子供の夢をYouTuberからホワイトハッカーに! 具現化を進めるCISO - GMO 牧田氏:セキュリティリーダーの視座(3/4 ページ)
「人を助ける」原体験から「日本全体を守る」使命へ。DEF CON Cloud Village 3連覇の実績を持つGMOインターネットグループ牧田氏が語る、攻めのセキュリティとCISOの役割、そして「ホワイトハッカーを子供の憧れの職業に」という未来への挑戦とは。
アクセルを強く踏むには、ブレーキへの信用が大事
――CISOという役割を、牧田さんはどう捉えていますか。
牧田氏: よくこの例えを使うのですが、セキュリティはレーシングカーのブレーキみたいなものです。
レーシングカーは、ブレーキがよく効くからアクセルを強く踏めるんです。ただ安全に走るだけなら、そもそもスピードが出ない車を作るのが一番ですが、それではゴールするまでに時間がかかってしまいます。
事業も同じです。CISOが全部にダメと言っていたらスピードが出なくなります。安全を確保したうえで、事業を加速させるためのリスクをどこまで取るか。このバランスを決めるのがCISOの大事な仕事です。
信用できるCISOがいることで、経営者はアクセルを思いっきり踏めるようになると考えています。
――AI活用についても、同じ思想が当てはまりますか。
牧田氏: そうですね。たしかにAIには情報漏えいリスクなどがあります。でも「AIを一切使うな」と言うのは、CISOの仕事をしていないことになります。
全部止めるのではなく、安全に使えるシーンを増やすのが仕事です。ローカルLLMのように自社環境で閉じる手もあるし、システムや運用の設計で利便性と安全性を両立させるべきだと思っています。
グループ120社は一律ではなく段階設計
――グループ企業が多いですが、難しさはありますか。
牧田氏: GMOインターネットグループには約120社もあるので、1つのルールで全部をカバーしようとすると無理が出ます。会社によって事業の性質も扱う情報も違うので、必要なセキュリティ水準が全然違います。
ですから、GMOインターネットグループ全体の基本ルールを作りつつ、扱う情報の種類によってセキュリティレベルを分け、それぞれに必要な施策を明確にしています。そのうえで、各社の事情があれば個別相談で調整します。
――各社との普段の連携はどうしていますか。
牧田氏: 月次で各社のセキュリティ担当に集まってもらい、流行っている攻撃などを共有しています。また、攻撃を受けた会社があれば、同様の攻撃が他の会社にないか、ログ確認などを依頼します。
もちろん長期的な検討も一緒にやっています。来年度予算や3カ年計画も共有しながら、対策などを相談しています。
8000人の従業員教育、鍵は当事者意識をどう作るか
――現在、従業員教育はどう設計されていますか。
牧田氏: 現在、GMOインターネットグループ全体で従業員は約8000人、入社する方も毎月います。うち、エンジニア等のクリエイター割合は半分くらい ですかね。非エンジニアも含めて、全員に受けてもらうセキュリティ教育を年に数回やっています。
eラーニングが中心ですが、それだけだと効果が弱いので、ヒヤリハットや他社インシデント事例をドラマ仕立ての動画にしたりして、皆さんに当事者意識を持ってもらう工夫をしています。動画視聴後は、合格するまで受けてもらうテストを実施しています。
――サイバーエージェント時代のような体験型デモは現在もやっているのでしょうか。
牧田氏: 実際に攻撃・侵入してみるなど、情報漏えいがどう起きるかを体験する場を現在も作っています。やはり「こんなに簡単にできてしまうのか」という実感があると、開発時の意識が変わりますので。
体験型デモは、全員参加ではなく、参加も退出も自由ですが、とても好評ですね。
最大のAI受益者は犯罪組織、大事なのは「面」の守りと情報収集
――GMOインターネットグループは顧客に使ってもらう外部公開サービスが多いですが、苦労はありますか。
牧田氏: 対策を「点」ではなく「面」でやることが大事ですね。
例えば、本番環境だけをガチガチに守っても仕方ないんですよね。テスト環境や開発環境の対策が疎かであれば、そちらから侵入されて本番環境に入ってくるケースが少なくありません。
この例で言えば、本番環境を守るという「点」の発想ではなく、ASM(Attack Surface Management)のように外部とつながる攻撃の入口をすべて可視化してリスクを管理するという、「面」の対策を考えることが重要です。
――診断の頻度も変わりましたか。
牧田氏: 昔のように年1回の脆弱性診断では間に合わないですね。脆弱性は毎日のように出ていて、早いと発見から数時間で攻撃されてしまいます。常時モニタリング、常時診断で、ずっと見続ける前提になります。
――この1年で攻撃者側は変化していますか。
牧田氏: AIの最大の受益者は間違いなくサイバー攻撃者です。この1年だけを見ても攻撃側は進化しています。
音声・映像で騙すケースも増えましたし、メール文面に関しても変な日本語が減りました。自動攻撃もAIでレベルアップして、量も質も上がっている印象です。
――ランサムウェアについてはどう見ていますか。
牧田氏: 確実に増えていますよね。ビジネスとして成立しているのが背景にあるのでしょう。
RaaS(Ransomware as a Service)が一般化するなど、分業化が進んでいるのは大きいです。ランサムウェアの開発が分離されただけでなく、初期侵入や交渉役なども役割が分かれています。セキュリティの弱いところはすぐに狙われてマネタイズの材料にされてしまいます。
――特に怖いと感じるパターンがあれば教えてください。
牧田氏: 最近増えているのは、「侵入したのに何もしない」ケースですね。スパイ目的の可能性もあるし、侵入経路を確保して販売している可能性もありますが、目的は定かではありません。
公表事例でも、何カ月も前、場合によっては何年も前から侵入されていた、という話があります。すでに社内に侵入されているのに気づけないというのは一番怖いですね。
――日々の脅威情報の収集はどうしていますか。
牧田氏: AIエージェントを常に動かしてWeb上から情報収集し、リスク分析して、Slackのチャンネルに投稿する仕組みにしています。脆弱性のデータベースや、セキュリティのニュース、研究者のブログなど、さまざまな情報を収集しています。以前はRSSで収集していましたが、それでは追いつかない状況です。
そもそも脆弱性の発見数も増えています。世界中で登録されるCVE(Common Vulnerabilities and Exposures:共通脆弱性識別子)の数は、2023年は約3万件、2024年は約4万件、2025年は約4万8000件と右肩上がりです。
当社内でも脆弱性を見つける取り組みをしていて、年間100件程度新しい脆弱性を報告しています。米国や中国では、発見した脆弱性について国家組織が隠しておくケースもあるようなので、自らアクティブに動く必要性を感じています。
Copyright © ITmedia, Inc. All Rights Reserved.