「今日からセキュリティ担当、よろしくね」と言われたら、何から始める? 何を重視する?――freee CISO 茂岩祐樹氏:ITmedia エグゼクティブセミナーリポート(2/2 ページ)
今日からセキュリティ担当と言われたら……。悩みつつゼロからセキュリティ部門の立ち上げに携わった経験を元に、これからセキュリティチーム作りを始める人たちに向けたアドバイスとは。
1つは、「全部を守るのは困難だ」という認識を持つことだ。理想を追求するのは大事だが、全てをガチガチに守ろうとするのは非現実的だ。積極的な「諦め」に立ち、取り組みをフェーズ化して段階的に進めていくことが重要だという。例えば、リモートワークが広がり自宅での業務が当たり前になると「社内の情報を一バイトも漏らさない」といった施策は非現実的だ。そこで「絶対に漏えいさせてはならない情報」と「それ以外」に分け、メリハリを付けながら施策を入れていくことが望ましいとした。
もう1つは、セキュリティは「簡単だけれど、難しい」というちょっと哲学的な言葉だ。茂岩氏は、セキュリティ対策の技術的な難易度はそれほど高くないと感じているそうだ。ただ、「その対策を100%稼働させる」のは非常に難しく、常に努力が必要とされるという。
「例えば5000人の従業員がいて5000台のPCがあるとき、キッティングの際に全てのPCにアンチウイルスソフトを入れても、半年後もそれらが全てのPCで正常に稼働し続けている自信があるかというと難しいでしょう。勝手に止まっていたり、定義ファイルのアップデートができていないこともあります。なのでモニターし、問題のあるところに手当をする必要があります」(茂岩氏)
茂岩氏はさらに「一見簡単そうに見えることでも、必ず実行することがセキュリティではすごく大事」という。「ドベネックの樽」でも示されている通り、水は一番低いところから漏れてしまうことから、漏れなく施策を入れ、維持し、全体のレベルを上げていくことが重要だとした。
また、ある部署がせっかく高い費用をかけてセキュリティに投資しても、何もしていない、セキュリティレベルの低いところから侵入されてしまってはその投資が無駄になってしまう。「全社の統制を効かせ、セキュリティレベルをどんどん上げるだけでなく、全社を適切なレベルにならす機能も発揮し、投資対効果を最適化する観点でもCSIRTは役に立ちます」(茂岩氏)
実は重要なセキュリティポリシー、変化に合わせて常にアップデートを
次に茂岩氏は、セキュリティポリシーの重要性に触れた。CSIRTを組織し、技術的な対策を実施するのも重要だが、実際には技術だけではなかなかうまくいかず、ポリシーが文書化してあることが重要になる場面もあるという。
多くの会社では、すでにセキュリティポリシーを策定済みだろう。だが「これを本当に、セキュリティを高めることに活用している企業がどれだけあるかというと、疑問が残ります」(茂岩氏)
例えば、5年前、10年前に作られたセキュリティポリシーがアップデートされておらず、誰も守っていない状態は危険信号だ。「割れ窓理論」ではないが、「みんなが守っていないのだから、自分も守らなくていいや」と思われてしまう。茂岩氏はこうした事態を避けるため「ポリシーを常にアップデートし、もし厳しすぎて現実的ではないものがあれば思い切ってそのレベルを下げて、守れる状態にするのも大事です」と述べた。
また、ポリシーというのはセキュリティ活動の根拠であり、新たな法令や技術を反映しながら最新化され、それを事業が参照することで安全に事業が遂行できる存在である。その認識に立ち、JNSAが提供するサンプルやサイバーセキュリティ経営ガイドライン、NISTのサイバーセキュリティフレームワーク、CISベンチマークといったフレームワークを見て、「足りないところがないか、抜け落ちているところがないか」をチェックしていくべきだとした。
一方で矛盾するようだが、「ポリシーを作ると、それを破る場面も必ず出てきます」と茂岩氏は言う。顧客からの要望などで、どうしてもポリシーとは反するやり方を取らなければいけない「例外」が生じるのは珍しくない。大事なのは、その例外にどう根拠を与えるかだと茂岩氏は述べた。きちんと根拠を考えておけば、その先も事業が続いていく中で、似た事例が出てきた時の議論が楽になるという。
茂岩氏の場合は、このように個別判断を求められる場面に直面したら「技術」「法律」「倫理」の3つをセットで考え、しっかり判断を下すようにしている。個人情報保護法や不正競争防止法といった関連法令と照らし合わせるだけでなく、社会の公器としてどうやって皆の納得感やコンセンサスを得ながら事業をしていくかを重視し、普段からセキュリティ関連のニュースに耳を傾け、感覚を養うことが重要だとした。
そして、CSIRT本来の役割であるインシデントに備え、不意を突かれたときに備えてマニュアル整備などの準備を進め、演習を行うこともポイントだとした。「インシデントは二度と同じものはないため、その都度判断を要求されます。だからこそ、考えなくてもいい部分を増やしておき、エネルギーを必要なところに集中できるようにすることが重要です」(茂岩氏)
CISOはCxOの中でも比較的新しい役職で、設置している会社もまだ少ない。そんな中で茂岩氏は、自分なりにCISOの役割とは何かを考えているという。経営層とセキュリティの橋渡し役、予算と人材の確保などいろいろな意見があり、それぞれ同意できる部分があるが、それだけではCISOのバリューとしては物足りないと考えているそうだ。同氏の最新のCISO仮説は、「企業文化とセキュリティのベクトルを合わせていくこと」だ。freeeの中でもがきながらこの仮説を検証できたならば、あらためてその知見を共有していきたいとした。
関連キーワード
セキュリティ | CSIRT(Computer Security Incident Response Team) | サイバー攻撃 | CISO | freee | セキュリティポリシー | フレームワーク | 情報セキュリティ | ITmedia エグゼクティブセミナーリポート | IPA(情報処理推進機構) | JPCERT/CC | NICT(情報通信研究機構)
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- ウイズコロナ時代のサイバーセキュリティ、完璧を目指すより実践的で高い費用対効果を追求すべき――情報通信研究機構 伊東寛氏
- 「損害保険×ソリューション」の提供で、効率的かつ効果的なサイバーリスク対策を実現――東京海上日動火災保険 教学大介氏
- 増え続けるサイバー犯罪、「完璧」ではなく「現時点最強」で致命傷を避ける備えを――圓窓 澤円氏
- 変化に必要なのはインプットとアウトプットで「いま」という時代をちゃんと知ること――Armoris 取締役専務 CTO 鎌田敬介氏
- サイバー攻撃から組織を守るために不可欠な3つのチカラとは――SBテクノロジー プリンシパルセキュリティリサーチャー 辻伸弘氏
- 重要インフラ行動計画、環境の変化を考慮して継続的に改定していくことが重要――NISC 結城則尚氏
- 情報セキュリティ委員会、CSIRT、SOCがワンチームで対応するのが情報セキュリティの肝――ラック、ダイドーグループHD 喜多羅滋夫氏
- 攻めのサイバーセキュリティでDXをけん引し、全てのステークホルダーに価値を提供――竹中工務店 高橋均氏
- DXを支えるサイバーセキュリティ新常態を新型コロナウイルス対策から学ぶ――ラック西本逸郎社長
- デジタルによる業務の生産性向上とセキュリティ強化の両立がゼロトラスト最大の目的――NRIセキュアテクノロジーズ 鳥越真理子氏
- ゼロトラストで目指すのは、快適に、安心して、楽しく働ける職場を支えるIT基盤――日清食品グループの挑戦
- 脅威と向き合う哲学――これからのランサムの話をしよう
- NISCもゼロからテレワーク導入――コロナ禍が問う、ウィズリスク時代の緊急対応