夜の渋谷で繰り広げられた「本音のセキュリティ」─ DeNA、LINEの取り組み

セキュリティポリシーの大改定で気づいたポイント

　最初に登壇したのは、DeNAのセキュリティ推進グループのグループリーダーである岡村隆行氏。「セキュリティポリシーの大改定」というタイトルで講演を行った。岡村氏は2019年2月にDeNAに入社しており、まだ1年も経っていないという。過去には2社ほどの生命保険会社でセキュリティのポリシーやガバナンスなどを担当してきた経歴を持つ。どちらかというと個人情報保護法の対応、コンプライアンス方面からセキュリティをやってきた「文系」であると自己紹介した。

　DeNAは現在、セキュリティポリシーの大改定に取り組んでいる。セキュリティポリシーとは、企業としてのセキュリティに関する規定のこと。大改定を行う理由として、岡村氏は事業の多角化を挙げた。

　DeNAというとゲームと野球のイメージが強いと思われるが、たとえばゲームの世界同時配信をしようとすると、世界各国の法律に対応する必要がある。また、ヘルスケア事業では個人情報保護法の下に、よりレベルの高い要配慮個人情報を扱うし、タクシー事業「MOV」では利用者の乗車記録として位置情報を扱う。さらにAI事業ではより多くのデータを分析する。

　こうしてみると、DeNAは以前と比較して事業が大きく変化している。これは世の中も同様で、特にプライバシーに関わる部分を中心に大きく変わってきている。この変化した時代に、従来のセキュリティポリシーのままでいいのか。それを確認したところ、大改定が必要ということになったという。

　大改定において、まずは世の中に整合させたかったので、現在のガイドラインや法令関係をチェックした。具体的には、経済産業省の「サイバーセキュリティ経営ガイドライン」、NISTの「サイバーセキュリティフレームワーク（CSF）」、CISの「CIS Controls」、ISMS、Pマークなどだ。

　実際にいろいろと見ていったが混乱するばかりなので、DeNAは「いいとこ取りをしよう」ということになった。その際に何を軸にするかを考えたときに、やはりDeNAはネット空間でのモノ作りが中心なので、サイバー系のドキュメントリファレンスからカスタマイズすることになったという。

　NISTのCSFをベースにしたが、一度整理してガバナンス領域とコントロール領域を分けることにした。ガバナンスとは、ポリシーの最上位層と考えればよい。セキュリティをマネジメントするための方針や体制、役割などを規定し、そこに必要なコントロールを包括的に書いておくものとなる。

DeNAに必要なキーコントロールを分類し、流れもデザイン

　これにより概念的なところはOKとなるが、実際のコントロールのためには実装するものが必要となる。そこでコントロール領域の具体的な項目を、NISTのCSFやSP800-53などを参考に決めていった。

　その結果、コントロールの数が149個となった。これらをさらに分類して、ガバナンスでは「ガバナンス」「法令」「戦略」「組織」の4つ、コントロールでは13個に分類した。しかし、これだけではまだ平坦なので、リスクコントロールマトリクスを作成した。これは、左側にコントロール、右側に参照したリファレンスと法令を記述するもので、これを149個作成している。

　しかし、これでもまだ平坦であると岡村氏は言う。やはりコントロール同士のつながりは自分たちでデザインしないと、文書化してもうまく活用できない。そこで、たとえば「脅威管理-1」は、脅威情報を外部機関から入手する手続きを整備するもの。しかし、情報を入手しただけでは意味がないので、「脅威管理-3」として外部から入手した脅威情報をもとに脅威を識別する手続きが全て整備されていて、その識別した脅威で「脅威シナリオ」を文書化するとある。

　さらに、この情報を複数の担当者に渡し、「防御・検知-1」ではこのシナリオを元に侵入経路を特定の上、必要に応じて防御・検知ツールをきちんと導入する。あるいは「インシデント対応-5」の担当者が脅威シナリオをベースに対応を分類する。教育担当者が従業員研修にシナリオを追加するなど、情報を入手してからの流れを自分たちでデザインしている。

　岡村氏は、こうしてDeNAとして考えているコントロールをイメージした図を示した。NISTのCSFをベースにして、おおよそ現在の世の中と整合性を確保できた。あとはこれを社内規定として文書化するのだが、その前に主要な事業部に見てもらい、対応可能かどうかを確認した。

　そこでまた様々な意見が出てきたので、それを検討、調整して再確認を行い、現在それらをフィックスでき、目下文書化に取り組んでいる状況だという。文書化できたらパブリックコメントを取り、再検討した上でポリシーとして実行し、モニタリングして定期的に改善するPDCAサイクルを回していく予定だという。

　ただ、企業のセキュリティは、ポリシー次第で右にも左にも行くため非常に大事であると岡村氏は指摘する。よく「魂を込める」という言い方をするが、自分たちの思いを込めてDeNAのセキュリティを舵取りしていくことは、とても楽しいとした。

　将来的には事業に合わない、あるいは世の中の流れに合わないポリシーを見つけて改善していく。こうしたPDCAサイクルを回すところまで含めて、「セキュリティポリシーの大改定」を実現したいと岡村氏はまとめた。