ポリシー大改定の概要について
ディー・エヌ・エー システム本部 セキュリティ部 部長 茂岩 祐樹氏
ニュートン・コンサルティング 執行役員 CISO / プリンシパルコンサルタント内海 良氏
――DeNAさんはセキュリティポリシーの大改定を進めており、先日EnterpriseZineでも紹介しました。まずは大改定の背景や、感じていた課題などについて教えてください。
茂岩氏:まだ完了はしていないのですが、細かい部分のレビューを残している状況で、今年度に改定を完了する予定です。現在、正式に社内の規定に取り込まれているポリシーは、2014年にグローバル共通で策定したものです。これは主に、米国と中国、そして日本のそれぞれの拠点でセキュリティのレベルを統一する必要があったためです。
そこから5年が経過して、その間に技術や法律などの環境がどんどん変わっています。その変化に合わせて、都度マイナーチェンジをしてきました。ただ、「現場にとって使いやすいものかどうか」という観点では改善の余地があると課題感を持っていて、それが改定のきっかけになりました。ポリシーを現場に渡しても、なぜこれをやらないといけないのか、何をすればいいのか、ポリシーから施策にスッと落ちてこないという課題感を持っていたためです。
また、セキュリティに関しては本社のセキュリティ部がすべてコントロールしていて、何かをやろうとするときにはここに必ず聞かないといけない体制でした。これではスピード感を持った展開ができません。それに、様々な事業を展開している中で、求められるセキュリティのレベル感も事業ごとに違います。
そこで、現場で一定の判断ができるように、組織が自立してセキュリティを考えられるようにしたいと、ずっと考えていました。それにはポリシーの使いやすさがすごく大事だろうと考えました。
セキュリティを取り巻く状況においても、NIST(米国国立標準技術研究所)のCSF(サイバーセキュリティフレームワーク)や経済産業省の「サイバーセキュリティ経営ガイドライン」がアップデートされたり、CIS(Center for Internet Security)の「クリティカルセキュリティコントロール トップ20(CIS Controls)」が改定されたり、IPA(情報処理推進機構)の「10大脅威」にサプライチェーン攻撃などが出てきたりするなど、攻撃手法が進化するとともに参照すべき外部のフレームワークなども揃ってきました。
それを機に、使いやすさや根拠、そして抜け漏れがないか点検をすることも含めて、全体的な大改定に取り組むことにしました。特に現場が納得して使えることを重視して、その根拠を示せるようにするとともに、それにひも付く形のガイドラインも充実させていきます。たまたま、そうした作業の経験のある人が入社してくれたこともありますが、私が2018年度くらいからずっと準備していたことなのです。おおよその経緯はこんな感じです。
内海氏:私はグローバル企業のポリシー作成のお手伝いをすることもあるのですが、一番上位のルールをポリシーと位置づけ、がっちり決めるものの、やはり内容はあくまでなぜ取り組むのか、何を目指すのかというWhy、Whatのみで、Howとなる細部は書かないです。これは、とりわけグローバル規模だと、海外拠点の規模やインターネット回線などのインフラ環境、そして文化が全然違うためです。
どうしても共通の詳細な施策の立案は難しく、あとは各地域で考えてねというガイドラインにして、現場の意向を反映できる形にすべきで、そうしないとやはり形骸化して終わってしまいますね。
茂岩氏:そうですね。一方的に「これをやれ」というのではなく、現場と多く対話します。たとえば、グローバル共通のポリシーを作る際には、私たちの案に対して「これでいいのか」、「運用できるのか」を実際に現地へ足を運んで対話をして、着地点を探りました。守れないものになってしまうと意味がないので、そこは苦労しました。たくさん会話をして、対立しないように工夫しています。
対立してしまうと、表面上だけの引き継ぎをして、必要なことだけ報告すればいい、言われていないことはやらなくていいということになってしまいがちです。それは望んでいないことなので、なるべくオープンに、つまびらかにお互い情報交換や相談をします。
リスクの最小化が目的ですので、そこは気をつけています。隠ぺい体質にならないようにするには、お互いの納得感や、理不尽な要求がないような状態にする必要があると思っています。
曽根氏:セキュリティ対策においては、現地のビジネス部門などは収益を上げることやユーザーベースを増やすことがモチベーションになっていて、セキュリティ対策は余計なことをやらされる印象が強くなってしまいそうです。そこで、どのように対立、印象の違いを、まとめられているのでしょうか。
