「燃え尽き症候群になってほしくない」 CISOとしての決意
大木氏は組織開発室室長でもあり、人事や採用も管轄しているため、常に“ヒト”に目が向いている。「みんなに気持ちよく、モチベーション高く働いてほしいです。既にプロフェッショナルで優秀な人たちばかりですが、さらに自己研さんしてスキルを高めてほしいと思っています」と話す。
特に気にしているのは「燃え尽き」だ。大木氏が最近目にしたグローバル調査によると「企業のセキュリティ担当者の85%が燃え尽きを経験している」ことが分かったという。確かに、セキュリティ担当者はインシデントが起きないように念には念を入れてログやシステムをチェックしても大して評価されず「やって当たり前だ」と思われる上に、万が一インシデントが起きてしまえば激しく叱責されてしまうこともある。そうした境遇に「やっても報われない」と感じてしまう人も少なくないだろう。
「自分の部下には絶対にそうなってほしくない」と大木氏は強く主張する。そのため、経営陣には報告や啓発を欠かさず、同時に社内のレジリエンスを高める努力を重ねている。部下たちには自発的に勉強ができてプライベートも大切にできる“ワーク・ライフ・バランス”を保てる職場環境を提供するため、あらゆる方向に目を配っているのだ。
特にCISOとして力を入れていることが「経営陣への啓発」だ。セキュリティインシデントを完全にゼロにはできないことを理解してもらうために、日ごろからどれほどの脅威があるのか、他社事例も交えながら伝えている。たとえば「800。この数字は何だと思いますか? うちのファイアウォールへの1日あたりの平均攻撃数です。毎日これだけ攻撃されているのです」といったように、イメージを持ちやすい伝え方を意識しているという。
また、実際の攻撃への対抗措置にはどのようなものがあり、ニトリではどこまでを実装しているかについても具体的にレクチャーする。その上で「現状ではこの対策ができていないから、こういったリスクが起こり得ます」と伝える。とはいえ、「やりたいことをすべてやれるほどの予算は要求しません」と大木氏。できるだけコストをかけないようなソリューションを探し、できることを1つひとつ積み上げてレジリエンスを高めていると話す。
過去にはレッドチーム演習(システムに疑似攻撃を行う訓練)も実施。もちろん抜き打ちで、経営者が使う端末を乗っ取るなど容赦しなかったという。「後でかなり怒られましたけどね」と大木氏は笑う。結果的には「やっぱりセキュリティはきちんとやらないとダメだね」という理解につながったそうだ。
「セキュリティはエキサイティング」 ビジネスを止めない環境作りを
今、ニトリではオンライン販売も急速に伸びている。実店舗に来る顧客もアプリを活用するため、登録者数は数千万人規模に上っているという。こうした顧客情報や購買履歴はビジネスの大きな柱となるため、セキュリティ面でも安全性を死守していく必要がある。大木氏は「データベースのセキュリティ強化やDLPなど、一般的な対策は一通り導入しています。お客様が意識することなく気が付いたらセキュリティ対策が施されている、そんな対応を突き詰めていきたいです」と話す。
すぐに復旧できるような体制も重要だ。もし障害が発生したとしても、データをバックアップから確実かつ迅速にリストアを実行できるようにする必要がある。大木氏は「ニトリは毎日『いくら売りあげたか』を突き詰める作業の繰り返しです。自動車なら納期が多少伸びてもお客様は待ってくれますが、小売だとそうはいかず、お客様は別の店に流れてしまいます。つまり、障害で復旧に1日かかる場合と、1週間かかる場合ではビジネスインパクトがまったく違ってきます。何よりもデータを守ること、ビジネスを止めないことが重要です」と話す。
最後に大木氏は情報セキュリティに携わる人に向けて次のようにエールを送る。「セキュリティは非常にエキサイティングな分野だと思います。攻撃と防御の構図が分かりやすいし、コンピューティングやAIなど技術の進歩も著しい。今情報セキュリティで働いている人は良いキャリア選択をしていると思います。これからも仕事を楽しんで成長を続けてほしいです」(大木氏)
