「人に配慮した、厳しくも前向きなセキュリティ環境づくり」 - ライフネット生命 竹山氏：セキュリティリーダーの視座（3/3 ページ）

機微情報を扱うネット生保で開発とセキュリティを担う竹山真人氏。非IT人材を巻き込むCSIRTや親身な相談窓口で全社のセキュリティレベルを底上げしている。施策の根底にある考え方と彼の歩みを紐解く。

[星原康一，ITmedia]

非公式に相談できる環境がセキュリティ向上に寄与

――新たに外部システムを利用する際は、必ず付議するルールがあるそうですね。

竹山氏：　こちらも最近の取り組みですが、セキュリティのサブコミッティを組織して、SaaSや外部のシステムを利用する際にはそこに付議してもらうかたちにしました。

　会社としてのチェックポイントは公開してあるので、「どんなリスクがあるか」「どう対応するのか」を申請者に考えて持ってきてもらいます。サブコミッティには、ITだけではなく、法務部、リスク管理部にも入ってもらい、技術的な脆弱性以外に法的リスク、委託先のチェックなどの観点でもチェックできるフローです。

　この申請を考える過程でセキュリティ意識が上がっており、一定の成果が出ています。

――現場からは「面倒くさい」と言われませんか。

竹山氏：　おそらく、ほとんどの人は面倒くさいと感じていると思います。申請すると大抵は再申請に向けた宿題が出ますしね（笑）。

――それでも制度が機能する理由は何でしょう。

竹山氏：　ユーザーではなく、セキュリティ側が責任を持つための仕組みなので、それを伝えています。「面倒くさいことを言うものの、言われた通りにやって問題が起こったら、こっちのせいにしていいですよ。逆に何もしないでやって問題を起こしたら何も助けられないから、ちゃんと申請してください」というメッセージですね。

Photo by 山田井ユウキ

　もう１つポイントは、サブコミッティがいくらでも相談に乗る姿勢を見せていることですね。付議を出す前に、非公式で一部のサブコミッティメンバーと打ち合わせする方も多いです。その打ち合わせで「この部分はあっちの担当者から突っ込まれそうだよね」という情報がもらえるので、セキュリティについて学びながら申請項目を埋めることができます。

「黙って何かされる」のが一番怖い

――業務部門との関係性作りで意識していることはありますか。

竹山氏：　一番恐れているのは「黙って何かされること」です。

　制度の抜け道は探せば見つかるものです。だから、何か始めるときに「ちゃんと相談しよう」と思ってもらうことが重要で、そのためには信頼してもらうことが必要です。

　例えば、フィッシングメール訓練では、「引っかかる人がいるのは構わない」という方針です。大事なのは、「怪しいメールが届いた」と報告してもらうことです。報告は迷惑なことではないし、結果的にフィッシングメールじゃなかったものを報告するのも褒められるべき行動です。

　セキュリティ関連の相談に対して、「それぐらい考えろよ」みたいな態度を取らずに、「何でも相談してくれ」というスタンスをとることは徹底してもらっています。

CSIRTを生きた組織にするには、ふわっと前向きがポイント

――CSIRTも再立ち上げされたと伺いました。

竹山氏：　数年前のことですが、規定も組織も以前からあったものの、あまり「活きたシステム」になっていなかったので立ち上げ直しました。ただ、ちゃんと規定があったからこそ、経営層に対して「やらなきゃダメですよね」と促しやすかったです。

――CSIRTメンバーに自分ごと化してもらうために何か工夫したことはありますか。

竹山氏：　当時思っていたのは、危機意識は多かれ少なかれ誰しも持っているので、そこを煽っても責任を重く感じるだけかなと。むしろ、ふわっと「セキュリティ大事だよね」って前向きになってほしいと考えていました。

　最初は15分、20分くらいの軽い打ち合わせを月1回程度実施していました。「CSIRTはセキュリティを高める活動で、多くの企業で取り入れられています」「何かあったときに動くのも大事だけど、普段からできることもあるよね」という感じでお話していましたね。悪い反応はほぼなかったと記憶しています。その甲斐あってか、現在は1時間しっかり議論できる土壌ができました。

――その他に特徴的な取り組みがあれば教えてください。

竹山氏：　CSIRT参加者は、IPA（独立行政法人 情報処理推進機構）の「情報セキュリティマネジメント試験」の合格を必須にしました。合格するまで受け続けてもらっています。

　これはだいぶハードルが高かったのですが、役員が率先して受けてくれて、「勉強すればいけるよ」と広めてくれたのは大きかったですね。

規制と利便性のバランス、AIは「使える場所を区切る」

――利便性とセキュリティのバランスは、どう捉えていますか。

竹山氏：　常々、利便性を上げたいと思いつつも、道半ばです。

　というのも、保険業は、物を売る事業ではなく、契約を売るサービスです。信頼が何よりも大事になります。しかも扱うのは、氏名・住所などの一般的な個人情報だけではなく、治療歴などの機微な情報も含まれており、かなり厳密に守らなければいけません。そのため、セキュリティを緩めるにはいろんな検討が必要なので、個人情報を扱う部署にはかなり不便を強いているのが実情です。

――AI活用も難しそうです。

竹山氏：　AIに学習されると問題になる情報が多いので、使用可能な環境を限定しています。ただ、限られた環境内ではあるものの、もっと使ってもらえるはずだと思っているので、活用は推進していきたいですね。

――最近、一番気にしている脅威は何でしょう。

竹山氏：　今の流行りで言えばランサムウェアです。報道される事例が増えて、被害の大きさが可視化されてきていますよね。

　侵入経路としては、サードパーティツールの脆弱性など、自社で管理しえないところから入られるケースも多いので、防ぎきるのは難しいですよね。それだけに止まったときにどう復旧するかをCSIRTチームで日々考えているところです。

――復旧訓練はどの程度まで踏み込めていますか。

竹山氏：　訓練はやっていますが、机上訓練に留まりがちです。これをどこまで深くやるかは現在の課題です。

Photo by 山田井ユウキ

　例えば、冗長構成をとっている実稼働システムに関して、切り替えまで試すとなると、かかるコストが大きいです。本番と同様の訓練を目指すと、場合によっては営業を止めることにもなりますが、それでは攻撃を受けたのと同等のコストになるので、どこまでやるのかが難しいですね。

セキュリティ専任体制も視野に

――最後に、今後やりたいことを教えてください。

竹山氏：　今の体制はリスク管理の責任者がCISOとなる構造で、実務面では私がIT面でのセキュリティを管轄しています。これによって全社的なリスクを踏まえたうえでセキュリティの判断をすることを可能としていますが、将来的にはITの専門家が単独でセキュリティ責任者に就くことが、さらなるセキュリティ強化につながるという考え方もあるかもしれません。日々専門性が高まる時代ですし、組織や予算も含めて、セキュリティにフルコミットする責任者を配置することは不自然ではないと思います。

　情報発信もできる限り増やしたいです。会社としてのスタンスを理解してもらうことも大事ですし、他社の取り組みも吸収したいです。セキュリティは企業間で競合する分野ではないため、企業や業界の枠を飛び越えたコミュニティがあります。そういうところにも積極的に関わっていきたいですね。