「CISOの役割は、緩める責任を負うこと」-freee CISO 茂岩氏：セキュリティリーダーの視座（2/3 ページ）

[星原康一，ITmedia]

1人CSIRT立ち上げ後、脆弱性診断チームを内製

――震災後、CSIRTはどのように整えていったのでしょう。

茂岩氏：　落ち着いた段階でセキュリティを再開し、CSIRT構築に改めて取り組みました。2012年1月にはNCA(日本シーサート協議会)にも加盟しています。

　当時はいわゆる「1人CSIRT」でしたが、最初から完璧を目指すのではなく、優先順位を付けて1つずつ取り組んでいきました。予算が潤沢にもらえるケースばかりではないので、現実的に始めて、パンクしない設計で継続することが大事だと思っています。

Photo by 山田井ユウキ

――セキュリティの具体的な取り組みは何からはじめたのでしょうか。

茂岩氏：　米国のスタートアップ企業を買収した際に、アプリの脆弱性診断を国内のパートナー企業にお願いして、出てきた脆弱性を自分が咀嚼して優先順位を付け、「これは今やる」「これは後にする」と整理して、現地に伝えていました。結果をどう解釈し、どう直すかは文脈が必要です。そこをブリッジする動きをしていました。

――米国よりも国内の方がセキュリティ意識は高かったのでしょうか。

茂岩氏：　日本の企業にお願いしたのは、腕の良いエンジニアがいる企業と知り合いになったからですね。米国の開発者もセキュリティを気にしていましたが、全員が強く意識していたかというと、そうでもなかったようです。ただ、プラットフォームの規模が違ったので、仕方ないところではあります。

　それとは別に、買収先には優れたアーキテクチャやコンセプトがあったので、お互いの良いところを融合すると良いサービスが生まれるという感覚はありました。

これを機に脆弱性診断の内製化にも着手しました。

――脆弱性診断は外部にお願いすることがほとんどですが、内製化したのはなぜなのでしょうか。

茂岩氏：　ゲーム開発はスピードが速く、数も多いので、外部の診断会社に頼っていたときは調整が非常に大変でした。スケジュールが変わることは日常茶飯事で、「来週1週間で診断をお願いしたい」と依頼することもあれば、「手配していたのに、開発が遅れて診断ができない」など、ご迷惑をおかけすることが多くありました。日程を改めるのも調整が大変ですので、ここがボトルネックになりかねないと判断しました。

Photo by 山田井ユウキ

　また、各プロダクトにおいて何が大事なのか、注意して診断するべきポイントは中の人が一番分かっています。外部に頼っていると先方の担当者が変わったときに診断の質が変わるという問題もあります。セキュリティをスムーズに回し、スケールさせるには、もっと柔軟に診断できる必要があるというのが内製化の動機です。

　とはいえ、当初、開発者をセキュリティに回すのは現実的に難しく、インフラ部隊のメンバーを自分の裁量でアサインしていくなど工夫しました。その後、中途採用で核になる人材を獲得でき、強いチームを形成できました。

絶対に怒らないセキュリティチーム

――茂岩さんのセキュリティチームの方針として、インシデント報告に対して「絶対に怒らない」という記事を読みました。その意図を教えてください。

茂岩氏：　セキュリティに関わるさまざまな事象を運用チームで可視化するには限界があります。ログやアラートでは、何かが起こったかもしれないことはわかっても、具体的に何があったのかはわからないことが多いです。

　結局、迅速かつ適切に対応するには、当事者から報告してもらわないといけません。もし「報告したら怒られる」ということが頭にあれば人は隠します。そうなるとインシデントの芽を軽微なうちに摘み取ることができません。だから報告してくれたら、まず「ありがとう」と言うようにセキュリティチームの意識を統一しています。

　もちろん、規定違反やコンプライアンス上の問題があるならば対処が必要ですが、それは法務などの別の部門の仕事にするべきです。セキュリティ組織は、叱る役になるより、早く情報が集まる土台を作るほうが、結果として会社を守れると考えています。

CISOとセキュリティ部長の違い

――DeNAからfreeeへ転職された背景も教えてください。

茂岩氏：　DeNAは22年勤めて「一通りやり切った」という感覚がありました。また、最終的には独立して、定年のない世界で生きたいという思いもありました。とはいえ、いきなり独立しても仕事があるかわかりませんので、50代を助走期間にするべく副業用の会社も作ってありました。

　ただ、コロナ禍で世の中のビジネスが停滞してしまい、外から仕事をもらうのも難しい状況が続きました。そうしたタイミングでfreeeからCISOでお誘いをもらいましたので、「創業メンバーとして進めやすかった環境」を一度離れて、他社で自分が通用するか確かめたい気持ちもあり、転身を決めました。

――一口にCISOと言っても、役割は人によって大きく違います。茂岩さんは、どう捉えていますか。

茂岩氏：　これは難しいです。

　よく言われる「経営と現場の橋渡し」「経営を理解して戦略を作る」は、セキュリティ部長でもできる側面があります。もちろん最上位の責任者として、これらも全うすべきですが、freee入社当時に突き詰めて考えた、CISOにしかできないことの１つの答えは「セキュリティを適切に緩める」役割でした。

　セキュリティが弱い時期は、必要なものを積み上げてひたすら強くしていきます。でも体制が整うと、セキュリティが強くなりすぎる傾向にあります。結果として、ビジネスのスピードとのバランスが悪くなります。

　しかし、そこでセキュリティの「枷」を外す判断は、担当者や部長ではできません。緩めて事故が起きたら責任を問われるからです。だからこそ、責任を負う立場の者が判断を下す必要がある。

　現場が「やりたいことができない」状況に対して、どうすれば安全に実現できるかを後押しするのがCISOの役割だと思っています。