事業の状況を理解した上での提案や議論が大前提
茂岩氏:確かに、余計なことだという感触は都度あります。でも、過去に事故を起こしたことのある部門と、そうではない部門では反応が全然違います。また、特に重要な情報をお客様から預かっている事業では、情報をセキュアに運用しなければいけないという、高い意識があります。こうしたケースでは、それほど抵抗なくセキュリティ対策を進められると思います。
ただ、こちら側が事業の状況を理解した上で提案や議論をしないと、多分うまくいかない。事業のことが何もわからない状態のところにセキュリティのベストプラクティスを落としてもダメです。私たちがやらなければいけないのは、いろいろな事業の施策の中でセキュリティ対策を何番目かに差し込んでいく作業ですので、やはりセキュリティだけでなく事業自体への理解が不可欠だと思います。
それは容易ではないので、現場にセキュリティがわかる人を置くことが必要ということに行き着きました。先ほど、抽象的なポリシーを作って、拠点ごとにこれをベースにセキュリティ対策をするというお話がありましたが、各拠点にセキュリティを考えられる人がいないと難しいと思います。そういう人材がいないという状況で、どうしてもセキュリティの専門的な判断をするためには、セキュリティ部にいろいろなことを聞いてもらうことになります。
つまり、私たちが入っていかなければ、セキュリティのことが放置される可能性があるのです。そこで自分たちも、現場のことをよく知っていて、かつセキュリティのこともわかるという人材を作って、現場に配置する。そして中央のセキュリティ専門組織と強固なパイプをずっと維持し続けるということが大事な施策だと思っていて、それを少しずつ広げようとしているところです。
これは余談なのですが、最初は、いま現場にいる人たちにセキュリティを教えた方が早いと思ったのですが、全然ワークしないのです。当然モチベーションも生まれにくいですし、その人たちはセキュリティを覚えることが本業ではないですから。
事業のマネジメントをしている人も、セキュリティ対策に取られると工数が増えるので、それは嬉しくない。やはりこちらから最初に送り込まないといけないと思っています。国内の子会社のいくつかには、こちらからアサインした人がいますが、いい感じでワークしています。
お薦め資料
本記事でも触れられている、セキュリティ関連資料やフレームワーク/ガイドラインの要約版資料が無料でダウンロードできます。詳細は、ゾーホージャパンのサイトをぜひご覧ください。
各要約資料ダウンロード
グローバル展開しているDeNAが社内セキュリティポリシー大改定に参照したフレームワーク/ガイドラインを今すぐチェック! 各要約版資料は、こちらからダウンロードできます。
セキュリティがわかる人を現場に置くべき
――やはりDeNAさんのようなグローバルでかつ事業を展開されている場合は、セキュリティ全般においてアクションを起こさないと追いつかない、そういう策を取らざるを得ないという状況になっているのですか。
茂岩氏::やはりビジネスとセキュリティの両方がわかる人は必要です。DeNAでは、セキュリティの人を事業に派遣する形にしていますが、現場の人にセキュリティを教えることがワークする会社もあると思います。どちらでもいいのですが、両方をわかる人を作らないと、売り上げを伸ばす施策や開発そのものが優先されて、セキュリティは工程の一番最後になってしまう。そこでセキュリティの問題が発見されても、そこから修正のために手を入れるのは大変です。
やはり設計段階からセキュリティをバイデザインで組み込むことが重要ですが、それをしているのはかなり先進的な企業だけです。製造業では「PSIRT(Product Security Incident Response Team)」がだんだん認知されてきていますが、DeNAではPSIRTの組織を作り、ソフトウェアですがプロダクトの製造ラインにセキュリティを組み込むことをやり始めています。これができてくれば、セキュリティバイデザインの形がある程度実現できるのではないかと思っています。
内海氏:現場にどう落とし込むかは、いくつかのパターンがあると感じています。ひとつは今、茂岩さんがおっしゃった、開発初期段階からセキュリティ人材を巻き込むパターン。これは、多くはないですが実践している会社はあります。
