ワークショップや机上演習が大事である理由
――インシデントの経験を共有、伝承する方法はありますか?
茂岩氏:私たちはe-ラーニングなどで知識を提供していたのですが、やはり体験も必要であることに気づきました。一度インシデントを経験した人はすごく気をつけますが、新しい人がどんどん入ってきて、その人たちがまたインシデントを起こしてしまうというサイクルに陥ってしまう。そこで人工的に体験をするには、サイバー演習が適していると思っています。
サイバー演習は、インシデント対応のワークショップや机上演習です。インシデントが起きたと仮定して、各自がどういうアクションをすべきか相談していきます。そこには結構気づきがあって、このログが必要だけど、ログは取っていたのか、すぐに探せる状態なのかなどの意見が出ます。そうすると、ちゃんとログを取って整理しておかないとダメだと、自身で気づいて持ち帰ってもらえます。こうした演習はすごく効果があると思って、定期的に実施しています。
――それはどのくらいの人数、回数なのですか?
茂岩氏:1回20人ほどピックアップして、今年度は4回実施しました。従業員は1,000人いるので、徐々に広げていく予定です。リーダー層向け、エンジニア向け、一般向けなど、いろいろなものがあります。
また、NCA(日本シーサート協議会)の訓練方法などを考えるワーキンググループにも入っていますので、そこの人に講師をお願いしたり、同業他社の人を講師として招くこともあります。やはり外部の人に来てもらうと、引き締まりますね。
内海氏:私たちはそうした演習をサービスとして提供しているので、演習の依頼はすごく増えています。他にもNISC(内閣サイバーセキュリティセンター)や金融ISACが主導するものや、総務省の実践的サイバー防御演習「CYDER」などもあります。オリンピックに向けてニーズも高まっているようです。
今後、目指していくことについて
――今後のお話をうかがいたいと思います。DeNAさんはセキュリティポリシーの改定が大きなテーマだと思いますが、事業はセキュリティとどのように向き合っていけばいいのか、あるいは今後、企業が持つべき新たな視点があったら教えてください。
茂岩氏:将来的には、セキュリティに関しては自分たちの事業で適切に考えて進める「自立型組織」を作りたいと思っています。そのためには、全社員がポリシーを読んで理解できる状態が理想ですので、そこに近づける努力をしていく。究極的な理想は、セキュリティ部がなくなることと考えています。
現在は家を出るときには鍵をかけることが当たり前ですが、サイバーセキュリティでもそういう状態を作る。とはいえ、それを実現することはすごく難しく、そのためには自動化や可視化がすごく大事だと思っています。それができるところを探して適用することに取り組んでいます。
クラウドシステムにおいても、AWSやGCPをたくさん使っていますが、APIを通じて情報が取れるので、その情報を見てポリシーに合わないところがあれば担当者にメールを送るなどの自動化をしています。クラウドを現場でどんどん使い始める状況にありながら、セキュリティの問題が潜んでいることに現場が気づいていないケースが多い。間違った設定でバケットがフルオープンになっていて、そこから個人情報が漏れるという事件が世界でたくさん起きていますが、先回りして推奨設定を伝えるなどの対策をしていれば、そういうことも防げます。
実際に、DeNAでよく使うような機能について、昨年度独自のAWSのセキュリティガイドラインを作りました。そこに推奨設定を書いて、それを守ってもらうようにしました。何も規定のない状態では何をしていいのかわからず、デフォルトの設定のままになってしまいます。
もうひとつは、推奨設定が実際に適用されているかを監査する仕組みをシステム化して提供することで、かなりセキュアにできますし、意識する必要もなくなります。設定を間違えたら自動的にアラートが出ますので。どうしても人力でやらないといけないことだけを集中して教えるという絞り込みはできるので、そこも努力しています。
内海氏:新たな視点に何が必要か。これは先ほど茂岩さんおっしゃったことと一緒で、現場の人にいかに意識を植え付けるかが、取り組むべき点だと思います。また、新たな視点としては、どんどん出てくる新しい技術をどの部署が拾うのか。AIなどは既存のITシステム部門などでは拾いきれなくなっていますし、セキュリティと密接につながるプライバシーの部分も拾い切れておらず、法規制への対応が不十分の場合も多い。
先ほどセキュリティバイデザインのお話がありましたが、プライバシーもバイデザインの考えが重要でオプトアウトの機能などを設計段階から組み込む必要がある。ITの枠を超えつつあるセキュリティ、プライバシー、デジタル、それぞれのガバナンスの視点をどこが拾うのか、既存のIT部門が拾っていくのか、IT部門が吸収したり、デジタル推進部などに名前が変わる企業も多いので、そこはこれからどんどん必要になっていくと思います。
茂岩氏:確かにプライバシー系は、すごく仕事が増えましたね。特に海外展開している会社は、GDPRが出て、カリフォルニアのCCPAが出て、中国もサイバーセキュリティ法があって、それぞれやることが違いますので。追いかけるだけでも大変ですね。
――ありがとうございました。
お薦め資料
本記事でも触れられている、セキュリティ関連資料やフレームワーク/ガイドラインの要約版資料が無料でダウンロードできます。詳細は、ゾーホージャパンのサイトをぜひご覧ください。
各要約資料ダウンロード
グローバル展開しているDeNAが社内セキュリティポリシー大改定に参照したフレームワーク/ガイドラインを今すぐチェック! 各要約版資料は、こちらからダウンロードできます。
