ポリシー大改定の概要について
ディー・エヌ・エー システム本部 セキュリティ部 部長 茂岩 祐樹氏
ニュートン・コンサルティング 執行役員 CISO / プリンシパルコンサルタント内海 良氏
――DeNAさんはセキュリティポリシーの大改定を進めており、先日EnterpriseZineでも紹介しました。まずは大改定の背景や、感じていた課題などについて教えてください。
茂岩氏:まだ完了はしていないのですが、細かい部分のレビューを残している状況で、今年度に改定を完了する予定です。現在、正式に社内の規定に取り込まれているポリシーは、2014年にグローバル共通で策定したものです。これは主に、米国と中国、そして日本のそれぞれの拠点でセキュリティのレベルを統一する必要があったためです。
そこから5年が経過して、その間に技術や法律などの環境がどんどん変わっています。その変化に合わせて、都度マイナーチェンジをしてきました。ただ、「現場にとって使いやすいものかどうか」という観点では改善の余地があると課題感を持っていて、それが改定のきっかけになりました。ポリシーを現場に渡しても、なぜこれをやらないといけないのか、何をすればいいのか、ポリシーから施策にスッと落ちてこないという課題感を持っていたためです。
また、セキュリティに関しては本社のセキュリティ部がすべてコントロールしていて、何かをやろうとするときにはここに必ず聞かないといけない体制でした。これではスピード感を持った展開ができません。それに、様々な事業を展開している中で、求められるセキュリティのレベル感も事業ごとに違います。
そこで、現場で一定の判断ができるように、組織が自立してセキュリティを考えられるようにしたいと、ずっと考えていました。それにはポリシーの使いやすさがすごく大事だろうと考えました。
セキュリティを取り巻く状況においても、NIST(米国国立標準技術研究所)のCSF(サイバーセキュリティフレームワーク)や経済産業省の「サイバーセキュリティ経営ガイドライン」がアップデートされたり、CIS(Center for Internet Security)の「クリティカルセキュリティコントロール トップ20(CIS Controls)」が改定されたり、IPA(情報処理推進機構)の「10大脅威」にサプライチェーン攻撃などが出てきたりするなど、攻撃手法が進化するとともに参照すべき外部のフレームワークなども揃ってきました。
それを機に、使いやすさや根拠、そして抜け漏れがないか点検をすることも含めて、全体的な大改定に取り組むことにしました。特に現場が納得して使えることを重視して、その根拠を示せるようにするとともに、それにひも付く形のガイドラインも充実させていきます。たまたま、そうした作業の経験のある人が入社してくれたこともありますが、私が2018年度くらいからずっと準備していたことなのです。おおよその経緯はこんな感じです。
内海氏:私はグローバル企業のポリシー作成のお手伝いをすることもあるのですが、一番上位のルールをポリシーと位置づけ、がっちり決めるものの、やはり内容はあくまでなぜ取り組むのか、何を目指すのかというWhy、Whatのみで、Howとなる細部は書かないです。これは、とりわけグローバル規模だと、海外拠点の規模やインターネット回線などのインフラ環境、そして文化が全然違うためです。
どうしても共通の詳細な施策の立案は難しく、あとは各地域で考えてねというガイドラインにして、現場の意向を反映できる形にすべきで、そうしないとやはり形骸化して終わってしまいますね。
茂岩氏:そうですね。一方的に「これをやれ」というのではなく、現場と多く対話します。たとえば、グローバル共通のポリシーを作る際には、私たちの案に対して「これでいいのか」、「運用できるのか」を実際に現地へ足を運んで対話をして、着地点を探りました。守れないものになってしまうと意味がないので、そこは苦労しました。たくさん会話をして、対立しないように工夫しています。
対立してしまうと、表面上だけの引き継ぎをして、必要なことだけ報告すればいい、言われていないことはやらなくていいということになってしまいがちです。それは望んでいないことなので、なるべくオープンに、つまびらかにお互い情報交換や相談をします。
リスクの最小化が目的ですので、そこは気をつけています。隠ぺい体質にならないようにするには、お互いの納得感や、理不尽な要求がないような状態にする必要があると思っています。
曽根氏:セキュリティ対策においては、現地のビジネス部門などは収益を上げることやユーザーベースを増やすことがモチベーションになっていて、セキュリティ対策は余計なことをやらされる印象が強くなってしまいそうです。そこで、どのように対立、印象の違いを、まとめられているのでしょうか。
事業の状況を理解した上での提案や議論が大前提
茂岩氏:確かに、余計なことだという感触は都度あります。でも、過去に事故を起こしたことのある部門と、そうではない部門では反応が全然違います。また、特に重要な情報をお客様から預かっている事業では、情報をセキュアに運用しなければいけないという、高い意識があります。こうしたケースでは、それほど抵抗なくセキュリティ対策を進められると思います。
ただ、こちら側が事業の状況を理解した上で提案や議論をしないと、多分うまくいかない。事業のことが何もわからない状態のところにセキュリティのベストプラクティスを落としてもダメです。私たちがやらなければいけないのは、いろいろな事業の施策の中でセキュリティ対策を何番目かに差し込んでいく作業ですので、やはりセキュリティだけでなく事業自体への理解が不可欠だと思います。
それは容易ではないので、現場にセキュリティがわかる人を置くことが必要ということに行き着きました。先ほど、抽象的なポリシーを作って、拠点ごとにこれをベースにセキュリティ対策をするというお話がありましたが、各拠点にセキュリティを考えられる人がいないと難しいと思います。そういう人材がいないという状況で、どうしてもセキュリティの専門的な判断をするためには、セキュリティ部にいろいろなことを聞いてもらうことになります。
つまり、私たちが入っていかなければ、セキュリティのことが放置される可能性があるのです。そこで自分たちも、現場のことをよく知っていて、かつセキュリティのこともわかるという人材を作って、現場に配置する。そして中央のセキュリティ専門組織と強固なパイプをずっと維持し続けるということが大事な施策だと思っていて、それを少しずつ広げようとしているところです。
これは余談なのですが、最初は、いま現場にいる人たちにセキュリティを教えた方が早いと思ったのですが、全然ワークしないのです。当然モチベーションも生まれにくいですし、その人たちはセキュリティを覚えることが本業ではないですから。
事業のマネジメントをしている人も、セキュリティ対策に取られると工数が増えるので、それは嬉しくない。やはりこちらから最初に送り込まないといけないと思っています。国内の子会社のいくつかには、こちらからアサインした人がいますが、いい感じでワークしています。
お薦め資料
本記事でも触れられている、セキュリティ関連資料やフレームワーク/ガイドラインの要約版資料が無料でダウンロードできます。詳細は、ゾーホージャパンのサイトをぜひご覧ください。
各要約資料ダウンロード
グローバル展開しているDeNAが社内セキュリティポリシー大改定に参照したフレームワーク/ガイドラインを今すぐチェック! 各要約版資料は、こちらからダウンロードできます。