私がお手伝いした会社では、大規模インシデントの経験を契機に一番良いプロセスは何かを一緒に検討し、セキュリティ統括部門を作って開発初期の検討会議からすべてセキュリティ担当が入るようにしました。現在は、DevOpsやDXで本当にサービス開発のスピードが速く、なおかつ現場の人がIoTやAIといった新しい技術をすぐに検討できる状況です。
そのような状況で、間接部門やセキュリティ部門の人がガバナンスをかけるのはなかなか難しい。現場の人が開発に着手する段階で、そこにどんなリスクがあるのか、セキュリティ的に大丈夫なのかをチェックするべきなのです。これはリリースする際も同様ですね。もちろん現場の人たちは忙しいので難しいのですが、現場で自らチェックを入れて欲しいという仕組みの必要性は、よく話します。
多忙な中、現場の人にやっていただくことは難しいですが、私は取り組みの姿勢は、その人が深く考えた時間の長さとイコールだと思っていて、先ほどのインシデントを起こして痛い目にあった企業には、高い意識があるというのは、まさにそうだと思います。
ただ、企業はそれを忘れがちなので、4~5年前に情報漏えいを起こして、どんな対応をしたのかを覚えていない。それをケーススタディにして教材にする、あるいは当時いた人に直接話してもらう機会を作る。そして、今また同じことが起きたらどうなるか、現場の人に考えていただく。コンサルティングの際にはそういった支援もしています。
大事なのは情報を上げても怒られない文化の醸成
曽根氏:先ほど現場の人をセキュリティに対応させるか、セキュリティの専門家を現場に送るかの話で、やはり情熱やモチベーション、動機付けがないとなかなかうまくいかない。そこでDeNAさんとして工夫されていることにはどのようなことがあるのでしょう。また、既に事故が起きているかも知れないが言わないようなケースで、それを早く報告させるための仕掛けがあったら教えてください。
茂岩氏:セキュリティ部のメンバーを事業に派遣することは、まだ少ないのですが、モチベーションが低くなることはあまりないと思っています。それは、組織のメンバーが組織を支援したいという思いを持っていることと、個人差はありますが実際の事業が安全に遂行できるようにすることに喜びを感じる人が多いためです。
一方、現場の人がセキュリティを担当するのは成功事例が少ないですが、ゼロではありません。できるエンジニアはセキュリティもわかっています。その人たちには広告塔というか、情報発信のハブになってもらうこともあります。
情報が上がってくるようにするには文化だと思うのですが、大事なのは「上げても怒られない」という共通認識づくりです。どんなにひどいことがあっても絶対怒らず、むしろ感謝をする。それが認知されると情報が上がってくるようになります。
元々DeNAの社是の中に、透明性や発言責任があります。たとえば発言責任は、入社一年目でもベテランでも、自分が発言すべきと思ったことはちゃんと発言するという環境をみんなで作ろうということです。それで言いやすい空気はあると思いますが、やってしまったことも報告する。そのほうがみんなトータルで幸せだからという認識、認知ができてきた感じですね。しかしながら、こういう空気に変えようと思ってもすぐには変わらず、年単位の時間はかかります。
お薦め資料
本記事でも触れられている、セキュリティ関連資料やフレームワーク/ガイドラインの要約版資料が無料でダウンロードできます。詳細は、ゾーホージャパンのサイトをぜひご覧ください。
各要約資料ダウンロード
グローバル展開しているDeNAが社内セキュリティポリシー大改定に参照したフレームワーク/ガイドラインを今すぐチェック! 各要約版資料は、こちらからダウンロードできます。
ワークショップや机上演習が大事である理由
――インシデントの経験を共有、伝承する方法はありますか?
茂岩氏:私たちはe-ラーニングなどで知識を提供していたのですが、やはり体験も必要であることに気づきました。一度インシデントを経験した人はすごく気をつけますが、新しい人がどんどん入ってきて、その人たちがまたインシデントを起こしてしまうというサイクルに陥ってしまう。そこで人工的に体験をするには、サイバー演習が適していると思っています。
サイバー演習は、インシデント対応のワークショップや机上演習です。インシデントが起きたと仮定して、各自がどういうアクションをすべきか相談していきます。そこには結構気づきがあって、このログが必要だけど、ログは取っていたのか、すぐに探せる状態なのかなどの意見が出ます。そうすると、ちゃんとログを取って整理しておかないとダメだと、自身で気づいて持ち帰ってもらえます。こうした演習はすごく効果があると思って、定期的に実施しています。
――それはどのくらいの人数、回数なのですか?
