以下、6名のCISO職域の方にコメントをいただきました(氏名・五十音順)。
メルカリ 市原尚久氏、日本電気 小玉浩氏、freee 茂岩祐樹氏、Zホールディングス 中谷昇氏、日本郵政 正村勉氏、NTT 横浜信一氏。
前半は不正対策に尽力し、後半は効果が感じられた1年
(メルカリ 市原尚久氏)
2022年を振り返って
2022年前半、フィッシングやクレジットカード不正などの不正対策に尽力した事による一定のコストが、決算にも影響を与えるインパクトがあったものの、後半からは一連の対策が効果を発揮しはじめ、被害は大きく減少することができました。さらに、抜本的な不正対策を目的としたFIDO/Passkeyの導入検討を開始しています。
また、11月にリリースした新しいクレジットカード「メルカード」のイシュアーとしてのPCI-DSS認証取得をサポート、リリース後も無事故で安定した運用ができております。
さらにメルカリのセキュリティ&プライバシーに係る新しいミッション&ビジョンを定め、組織改変。サイバーセキュリティの成熟度評価、プライバシーコンサル、コードベースセキュリティのベストプラクティス準拠度を示すリポジトリヘルスの自動チェックなど、新たな取り組みも始めているところです。
メルカリ
執行役員 CISO
市原尚久
東京理科大学大学院理工学研究科経営工学専攻修士課程を修了。1995年にNTTデータ通信株式会社(現株式会社NTTデータ)に入社。ICカードOS開発およびWeb/Mobile Appのセキュリティコンサルティング等のセキュリティ関連業務に携わる。その後、2015年にLINE株式会社へ入社し、アカウント乗っ取り対応等のLINEの各種セキュリティ課題改善プロジェクトに従事。2022年5月、株式会社メルカリ執行役員 CISOに就任。
2023年の展望
成熟度評価に基づくセキュリティ&プライバシーのロードマップ策定をしていく予定です。また、2023年リリース予定の仮想通貨取引サービス「メルコイン」の為の高い水準のセキュリティインフラの構築をしていく必要があると考えています。
そのためには、データガバナンス強化およびプライバシーテックを活用していくほか、セキュリティテスト・脆弱性検査、さらには管理の自動化/バイデフォルト化の更なる推進をおこなっていきます。また、同時に脅威モニタリング・インシデント対応の高度化と自動化にも継続的に取り組んでまいります。
「Truly Open, Truly Trusted」な世界の実現
(NEC 小玉浩氏)
2022年を振り返って
2022年は、特に三つの脅威動向に注目しました。一つ目はランサムウェアなどのサイバー攻撃のサービス化・ビジネス化が拡大したことです。二つ目は不確実性が増す世界情勢下のリスク拡大や、その中で破壊に特化したマルウェアなどが観測されたこと。そして三つ目はクラウド化やリモートワークなどの働き方の変化によるサイバー被害が増大したことです。脅威と環境が急速に変動する中で、人・技術・制度が全体的に追いついていない状況と認識しています。
その中でNECグループは、守り中心の対応から“攻めのデータドリブンなセキュリティカルチャーへの変革の年”を掲げ、実行しました。「サイバーセキュリティダッシュボード」を公開し、脅威とリスクの状態をグローバルに可視化・認識することで、経営層から一般社員まで一人ひとりの自律的なアクションにつなげています。
また、アウェアネス・インテリジェンス・レジリエンスを重要視して取り組み、新入社員からCISOへの突撃質問記事連載や啓発ビデオ制作によるマイクロテーマトークをはじめ、社内CTFや演習場による人材育成、プロアクティブな脅威分析に基づく事前防御、経営陣も巻き込んだ事業継続のためのサイバーレンジを行い、NIST CSFの第三者評価や外部の格付けにおいても高評価を獲得しました。
NEC
執行役員常務 兼 CIO 兼 CISO
小玉浩氏
数多くの企業の情報システム開発に従事し、ビジネス部門責任者を経て2019年4月より現職。国際基準に沿ったNECグループのセキュリティ強化を図り、継続的に信頼される企業を目指す。また、大学や高専、資格認定機関である(ISC)2と協定を結ぶなど、セキュリティ人材の育成にも力を入れている。
2023年の展望
2023年のサイバー空間は、悪くなることはあっても良くなることはないと思っています。セキュリティ人材は350万人不足するといわれており、DXの加速やメタバースの進展により、さらなるリスクも生じてきます。
そのため、設計の段階からセキュリティ・バイ・デザインに取り組むと共に、基本動作の徹底がより重要になります。引き続き、日々の脆弱性管理や、レッドチームなどによるリスクアセスメントを実直に行い、アタックサーフェイスを含めたアセットを守り抜きたいと思います。加えて、高度なインテリジェンスゲインを目的としたアクティブディフェンスも活用していきます。
ゼロトラストの実現に向けて、Three Lines of Defenseを強化したThree Lines Modelに基づく情報管理やクラウドセキュリティの対策を行っていますが、2023年は「パスワードレス」による利便性との両立を実現していきます。当社が持つ顔認証をはじめとした生体認証の技術をトータルに活用し、「Truly Open, Truly Trusted」な世界の実現によって安全につながるプラットフォームの構築を目指します。
また、技術対策を高度化するとともに、一人ひとりのアウェアネスを高める取り組みや高度セキュリティ人材の育成も一層強化します。そして、成果を産学連携などで広く共有し、Value Creatorとして社会をよりよくしていく所存です。
