「仕方ないインシデント」まで全力を尽くせるか - さくらインターネット 江草氏：セキュリティリーダーの視座（2/2 ページ）

さくらインターネットに新卒入社後、わずか1年9カ月で執行役員に就任した江草氏。現在は、 技術推進統括担当執行役員およびCISO兼CIOを務め、自身もシステムを自作する異色のリーダーだ。25歳の若さで大抜擢された背景には、学生時代からの圧倒的な実装力があった。自ら手を動かすトップだからこそ描ける、セキュリティとビジネス効率の両立に迫る。

[星原康一，ITmedia]

CIOとCISOを兼務する効果

――現在、CISOとCIOを兼務していますが、役割や考え方で整理していることはありますか。

江草氏：　CISOは情報漏えいやインシデント防止のためのルール・仕組みを作る役割です。以前は「情報セキュリティは法務部」「情報システムは総務部」「SIRTはバーチャルチーム」とバラバラで管轄していたのですが、情報システム統括室を設立し、その責任者としてCIOを立てました。

　実際に兼務してみて、CIOとCISOを同じ人間が担うのは理にかなっていると思っています。やりたいことを検討する時に、最初からセキュリティ上の問題も考慮に入れられるからです。

　やりたいことを固めてからセキュリティ担当に相談するとなると、「それはダメ、考え直して」というやり取りが発生する可能性がありますが、最初からセットで考えられれば、そもそも無理な選択はしません。ISMSのような制度的な要件も技術とセットで解決していくのが楽しいところでもあります。

リスク判断の軸は「仕方なかった」と言えるか

――セキュリティは、ビジネス効率とリスク最小化のバランスが大切だと思いますが、リスクの評価基準についてはどう考えていますか。

江草氏：　少し抽象的ですが、事故が起きた時に「仕方なかった」と言えるかどうかを基準にしています。「全力を尽くしていた」と言い切れるかどうか、ですね。「それはさすがに選択が悪かったんじゃないの？」と思われてしまうと、責任を果たせてなかったのと同じですから。

　もちろん厳格に固めてしまえば楽ですが、ビジネスが縮退しては元も子もありません。基本的には、セキュリティを理由に何でも「ダメ」とは言わず、やりたいことはちゃんとやれる方向で考えます。

Photo by 山田井ユウキ

　面白い例としては、個人情報の持ち出しについて規定を変更したことがありました。

　さくらインターネットは2024年9月に本社を移転しましたが、新オフィスでは区画間に、わずか3メートル程度ですが、一般の方が通れる「社外の通路」があるんですね。例えば、名簿など、個人情報が記載された印刷物は社外に持ち出すことは禁止していたので、これを守ろうとすると、個人情報など機密が含まれる資料は持ち運べなくなります。例外的に許容したいところですが、「もし書類が風で飛んでいってしまったら」などと考えると、リスクの種類は大きく変わりません。そこで、機密な印刷物の持ち出しは、運搬用のボックスに入れて台帳に記録すればOKというルールを作りました。これにより、しっかり管理すれば、北海道など、遠くのオフィスにも持ち出せることになりました。手間はどうしてもありますが、台帳についてもSlackなどを活用し電子化するなどの工夫をしています。

　こんな感じで、技術とは関係ないセキュリティリスクも検討しています。CISOの仕事のうちですね（笑）。

AIも特別扱いはしない

――AI活用とセキュリティの兼ね合いはどのように考えていますか。

江草氏：　「AIだから特別扱い」ではなく、「どの企業にどの情報を預けていいか」という通常の外部サービス利用と同じ軸で判断しています。「学習されない契約かどうか」「ISMSを持っているかどうか」といった基準を整理したホワイトリスト方式で、許可されたサービスの範囲内で使えるものを決めています。これまで同様、使えるものはできるだけ使ってほしいですね。

　すでに問い合わせ対応では、社員がAIを活用して回答する仕組みを導入しています。また最近は、社内情報をAIで検索して回答してくれるシステムを自分でも作りました（笑）。

Photo by 山田井ユウキ

　AIエージェントについても、何をするか把握できていれば問題ないというスタンスです。権限の範囲内で定められたことを自動化するのであれば、それほど身構えることはないと思っています。

――なぜ今でも自分で作るのでしょう？

江草氏：　エンジニアが200人以上いて、任せられる人材は豊富なのですが、簡単なものであれば説明の準備をするほうが時間がかかるので、「自分で作った方が早い」んですよね（笑）。エンジニアならわかってもらえると思います（笑）。

　ちなみに最近は、AIにコーディングを任せるので、自分がコードを書く量は減っていますが、作る量は逆に劇的に増えています。

ヒヤリハット報告はSlack、怒らないからたくさん集まる

――社員へのセキュリティ教育や、セキュリティ文化の醸成はどのようにされていますか。

江草氏：　毎年テーマを変えた研修を実施しています。コロナ禍の頃はゼロトラストや二要素認証、最近ではSNS炎上リスクなど、その時々の課題に合わせて内容を更新しています。

　もう一つ大切にしているのが、インシデント報告のしやすさです。「フィッシングサイトでパスワードを入力してしまった」とか、「怪しいリンクを開いてしまった」といった報告が、社内Slackの専用チャンネルにすぐ上がってきます。

　なぜ報告しやすいかというと「責めない文化を徹底しているから」に尽きます。SOC（Security Operation Center）側で何も検知されていなければ「大丈夫ですよ」と対応するだけ。「クリックしたときは大丈夫だと思ったんですよね」と、心情を理解する姿勢を示しています。

　報告してもらえる文化が定着すると、問題を素早く把握でき被害を最小化できます。

Photo by 山田井ユウキ

セキュリティだけは1人ではできない

――最後に、セキュリティについてあまり詳しくない経営者層へのアドバイスをお願いします。

江草氏：　「わからなかったとしても、放っておくのは絶対に良くない」というのがまず一番伝えたいことです。ただ、「お金をかければ解決する」というわけでもありません。自社に合ったルール作りと合理的な選択ができる人材を見つけて任せることが重要です。

　そして、人材を見つけたらその人を支援してほしい。「あなた1人で頑張ってください」は無理なんです。セキュリティ向上の道筋は1人で描けても、それを実行するには組織力もお金も必要です。チームと予算で支援する体制を整えること――それが経営層の役割だと思っています。

　新しいソフトウェアやAIで「便利になりました」はエンジニア1人でも実現できますが、セキュリティ強化は組織全体で取り組まなければならない。そこが通常のITとセキュリティの大きな違いです。