茂岩氏:1回20人ほどピックアップして、今年度は4回実施しました。従業員は1,000人いるので、徐々に広げていく予定です。リーダー層向け、エンジニア向け、一般向けなど、いろいろなものがあります。
また、NCA(日本シーサート協議会)の訓練方法などを考えるワーキンググループにも入っていますので、そこの人に講師をお願いしたり、同業他社の人を講師として招くこともあります。やはり外部の人に来てもらうと、引き締まりますね。
内海氏:私たちはそうした演習をサービスとして提供しているので、演習の依頼はすごく増えています。他にもNISC(内閣サイバーセキュリティセンター)や金融ISACが主導するものや、総務省の実践的サイバー防御演習「CYDER」などもあります。オリンピックに向けてニーズも高まっているようです。
今後、目指していくことについて
――今後のお話をうかがいたいと思います。DeNAさんはセキュリティポリシーの改定が大きなテーマだと思いますが、事業はセキュリティとどのように向き合っていけばいいのか、あるいは今後、企業が持つべき新たな視点があったら教えてください。
茂岩氏:将来的には、セキュリティに関しては自分たちの事業で適切に考えて進める「自立型組織」を作りたいと思っています。そのためには、全社員がポリシーを読んで理解できる状態が理想ですので、そこに近づける努力をしていく。究極的な理想は、セキュリティ部がなくなることと考えています。
現在は家を出るときには鍵をかけることが当たり前ですが、サイバーセキュリティでもそういう状態を作る。とはいえ、それを実現することはすごく難しく、そのためには自動化や可視化がすごく大事だと思っています。それができるところを探して適用することに取り組んでいます。
クラウドシステムにおいても、AWSやGCPをたくさん使っていますが、APIを通じて情報が取れるので、その情報を見てポリシーに合わないところがあれば担当者にメールを送るなどの自動化をしています。クラウドを現場でどんどん使い始める状況にありながら、セキュリティの問題が潜んでいることに現場が気づいていないケースが多い。間違った設定でバケットがフルオープンになっていて、そこから個人情報が漏れるという事件が世界でたくさん起きていますが、先回りして推奨設定を伝えるなどの対策をしていれば、そういうことも防げます。
実際に、DeNAでよく使うような機能について、昨年度独自のAWSのセキュリティガイドラインを作りました。そこに推奨設定を書いて、それを守ってもらうようにしました。何も規定のない状態では何をしていいのかわからず、デフォルトの設定のままになってしまいます。
もうひとつは、推奨設定が実際に適用されているかを監査する仕組みをシステム化して提供することで、かなりセキュアにできますし、意識する必要もなくなります。設定を間違えたら自動的にアラートが出ますので。どうしても人力でやらないといけないことだけを集中して教えるという絞り込みはできるので、そこも努力しています。
内海氏:新たな視点に何が必要か。これは先ほど茂岩さんおっしゃったことと一緒で、現場の人にいかに意識を植え付けるかが、取り組むべき点だと思います。また、新たな視点としては、どんどん出てくる新しい技術をどの部署が拾うのか。AIなどは既存のITシステム部門などでは拾いきれなくなっていますし、セキュリティと密接につながるプライバシーの部分も拾い切れておらず、法規制への対応が不十分の場合も多い。
先ほどセキュリティバイデザインのお話がありましたが、プライバシーもバイデザインの考えが重要でオプトアウトの機能などを設計段階から組み込む必要がある。ITの枠を超えつつあるセキュリティ、プライバシー、デジタル、それぞれのガバナンスの視点をどこが拾うのか、既存のIT部門が拾っていくのか、IT部門が吸収したり、デジタル推進部などに名前が変わる企業も多いので、そこはこれからどんどん必要になっていくと思います。
茂岩氏:確かにプライバシー系は、すごく仕事が増えましたね。特に海外展開している会社は、GDPRが出て、カリフォルニアのCCPAが出て、中国もサイバーセキュリティ法があって、それぞれやることが違いますので。追いかけるだけでも大変ですね。
――ありがとうございました。
お薦め資料
本記事でも触れられている、セキュリティ関連資料やフレームワーク/ガイドラインの要約版資料が無料でダウンロードできます。詳細は、ゾーホージャパンのサイトをぜひご覧ください。
各要約資料ダウンロード
グローバル展開しているDeNAが社内セキュリティポリシー大改定に参照したフレームワーク/ガイドラインを今すぐチェック! 各要約版資料は、こちらからダウンロードできます。
