セキュリティがわかる人を現場に置くべき
――やはりDeNAさんのようなグローバルでかつ事業を展開されている場合は、セキュリティ全般においてアクションを起こさないと追いつかない、そういう策を取らざるを得ないという状況になっているのですか。
茂岩氏::やはりビジネスとセキュリティの両方がわかる人は必要です。DeNAでは、セキュリティの人を事業に派遣する形にしていますが、現場の人にセキュリティを教えることがワークする会社もあると思います。どちらでもいいのですが、両方をわかる人を作らないと、売り上げを伸ばす施策や開発そのものが優先されて、セキュリティは工程の一番最後になってしまう。そこでセキュリティの問題が発見されても、そこから修正のために手を入れるのは大変です。
やはり設計段階からセキュリティをバイデザインで組み込むことが重要ですが、それをしているのはかなり先進的な企業だけです。製造業では「PSIRT(Product Security Incident Response Team)」がだんだん認知されてきていますが、DeNAではPSIRTの組織を作り、ソフトウェアですがプロダクトの製造ラインにセキュリティを組み込むことをやり始めています。これができてくれば、セキュリティバイデザインの形がある程度実現できるのではないかと思っています。
内海氏:現場にどう落とし込むかは、いくつかのパターンがあると感じています。ひとつは今、茂岩さんがおっしゃった、開発初期段階からセキュリティ人材を巻き込むパターン。これは、多くはないですが実践している会社はあります。
私がお手伝いした会社では、大規模インシデントの経験を契機に一番良いプロセスは何かを一緒に検討し、セキュリティ統括部門を作って開発初期の検討会議からすべてセキュリティ担当が入るようにしました。現在は、DevOpsやDXで本当にサービス開発のスピードが速く、なおかつ現場の人がIoTやAIといった新しい技術をすぐに検討できる状況です。
そのような状況で、間接部門やセキュリティ部門の人がガバナンスをかけるのはなかなか難しい。現場の人が開発に着手する段階で、そこにどんなリスクがあるのか、セキュリティ的に大丈夫なのかをチェックするべきなのです。これはリリースする際も同様ですね。もちろん現場の人たちは忙しいので難しいのですが、現場で自らチェックを入れて欲しいという仕組みの必要性は、よく話します。
多忙な中、現場の人にやっていただくことは難しいですが、私は取り組みの姿勢は、その人が深く考えた時間の長さとイコールだと思っていて、先ほどのインシデントを起こして痛い目にあった企業には、高い意識があるというのは、まさにそうだと思います。
ただ、企業はそれを忘れがちなので、4~5年前に情報漏えいを起こして、どんな対応をしたのかを覚えていない。それをケーススタディにして教材にする、あるいは当時いた人に直接話してもらう機会を作る。そして、今また同じことが起きたらどうなるか、現場の人に考えていただく。コンサルティングの際にはそういった支援もしています。
大事なのは情報を上げても怒られない文化の醸成
曽根氏:先ほど現場の人をセキュリティに対応させるか、セキュリティの専門家を現場に送るかの話で、やはり情熱やモチベーション、動機付けがないとなかなかうまくいかない。そこでDeNAさんとして工夫されていることにはどのようなことがあるのでしょう。また、既に事故が起きているかも知れないが言わないようなケースで、それを早く報告させるための仕掛けがあったら教えてください。
茂岩氏:セキュリティ部のメンバーを事業に派遣することは、まだ少ないのですが、モチベーションが低くなることはあまりないと思っています。それは、組織のメンバーが組織を支援したいという思いを持っていることと、個人差はありますが実際の事業が安全に遂行できるようにすることに喜びを感じる人が多いためです。
一方、現場の人がセキュリティを担当するのは成功事例が少ないですが、ゼロではありません。できるエンジニアはセキュリティもわかっています。その人たちには広告塔というか、情報発信のハブになってもらうこともあります。
情報が上がってくるようにするには文化だと思うのですが、大事なのは「上げても怒られない」という共通認識づくりです。どんなにひどいことがあっても絶対怒らず、むしろ感謝をする。それが認知されると情報が上がってくるようになります。
元々DeNAの社是の中に、透明性や発言責任があります。たとえば発言責任は、入社一年目でもベテランでも、自分が発言すべきと思ったことはちゃんと発言するという環境をみんなで作ろうということです。それで言いやすい空気はあると思いますが、やってしまったことも報告する。そのほうがみんなトータルで幸せだからという認識、認知ができてきた感じですね。しかしながら、こういう空気に変えようと思ってもすぐには変わらず、年単位の時間はかかります。
お薦め資料
本記事でも触れられている、セキュリティ関連資料やフレームワーク/ガイドラインの要約版資料が無料でダウンロードできます。詳細は、ゾーホージャパンのサイトをぜひご覧ください。
各要約資料ダウンロード
グローバル展開しているDeNAが社内セキュリティポリシー大改定に参照したフレームワーク/ガイドラインを今すぐチェック! 各要約版資料は、こちらからダウンロードできます。
