EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

20年以上活躍してきたDeNAからfreeeへ CISO 茂岩祐樹氏が描く「再現性のある平和」 「腹落ちのするセキュリティ」実現に向けた施策とは

edited by Security Online   2022/05/19 08:00

 エンジニア、セキュリティエンジニアであれば、茂岩祐樹氏の名前を一度は耳にしたことがあるのではないだろうか。2022年4月、20年以上勤めたDeNAからfreeeへと活躍の場所を移すことを発表したことは記憶に新しい。そこで今回は、転職の経緯や企業文化の違い、そしてCISOとしての抱負などを茂岩氏にうかがった。

20年以上在籍したDeNAからfreeeへ

 茂岩氏は、ディー・エヌ・エー(DeNA)の初期システムを一人で立ち上げるなど、多くの武勇伝をもっており、今も語り継がれている。同氏の高い熱量で物事に取り組む姿勢は、セキュリティ部を立ち上げ、部長となっても変わらず、CSIRTで同社のセキュリティを牽引した。その茂岩氏が2022年4月、DeNAを辞してfreeeのCISO(最高情報セキュリティ責任者)に就任したこと[※1]は大きな話題となった。

freee CISO 茂岩祐樹氏
freee CISO 茂岩祐樹氏

 「DeNAには20年以上在籍していて、特に転職願望が強かったわけでもないのです」と茂岩氏。元々、節目となる年齢を迎えることや、やりたいと思っていたことがほぼDeNAでできたこと、新型コロナウイルス感染症による世の中の変化などから、環境を変えてみたい、新しい挑戦をして自分を刺激したいといった思いは胸の内に秘めていた。たとえば、選択肢の一つとして起業も視野にいれており、会社を立ち上げる準備はしていたという。

 「実は起業を考えていたときもあったのですが、コロナ禍になって営業もままならない状況になってしまい……。起業するのなら、もう少し世の中が落ち着くのを待った方がいいと考えなおしました。そこで、もう一度会社組織に目を向けていたところで、たまたま声をかけていただいたことがfreeeへと移ったきっかけです」(茂岩氏)

 DeNAにおいて茂岩氏は、約10年前にセキュリティ組織をゼロから構築している。当時は多くのゲーム会社と同様に北米進出を画策していた時期であり、スマートフォンの普及も進んだことでサイバー攻撃を受けやすい環境に変化。セキュリティ対策の強化が求められていた。

 「攻撃に強いアプリをいかにリリースしていくかを考え、その方法の模索から始まったことを憶えています。セキュリティ対策の導入や脆弱性診断などのサービスを活用しながら、内製のセキュリティ診断チームを設立。ガバナンスやポリシーの構築、各国の法規制対応などと役割を拡大していきました。また、並行してセキュリティ人材の育成や採用も進めていましたね」(茂岩氏)

 今回のfreeeからのオファーは、「これまでの経験をCISOとして活かして欲しい」というもの。freeeは、会計をはじめとするバックエンドの仕組みを自動化するソリューションを提供しており、企業はそれらを導入することで手作業による処理をなくし、その時間を本業にあてることでイノベーションを加速できる。その将来的なビジョンが明確である一方、実現には多くの課題もある。茂岩氏はそこに“ワクワク感”を覚え、挑戦を決めたという。

[※1] 「元DeNA茂岩祐樹氏、freee最高情報セキュリティ責任者 (CISO) に就任」(freee公式ホームページ)

初めてのCISOへの挑戦

 セキュリティの経験は豊富であるが、CISOという役職は初めてとなる茂岩氏。その感触をうかがうと、「一言で言えば『責任が重い』ということになりますが、CISOに求められる細かい役割は会社によって違うと思いますので、freeeに合った将来予想図をどんどん自分で予測して作っていく必要があると思っています。そして、社長を含む他のCxOの方々に納得してもらえるような施策を提案していきたい」と切り出す。

 CISOにはセキュリティだけでなく、経営を理解することが求められる。茂岩氏はそれに加え、“企業文化”を理解することも重要であるとした。「企業文化に沿った施策を考えないと物事はうまく進みません。事業と文化を理解した上で施策を打ち出し、その上でお客様に喜んでいただき売り上げにつなげていく。そうした体験を積み重ねていきたいと考えています」と茂岩氏は述べる。

 とはいえ、DeNAと比べてもオフィスカルチャーにおける違和感はないという。そこには、ベンチャーから始まって上場しているというプロファイルと、誰もが自由闊達に発言できる文化が醸成されている点で共通しており、10年ほど前のDeNAのような雰囲気があると茂岩氏は分析する。特にfreeeでは、新しい技術を取り入れることにも積極的であるため、しっかりと方向性を示していくことが大事だとした。

 また、DeNAと異なるという点では、ゼロからの立ち上げでないということだ。freeeには既にCSIRT(Computer Security Incident Response Team)やPSIRT(Product Security Incident Response Team)があり、インシデント対応の体制も整っている。そこにCISOとして入っていくからには、“経営と現場の橋渡し”こそが、重要な役割の一つになると茂岩氏。「まずは、全体的な可視化を進めたいと考えています。これにより、想定される脅威に対してカバーできているかどうかを把握でき、経営陣のセキュリティに対する理解を助けることにも役立ちます」と直近の目標を語る。

 セキュリティはしばしば経営陣からコストセンターとして見られがちだが、freeeでは経営陣もセキュリティの重要性を理解しているという。それでも資本が無尽蔵にあるわけではないため、可視化して投資するべき必要なものを理解した上で進めていくことが大切だと茂岩氏は強調する。

※この続きは、会員の方のみお読みいただけます(登録無料)。


※この続きは、会員の方のみお読みいただけます(登録無料)。


著者プロフィール

バックナンバー

連載:Security Online Column

もっと読む

All contents copyright © 2007-2022 Shoeisha Co., Ltd. All rights reserved. ver.1.5