「CISOの役割は、緩める責任を負うこと」-freee CISO 茂岩氏：セキュリティリーダーの視座（1/3 ページ）

創業期から支え続けたDeNAの経験を活かし、freeeのCISOとして活躍する茂岩祐樹氏。「セキュリティを適切に緩める責任」を掲げる同氏に、AI時代の統制法や有効性の高いセキュリティ訓練など、ビジネスとのバランスを考慮したセキュリティ推進の勘所を聞いた。

[星原康一，ITmedia]

　DeNA創業期に「最初のエンジニア」として参画し、インフラ構築から事業継続、そしてセキュリティ組織づくりを推進。現在はfreeeでCISOとして、生成AI活用の加速とセキュリティ統制の両立に向き合うのが茂岩祐樹氏だ。

　話の核にあったのは、人の気持ちを汲み取る配慮だ。CISOの役割を「現場のスピード感を阻害しないよう、セキュリティを適切に緩めること」と定義し、インシデント報告にも「絶対に怒らない」姿勢を貫く。

　震災の経験、1人CSIRT、脆弱性診断の内製化、そして経営陣を巻き込む実践訓練──。現場感たっぷりの茂岩氏の言葉から、セキュリティリーダーが意思決定で迷う瞬間に必要な勘所を探る。

---

茂岩 祐樹（SHIGEIWA Yuki）
――freee株式会社 常務執行役員CISO

Photo by 山田井ユウキ

　 1995年に東京都立大学大学院修了後、日本IBM入社。1999年、DeNA創業期に参画しインフラを統括。2014年にはセキュリティ部を設立し、グループの情報セキュリティを統括する。2022年4月よりfreeeに加入して現職。

---

DeNA創業期に1人目のエンジニアとして加入

――まずは経歴から教えてください。

茂岩氏：　最初の会社は日本IBMでした。ストレージシステムの技術部門に配属され、現場のSEを技術で支援する立ち位置でした。トラブルが起きたら呼ばれて解決に入ったり、プリセールスとして提案時の技術説明に同行したり。いわゆる「現場で起きること」を背後から支える業務です。

　その後、DeNAへ移りました。共同創業者のうちの1人が大学の先輩で、声がかかったんです。創業期はシステム開発を外注に頼っており、「ITで商売をするのにエンジニアがいない」という状況でした。正直、当時の自分はWebシステム構築やアプリ開発の経験が十分ではなかったので最初は断っていましたが、紆余曲折の末、「最初のエンジニア」として入社しました。

――DeNAの創業期は、どんな役割を担っていたのでしょう。

茂岩氏：　システム開発は外部委託も使いながら進んでいましたので自分は、主にサービスを動かすためのプラットフォーム側、つまりインフラ整備を担いました。AWSなどのクラウドプラットフォームがまだない時代なので、データセンターを借りる、ネットワークを構築する、冗長性を担保する、DBやミドルウェアを運用する、といった「開発以外のシステムのお守り」を一通りやっていました。最初の1年くらいは、ほぼ1人で回していましたね。

ガラケー時代の終焉でネットワークセキュリティが変化

――セキュリティ領域に舵を切った背景は何だったのでしょうか。

茂岩氏：　自分自身がセキュリティに着手したのは2010年頃です。背景にはスマートフォンの普及があります。

　DeNAの事業の中心は携帯端末向けサービスで、ガラケーの時代は通信キャリアのゲートウェイを経由するアクセスがほとんどでした。なので、それ以外はブロックすればよかったのですが、スマートフォンでWi-Fiが当たり前になると、広域インターネットからアクセスされる前提に変わっていきます。本格的な対策が必要だと感じました。

Photo by 山田井ユウキ

　もう一つは海外展開です。当時、日本のゲーム会社が北米や中国へ進出したり、買収をしたりする流れがあり、セキュリティの考え方や基準も変わるだろうと考えました。

　とはいえ当時はセキュリティ専任部隊を置く企業がまだ多くなく、まずはインフラを見ていた自分が兼務で始めました。学びながらやっていくうちに面白さも感じ、2011年頃から「セキュリティ組織を作っていこう」と考えるようになりました。

――2011年は東日本大震災が起きた年です。インフラ担当者の皆様は大変だったのではないでしょうか。

茂岩氏：　震災で全てのビジネスがストップしてしまいました。ちょうどCSIRT（Computer Security Incident Response Team：インシデント対応チーム）を立ち上げようとしていましたが、一旦それは中断して、DR（Disaster Recovery：災害復旧対策）を優先しました。バックアップサイトやDRサイトの整備に、半年近く没頭しましたね。

　当時のモバゲーはトラフィックが非常に大きく、バックアップやDRを整備するにも、数千台規模でサーバを用意する必要がありました。同じことを考える企業が多く、データセンターの確保が大変でした。

　DRなので東京電力の管轄外の地域などの条件があります。もちろん、ラックと電源があればよいというわけではなく、ゲームなのでレイテンシーを抑えることも重要な要素です。IX（Internet eXchange）への近さ、回線の引き方なども考慮しつつ、拡張性やコストも考えて──と、さまざまな条件を見ながら意思決定を重ねました。

――クラウドはまだ整っていない時期だったのでしょうか。

茂岩氏：　AWSも選択肢として検討しましたが、当時のインフラの規模からするとコストが高くなってしまいました。また、現在のAWSは、国内でも東京と大阪の2リージョンで提供されていますが、当時は東京のみでしたので、DRを真面目に考えると、海外リージョンでの運用が必要になりますが、レイテンシーなどの心配がありました。技術的な解決方法はあったのですが、短期に対応するのは難しく、結果として、オーソドックスに別サイトを構築する方針に落ち着きました。