「人に配慮した、厳しくも前向きなセキュリティ環境づくり」 - ライフネット生命 竹山氏：セキュリティリーダーの視座（2/3 ページ）

[星原康一，ITmedia]

「穴はゼロにはならない」からこそ、「ここまでやった」が必要

――セキュリティは総合力というお話がありましたが、全体を穴なく設計するための方針などはございますか。

竹山氏：　まず、何をするにしても、会社がこれまで積み上げてきた文化――それはツールやドキュメント、人などに残っていると思っているのですが、それらを全部ひっくり返すことは避けたいと考えています。そこは大前提です。

Photo by 山田井ユウキ

　そのうえで、社外の基準を参照して、どこにギャップがあるかを定期的に見ています。例えば、ライフネット生命は金融業なので、FISC（The Center for Financial Industry Information Systems：金融情報システムセンター）の「金融機関等コンピュータシステムの安全対策基準・解説書」は大いに参考にしています。他にもさまざまなガイドラインやセキュリティ情報を参考にしながら、強化点などを議論しています。

――ドキュメント準拠が実用に耐えうるか、不安はないでしょうか。

竹山氏：　金融業ではガイドラインに沿っていることが不可欠ですし、年に一度のセルフチェックが義務づけられているので、関係者で読み合わせながら有効に機能していることを確認します。

　また、最近では自動チェックするツールもあるのでそちらも活用しています。NISTのフレームワークに準拠しているか、AWSの標準ガイドラインに沿っているかなどが、常時チェックされ、異常を検知したらアラートが出る仕組みです。

――穴をゼロにするのは難しいと思いますが、割り切りはありますか。

竹山氏：　新しい攻撃もどんどん出てくるので、もちろんゼロにはならないですよね。だからこそ、「ここまでやった」を説明できる状態にして、周りも自分自身も納得できるようにするという割り切りで考えています。

非IT部門が活発にセキュリティトーク

――経営層や各部門とのコミュニケーションは多いですか。

竹山氏：　CISOとは都度必ず。システム担当役員である社長の横澤にも説明します。また、ツール導入で影響が出る部門にも事前に話します。例えば「セキュリティは強くなるがネットワークが遅くなる」「今のサービスが使えなくなる」みたいなことも起こりえますので。

――セキュリティは導入の承諾をもらうのに苦労するケースも少なくありませんが、経営層とのコミュニケーションで意識していることはありますか。

竹山氏：　稟議を出す機会が多いですが、稟議のためだけの説明には意味がないと思っています。むしろその前に、必要な方に必要性を説いておくことに重点を置いています。

――社員向けのセキュリティ教育はどう設計していますか。

竹山氏：　教育カリキュラムはセキュリティ審査の事務局が作りますが、実際の教育は各部門で任命されたセキュリティ担当者にお願いする方式にしています。

　事務局は、会社ルールや最近の事故事例、注意点を型として用意します。それを用いて各部門の担当者が、業務に合わせてアレンジしながら各部門のメンバーに説明します。以前は、よくある動画視聴＋テストのかたちもやっていましたが、社員にとってはただ面倒なだけの作業になっていたので変更しました。

――各部門でアレンジするというのは、社員に開発者やシステム担当者が多いからできることなのでしょうか。

竹山氏：　当社は、実はそんなにIT人材は多くないんです。全体で社員は約250人、システム部門は30人ほどです。協力会社まで含めると開発者の体制は100人くらいですね。

　当社のCSIRTには、ITとは関係のない部署にも担当を決めて入ってもらっています。それが先ほどの教育を担当するセキュリティ担当者ですね。

Photo by 山田井ユウキ

　CSIRTでは定期的に会議をしています。テーマは、セキュリティ教育の企画のほかにも、メール訓練の準備・結果共有、CSIRT訓練などです。また、会議では、聞くだけで終わらないように、各自が気になったセキュリティニュースを3分で共有してもらう時間も設けています。

　こちらはまだ2年くらいの取り組みですが、実際にやってみると、ITと関係しない部門でもセキュリティに興味を持つ人が多い印象です。