SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

Security Online Press(AD)

DeNAがNIST発行フレームワーク等を参照しセキュリティポリシー大改定 当事者が語った狙いとは?

セキュリティがわかる人を現場に置くべき

――やはりDeNAさんのようなグローバルでかつ事業を展開されている場合は、セキュリティ全般においてアクションを起こさないと追いつかない、そういう策を取らざるを得ないという状況になっているのですか。

茂岩氏::やはりビジネスとセキュリティの両方がわかる人は必要です。DeNAでは、セキュリティの人を事業に派遣する形にしていますが、現場の人にセキュリティを教えることがワークする会社もあると思います。どちらでもいいのですが、両方をわかる人を作らないと、売り上げを伸ばす施策や開発そのものが優先されて、セキュリティは工程の一番最後になってしまう。そこでセキュリティの問題が発見されても、そこから修正のために手を入れるのは大変です。

「ビジネスとセキュリティの両方がわかる人は必要」と強調する、ディー・エヌ・エー 茂岩 祐樹氏

 やはり設計段階からセキュリティをバイデザインで組み込むことが重要ですが、それをしているのはかなり先進的な企業だけです。製造業では「PSIRT(Product Security Incident Response Team)」がだんだん認知されてきていますが、DeNAではPSIRTの組織を作り、ソフトウェアですがプロダクトの製造ラインにセキュリティを組み込むことをやり始めています。これができてくれば、セキュリティバイデザインの形がある程度実現できるのではないかと思っています。

内海氏:現場にどう落とし込むかは、いくつかのパターンがあると感じています。ひとつは今、茂岩さんがおっしゃった、開発初期段階からセキュリティ人材を巻き込むパターン。これは、多くはないですが実践している会社はあります。

 私がお手伝いした会社では、大規模インシデントの経験を契機に一番良いプロセスは何かを一緒に検討し、セキュリティ統括部門を作って開発初期の検討会議からすべてセキュリティ担当が入るようにしました。現在は、DevOpsやDXで本当にサービス開発のスピードが速く、なおかつ現場の人がIoTやAIといった新しい技術をすぐに検討できる状況です。

 そのような状況で、間接部門やセキュリティ部門の人がガバナンスをかけるのはなかなか難しい。現場の人が開発に着手する段階で、そこにどんなリスクがあるのか、セキュリティ的に大丈夫なのかをチェックするべきなのです。これはリリースする際も同様ですね。もちろん現場の人たちは忙しいので難しいのですが、現場で自らチェックを入れて欲しいという仕組みの必要性は、よく話します。

 多忙な中、現場の人にやっていただくことは難しいですが、私は取り組みの姿勢は、その人が深く考えた時間の長さとイコールだと思っていて、先ほどのインシデントを起こして痛い目にあった企業には、高い意識があるというのは、まさにそうだと思います。

 ただ、企業はそれを忘れがちなので、4~5年前に情報漏えいを起こして、どんな対応をしたのかを覚えていない。それをケーススタディにして教材にする、あるいは当時いた人に直接話してもらう機会を作る。そして、今また同じことが起きたらどうなるか、現場の人に考えていただく。コンサルティングの際にはそういった支援もしています。

大事なのは情報を上げても怒られない文化の醸成

曽根氏:先ほど現場の人をセキュリティに対応させるか、セキュリティの専門家を現場に送るかの話で、やはり情熱やモチベーション、動機付けがないとなかなかうまくいかない。そこでDeNAさんとして工夫されていることにはどのようなことがあるのでしょう。また、既に事故が起きているかも知れないが言わないようなケースで、それを早く報告させるための仕掛けがあったら教えてください。

現場へ定着させるための工夫を問う、ゾーホージャパン 曽根 禎行氏

茂岩氏:セキュリティ部のメンバーを事業に派遣することは、まだ少ないのですが、モチベーションが低くなることはあまりないと思っています。それは、組織のメンバーが組織を支援したいという思いを持っていることと、個人差はありますが実際の事業が安全に遂行できるようにすることに喜びを感じる人が多いためです。

 一方、現場の人がセキュリティを担当するのは成功事例が少ないですが、ゼロではありません。できるエンジニアはセキュリティもわかっています。その人たちには広告塔というか、情報発信のハブになってもらうこともあります。

 情報が上がってくるようにするには文化だと思うのですが、大事なのは「上げても怒られない」という共通認識づくりです。どんなにひどいことがあっても絶対怒らず、むしろ感謝をする。それが認知されると情報が上がってくるようになります。

 元々DeNAの社是の中に、透明性や発言責任があります。たとえば発言責任は、入社一年目でもベテランでも、自分が発言すべきと思ったことはちゃんと発言するという環境をみんなで作ろうということです。それで言いやすい空気はあると思いますが、やってしまったことも報告する。そのほうがみんなトータルで幸せだからという認識、認知ができてきた感じですね。しかしながら、こういう空気に変えようと思ってもすぐには変わらず、年単位の時間はかかります。

お薦め資料

本記事でも触れられている、セキュリティ関連資料やフレームワーク/ガイドラインの要約版資料が無料でダウンロードできます。詳細は、ゾーホージャパンのサイトをぜひご覧ください。

各要約資料ダウンロード

 グローバル展開しているDeNAが社内セキュリティポリシー大改定に参照したフレームワーク/ガイドラインを今すぐチェック! 各要約版資料は、こちらからダウンロードできます。

次のページ
ワークショップや机上演習が大事である理由

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
関連リンク
Security Online Press連載記事一覧

もっと読む

この記事の著者

吉澤 亨史(ヨシザワ コウジ)

元自動車整備士。整備工場やガソリンスタンド所長などを経て、1996年にフリーランスライターとして独立。以後、雑誌やWebを中心に執筆活動を行う。パソコン、周辺機器、ソフトウェア、携帯電話、セキュリティ、エンタープライズ系など幅広い分野に対応。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

【AD】本記事の内容は記事掲載開始時点のものです 企画・制作 株式会社翔泳社

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/12754 2020/03/18 15:29

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング