社員はよく働きますが、それも働くためのメカニズムが確立されています。Quarterly Business Review（四半期ビジネスレビュー）もその一環で、単なるレポートではなく、成果を出すためのメカニズムになっています。

　ルールを作るだけでは動かない人もいます。会社のベクトルと個人の行動が自然と一致するような「プラットフォーム」や「環境」を作ることこそが重要だと学びました。

――その考えは現在の業務にも生きていますか。

松久氏：　そうですね。AWSもマネーフォワードもスピードを優先する企業ですので、大いに役立っています。

　また、スピードを生むメカニズムの1つに組織構成がありますが、日本の大企業と考え方が大きく異なるかもしれません。日本の企業は、MECE（漏れなくダブりなく）な組織図を作ろうとしますが、AWSやマネーフォワードは人や部署のオーバーラップ（重複）を恐れません。

　スピードを重視するならチーム内に必要なリソースを用意する必要があります。したがって、各チームに同じような役割を担う人がいてもあまり気にしません。このカルチャーは、変化の激しいサイバーセキュリティの世界においても非常に重要だと感じています。

技術を知るからこそ、リスクという「ブレーキ」が踏める

――CISOという役割の難しさと、求められる資質についてどうお考えですか。

松久氏：　CISOには、「テクノロジー」と「GRC（ガバナンス・リスク・コンプライアンス）」の両輪が必要です。特に金融機関やFinTech企業のCISOには、この両方の高度な知識が求められます。

　技術的なリスク判断は現場任せるといった形をとることもあるとは思いますが、私は技術を知らなければ、適切な「リスクテイク」ができないと考えているので、そちらの能力も磨くべきだと思います。

――「技術を知らないとリスクテイクできない」とは具体的にどういうことでしょうか。

松久氏：　例えば、「業務で生成AIを使いたい」という要望が現場から上がったとします。GRCの視点だけで見れば「情報漏洩リスクがあるから禁止（ゼロリスク）」とするのが一番簡単です。しかし、それではビジネスの競争力を削いでしまいます。

　「AIを使わない」という選択肢があり得ない以上、現場はトライ＆エラーをするしかありません。だからこそ、CISO室のメンバーには「第二線の権威になるのではなく、第一線に入り込め」と伝えています。

　私たちも現場と同じツールを触り、業務や技術的な挙動を理解した上で、「運用でこう統制しよう」「契約でここに歯止めをかけよう」といった対策を講じます。技術的な挙動が分かるからこそ、ただ禁止するのではなく、安全に使うための条件を提示できるのです。

Photo by 山田井ユウキ

　また、例えば「開発拠点を海外に展開する」といった経営判断が出た際、技術的な知見があることで、環境の変化に応じて必要となるセキュリティ要件や運用準備を事前に整理し、円滑な推進を支援できるようになります。