「CISOの役割は、緩める責任を負うこと」-freee CISO 茂岩氏：セキュリティリーダーの視座（3/3 ページ）

[星原康一，ITmedia]

AIは新たなID種別

――現在の最大のテーマは何でしょう。

茂岩氏：　AIですね。AIが入ってくると、人やシステムとは別の「もう1つのアイデンティティ」が生まれるような感覚があります。いろんなツールが次々に出てくる中で、統制側としては恐怖もあります。暴走したらどうする、漏えいしたらどうする、とリスクを考えます。

Photo by 山田井ユウキ

　一方で、これからはエンジニア以外の人も、ワークフローの中に組み込むAIや、Webブラウザのエージェント的なAIなど、AIを作り出す立場になると思います。会社としてはそのパワーを現場に与えたい。だから、「一律ダメ」で止めるのではなく、スピーディーに推進するためのルールやガードレールを発明しなければなりません。ここは同業の方々と話しても、悩みが共通している領域だと思います。

――AI活用におけるリスクとして、どんな点を意識していますか。

茂岩氏：　代表的にはデータ漏えいです。生成AIの場合、「学習されないようにする」という論点は結局、漏えい防止と同義です。さらに、誤った使い方で破壊的なコマンドが生成され、不可逆な変更が起こるリスクもあり得ます。

　漏えいと破壊、この2つをどう防止するかが重要です。

現場に権限移譲するための仕組み

――現場との距離を縮める仕組みとして「セキュリティチャンピオン」制度も運用されているそうですね。

茂岩氏：　各現場に橋渡し役を立てる制度です。ブロンズ、シルバー、ゴールドというランクがあり、シルバー以上になるとセキュリティレビューを自分で実施してよいことにしています。それ未満はセキュリティ組織にレビューの依頼が必要なので、1工程増えることになります。

　現場の自律性を上げ、スピードと質の両立を狙う。本人のキャリア価値にもなるので、制度としての意味は大きいと思っています。

――診断の自動化も進めているそうですが、どんな取り組みですか。

茂岩氏：　AIを使った自動診断の仕組みを導入しています。開発を担当したエンジニアがボタンを押せば静的解析の診断が実行され、レポートが出力されます。レポートのレビューはセキュリティ部門が実施しますが、好きなタイミングで実行・確認できるようにすることで開発期間を短くする狙いがあります。

　セキュリティチーム全体は約20人で、静的解析のレビューには10〜15人程度が関わっています。自動診断によりレビューの量が増えますので、フォールスポジティブを切り分ける仕掛けなど、工数を減らす工夫を重ねています。内製だからこそ、リスクに応じてレビューの深度を変えるような「微調整」も効かせやすいですね。

セキュリティチームが創作する経営向けセキュリティ訓練

――freeeのセキュリティ訓練は、経営層を巻き込んだ実践的な形式だと聞きました。

茂岩氏：　定期的に、経営陣、広報、法務、リスク管理部門などを集めて、半日ほどかけたシミュレーション訓練をやっています。いわば避難訓練のセキュリティ版です。

　シナリオは決めますが、参加者には伝えません。「この日にやります」とだけ言って、例えば「ランサムウェアに感染しました」「脅迫文が出ています」「ビットコインを要求されています」といった状況を突然投げます。

　そこから、広報はどう発信するか、法務はどう判断するか、経営はどう意思決定するかを、リアルタイムでチャット等も使いながら進めます。

　一番大事なのは終わった後のラップアップです。「あの時の判断は正しかったのか」「情報が足りない中でどう判断すべきだったか」を議論し、組織を筋肉質にしていきます。

　この訓練では、普段は守る側のセキュリティチームが仕掛け人となり、みんなを慌てさせる役割になるので、楽しんでいますね（笑）。

――最後に今後に向けた個人のビジョンと、読者へのメッセージをお願いします。

茂岩氏：　今後については、先ほども申し上げましたが、何歳になっても週3でもいいから、働ける限り働き、価値を出し続けたいです。独立も含めて、そういう状況を作りたいです。

Photo by 山田井ユウキ

　読者の皆さんに伝えたいのは、セキュリティは「強くする」だけだと、どこかで事業のブレーキになるということです。強くする局面と、緩める局面を意識し、責任ある立場の方が「どうすれば安全に実現できるか」を後押ししてほしいですね。

　そして、報告にはまず感謝して、早く相談してもらえる関係を作ることが大切です。AIのように変化が速い時代ほど、こうした姿勢が効いてくるはずです。