SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

Security Online Day 2022

2022年9月16日(金)10:00~17:10

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

Security Online Column

20年以上活躍してきたDeNAからfreeeへ CISO 茂岩祐樹氏が描く「再現性のある平和」

「腹落ちのするセキュリティ」実現に向けた施策とは

 エンジニア、セキュリティエンジニアであれば、茂岩祐樹氏の名前を一度は耳にしたことがあるのではないだろうか。2022年4月、20年以上勤めたDeNAからfreeeへと活躍の場所を移すことを発表したことは記憶に新しい。そこで今回は、転職の経緯や企業文化の違い、そしてCISOとしての抱負などを茂岩氏にうかがった。

20年以上在籍したDeNAからfreeeへ

 茂岩氏は、ディー・エヌ・エー(DeNA)の初期システムを一人で立ち上げるなど、多くの武勇伝をもっており、今も語り継がれている。同氏の高い熱量で物事に取り組む姿勢は、セキュリティ部を立ち上げ、部長となっても変わらず、CSIRTで同社のセキュリティを牽引した。その茂岩氏が2022年4月、DeNAを辞してfreeeのCISO(最高情報セキュリティ責任者)に就任したこと[※1]は大きな話題となった。

freee CISO 茂岩祐樹氏
freee CISO 茂岩祐樹氏

 「DeNAには20年以上在籍していて、特に転職願望が強かったわけでもないのです」と茂岩氏。元々、節目となる年齢を迎えることや、やりたいと思っていたことがほぼDeNAでできたこと、新型コロナウイルス感染症による世の中の変化などから、環境を変えてみたい、新しい挑戦をして自分を刺激したいといった思いは胸の内に秘めていた。たとえば、選択肢の一つとして起業も視野にいれており、会社を立ち上げる準備はしていたという。

 「実は起業を考えていたときもあったのですが、コロナ禍になって営業もままならない状況になってしまい……。起業するのなら、もう少し世の中が落ち着くのを待った方がいいと考えなおしました。そこで、もう一度会社組織に目を向けていたところで、たまたま声をかけていただいたことがfreeeへと移ったきっかけです」(茂岩氏)

 DeNAにおいて茂岩氏は、約10年前にセキュリティ組織をゼロから構築している。当時は多くのゲーム会社と同様に北米進出を画策していた時期であり、スマートフォンの普及も進んだことでサイバー攻撃を受けやすい環境に変化。セキュリティ対策の強化が求められていた。

 「攻撃に強いアプリをいかにリリースしていくかを考え、その方法の模索から始まったことを憶えています。セキュリティ対策の導入や脆弱性診断などのサービスを活用しながら、内製のセキュリティ診断チームを設立。ガバナンスやポリシーの構築、各国の法規制対応などと役割を拡大していきました。また、並行してセキュリティ人材の育成や採用も進めていましたね」(茂岩氏)

 今回のfreeeからのオファーは、「これまでの経験をCISOとして活かして欲しい」というもの。freeeは、会計をはじめとするバックエンドの仕組みを自動化するソリューションを提供しており、企業はそれらを導入することで手作業による処理をなくし、その時間を本業にあてることでイノベーションを加速できる。その将来的なビジョンが明確である一方、実現には多くの課題もある。茂岩氏はそこに“ワクワク感”を覚え、挑戦を決めたという。

[※1] 「元DeNA茂岩祐樹氏、freee最高情報セキュリティ責任者 (CISO) に就任」(freee公式ホームページ)

初めてのCISOへの挑戦

 セキュリティの経験は豊富であるが、CISOという役職は初めてとなる茂岩氏。その感触をうかがうと、「一言で言えば『責任が重い』ということになりますが、CISOに求められる細かい役割は会社によって違うと思いますので、freeeに合った将来予想図をどんどん自分で予測して作っていく必要があると思っています。そして、社長を含む他のCxOの方々に納得してもらえるような施策を提案していきたい」と切り出す。

 CISOにはセキュリティだけでなく、経営を理解することが求められる。茂岩氏はそれに加え、“企業文化”を理解することも重要であるとした。「企業文化に沿った施策を考えないと物事はうまく進みません。事業と文化を理解した上で施策を打ち出し、その上でお客様に喜んでいただき売り上げにつなげていく。そうした体験を積み重ねていきたいと考えています」と茂岩氏は述べる。

 とはいえ、DeNAと比べてもオフィスカルチャーにおける違和感はないという。そこには、ベンチャーから始まって上場しているというプロファイルと、誰もが自由闊達に発言できる文化が醸成されている点で共通しており、10年ほど前のDeNAのような雰囲気があると茂岩氏は分析する。特にfreeeでは、新しい技術を取り入れることにも積極的であるため、しっかりと方向性を示していくことが大事だとした。

 また、DeNAと異なるという点では、ゼロからの立ち上げでないということだ。freeeには既にCSIRT(Computer Security Incident Response Team)やPSIRT(Product Security Incident Response Team)があり、インシデント対応の体制も整っている。そこにCISOとして入っていくからには、“経営と現場の橋渡し”こそが、重要な役割の一つになると茂岩氏。「まずは、全体的な可視化を進めたいと考えています。これにより、想定される脅威に対してカバーできているかどうかを把握でき、経営陣のセキュリティに対する理解を助けることにも役立ちます」と直近の目標を語る。

 セキュリティはしばしば経営陣からコストセンターとして見られがちだが、freeeでは経営陣もセキュリティの重要性を理解しているという。それでも資本が無尽蔵にあるわけではないため、可視化して投資するべき必要なものを理解した上で進めていくことが大切だと茂岩氏は強調する。

次のページ
“セキュリティ意識が高い”企業の難しさとは……

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
Security Online Column連載記事一覧

もっと読む

この記事の著者

吉澤 亨史(ヨシザワ コウジ)

元自動車整備士。整備工場やガソリンスタンド所長などを経て、1996年にフリーランスライターとして独立。以後、雑誌やWebを中心に執筆活動を行う。パソコン、周辺機器、ソフトウェア、携帯電話、セキュリティ、エンタープライズ系など幅広い分野に対応。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/15996 2022/05/19 08:00

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年9月16日(金)10:00~17:10

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング