「技術を知らなければ、適切なリスクは取れない」 マネーフォワードCISO 松久氏：セキュリティリーダーの視座（3/3 ページ）

[星原康一，ITmedia]

「ココナッツ・セキュリティ」からの脱却とPMI

――現在、マネーフォワードではどのような体制でセキュリティに取り組んでいるのでしょうか。

松久氏：　私の配下にあるCISO室は、社員数十名と協力会社の数名で構成されており、大きく3つのチームに分かれています。

　1つはセキュリティガバナンスです。ルールや基準を作るチームです。ランサムウェアなど世の中で起きている最新のインシデント情報をキャッチアップし、「自社で起きたらどうなるか」をシミュレーションして基準をアップデートし続けています。

　続いてプロダクトセキュリティです。自社サービスを守るチームです。以前は、開発された製品の外側だけをセキュリティで固める、いわゆる「ココナッツ・セキュリティ（外は硬いが中は柔らかい）」になりがちでした。現在は、開発の初期段階からテックリードやセキュリティスペシャリストが入り込む「シフトレフト」を推進し、中身からセキュアな設計を進めています。

　3つ目はコーポレートセキュリティです。社内環境を守るチームです。当社が提供する法人向けサービスはバックオフィス業務を外出しして、本業に集中してもらうためのものです。自社内でもこの考えで業務を最適化しており、社内ツールを自社開発せず、世の中の優れたSaaSを徹底的に利用しています。そのため、コーポレートセキュリティチームは、外部SaaSとの安全なインテグレーションや、物理デバイス・ID管理が主な業務です。

Photo by 山田井ユウキ

――グループ会社が増える中で、ガバナンスを効かせる難しさはありますか？

松久氏：　非常に難しいポイントです。セキュリティというものは、全体の中で一番低いところが達成できている水準になってしまいます。しかし、買収したばかりの数十人から数百人規模の企業に、3000人を超える本体と同じ基準を要求するのは難しいです。

　各社の基準がグループ基準を満たしていればOKですが、満たせていなければ代替案を提示しなければなりません。本来、セキュリティは業務を邪魔せず、裏で隠れている存在であるべきですので、何を許容して、何を守ってもらうか、そのメリハリを付けることが大切ですね。

――セキュリティ水準が合わずにM＆Aを見送ることもありますか？

松久氏：　私から見送りを勧めるようなことはありませんが、デューデリジェンス（Due Diligence：投資・買収の前の適正評価プロセス）の際に調査して、PMI（Post Merger Integration：買収後の統合プロセス）でこういう対応が必要ですよ、と報告しています。

　また、例外管理が頭の痛い問題です。想定する通常運用ではなく、特殊な対応が必要な場面などですね。

　例えば、嘱託、派遣社員など、正社員以外の雇用形態の方々のアクセスをどう管理していくか。小さい企業の人事システムには、正社員の情報しか入っていないケースが多いです。想定外のユーザーをどう連携させて適切な権限を付与するか。上流の情報が揃っていない中で下流でのコントロールを強いられる場面があり、現在も注力して取り組んでいる課題の1つです。

「判断の同期」で権限委譲を進める

――今後のビジョンについて教えてください。現在はCIOとCISOを兼務されていますね。

松久氏：　将来的には、CIOとCISOは分けるべきだと考えています。

　CIOはシステム投資を推進しビジネスを加速させる「アクセル」役。CISOはリスクを見極め統制する「ブレーキ」役です。本来、この2つは相互牽制が働くべき関係です。現在は意思決定の早さを優先して兼務していますが、組織が拡大する中で、権限を委譲していくフェーズに来ています。

――後継者の育成はどのように進めているのでしょうか。

松久氏：　後任候補を立てて、オペレーション業務は任せつつ、現在は「判断の同期（シンクロ）」を進めています。

　外部から持ち込まれる経営判断レベルの案件、例えば「サイバーセキュリティ保険を更新するか否か」といった議題について、毎週の1on1でお互いの意見を伝えあっています。

　「なぜその判断をしたのか」「根拠は何か」。私の思考プロセスと彼の判断をすり合わせ、基準を一致させていく作業です。人によって色はあってもいいですが、根底にある基準は合致しているべきですね。最近は、ほぼ見解が一致しており、安心して権限を渡せます。

　また、彼には現在、グループ会社で執行役員CISO（役員）を兼務してもらっています。

Photo by 山田井ユウキ

――最後に、セキュリティリーダーへメッセージをお願いします。

松久氏：　CISOは、技術への深い理解と、GRCの視点の双方が求められる、非常に難易度の高いポジションです。

　「統制」が得意なCISOは多いですが、技術を知らなければ、過剰な防御でビジネスを止めてしまうか、リスクを見過ごしてしまうかのどちらかになりかねません。技術を知っているからこそ、リスクを許容できる範囲が見え、判断の精度が高まるはずです。

　大変な仕事ですが、技術と経営をつなぎ、ビジネスに直接インパクトを与えられる、やりがいのある役割でもあります。ぜひ、このチャレンジを楽しんでほしいと思います。