{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.text}}
デジタルトラストの構築に向けたPwCのアクション:ニューノーマルにおけるビジネス変化とそれを支えるセキュリティ組織とは(リクルート)
2021-05-17
新型コロナウイルス感染症(COVID-19)の拡大による人々の生活様式の変化は、消費者に密接に関連する多くの産業に、業態の転換を迫りました。小売店、飲食店、美容院……。こうした業種を支援する株式会社リクルートでは、どのようなセキュリティ対策が講じられているのか。同社で情報セキュリティを統括する鴨志田 昭輝氏に、ニューノーマルにおけるビジネスの変化とセキュリティ対策の取り組み、さらには経営層にセキュリティ対策の重要性を説明する上でのポイントを伺いました。(本文敬称略)
*本対談はPwC’s Digital Trust Forum 2021(2021年1月開催)におけるセッションの内容を再編集したものです。本記事内の情報は収録当時のものです。
対談者
株式会社リクルート
セキュリティ統括室 室長
鴨志田 昭輝氏
PwCコンサルティング合同会社 ディレクター
村上 純一
(左から)村上 純一、鴨志田 昭輝氏
COVID-19が加速させたビジネス変革とセキュリティ体制
村上:
COVID-19の感染拡大は、多くの企業の働き方とビジネスに大きな変化をもたらしました。リクルートにおいては、そのインパクトはどれほどのものだったのでしょうか。
鴨志田:
まず、自社の働き方については、リモートワークの割合が増加しました。コロナ禍以前からリモートワークの制度もVDI(Virtual Desktop Infrastructure)も構築済みだったため、セキュリティ統括室としては比較的スムーズに対応できたと思います。
村上:
リクルートのビジネスへの影響はどうだったのでしょう。
鴨志田:
消費者の生活様式が変化したことで、やはり事業への影響は少なくありませんでした。ただ、今回の変化はリクルートの事業にとって、大きな機会にもなり得ると思っています。
コロナ禍で、小売店や飲食店、美容院など多くのクライアントが、従来の対面でのサービス提供を制限されました。私たちはコロナ禍以前より、店舗向けの非接触決済サービスや、密を避けるためのオンライン順番受付管理アプリなどの開発を行っていたのですが、これらの取り組みが功を奏することになりました。今後もこうした取り組みを通じて、クライアントのビジネスに貢献し続けたいと考えています。
村上:
リクルート自体も、時代に応じてサービスの形態を変えていることがよく分かりました。クライアントに提供するそうしたシステムにおいては、個人情報を含む多くのデータを取り扱うことになります。リクルートではどのような体制でシステム開発を進め、セキュリティを担保しているのでしょうか。
鴨志田:
私が所属する株式会社リクルートを含むリクルートグループは複数の企業からなっており、それぞれがサービスを提供しています。サービスの数は合計で数百になりますが、セキュリティ部門で方針検討から実装まで一気通貫して担当するという体制は取っていません。親会社であるリクルートのセキュリティ部門だけで数百ものサービスのセキュリティ対策を行うことは、リソースの観点からも現実的ではないからです。
現在は各事業会社の関連部門とリクルートのセキュリティ部門が連携して、対策を強化する方針を採用しています。近年、セキュリティに関わる組織編成とセキュリティポリシーの改編を行いました。セキュリティに関わる組織編成から説明すると、事業部門との接点となる「セキュリティ推進組織」を設置しました。これは、組織ごとのセキュリティ部門と開発部門を兼務する組織です。システムの担当者と密に連携しながら業務に当たり、開発の初期段階からセキュリティを組み込むことを念頭に置いています。一方、セキュリティポリシーの改編では、雑誌ビジネスが中心だった時代から増改築を繰り返して肥大化してきたセキュリティポリシーを、系統立てて見直しました。
株式会社リクルート セキュリティ統括室 室長 鴨志田 昭輝氏
「Why」「What」「How」でセキュリティポリシーを整理する
村上:
セキュリティポリシーの改編について詳しく聞かせてください。旧来の雑誌ビジネスが中心だった時代に作成されたセキュリティポリシーに改訂を積み重ねてきたものを、デジタル社会に順応したものにするべく、一から見直されたのですね。
鴨志田:
はい。内容が、昨今の技術動向やインターネットを中心にしたビジネスに合わなくなっていたのです。オンプレミス環境を前提にしたポリシーは、クラウド環境のポリシーとして機能しませんよね。それと同じです。セキュリティポリシーを見直す上では、情報処理推進機構(IPA)が指南する「情報セキュリティマネジメントとPDCAサイクル」*1を参考にしました。情報セキュリティポリシーの文書構成を「基本方針=Why」「対策基準=What」「実施手順=How」の3階層に整理したのですが、数年かかりました。
村上:
根本からの見直しには時間を要します。整理の途中で特に苦労されたことは何でしょうか。
鴨志田:
セキュリティポリシーの構造の整理ですね。当初のポリシーは「どのようなことをするか」という「How」の羅列だけでしたが、これを思想から方針、目的・要求まで一線でつなげたのです。これにより、数百あるサービスに対して、同一のセキュリティポリシーを適用できるようになりました。
ただし、セキュリティポリシーの見直しは一度の改編だけでは終わりません。放っておくと、最新の事象にすぐに対応できなくなります。ですから、現在はHowに当たる実施手順は月次で見直し、改訂を続けています。
「1人CSIRT」から学んだセキュリティ部門の在り方
村上:
鴨志田さんは、セキュリティ対策の第一線で20年以上にわたりご活躍されています。そのキャリアの中でも私が特に印象深く感じたのが、株式会社リクルートテクノロジーズにおける「1人CSIRT」の立ち上げです。
鴨志田:
私にとっても非常に印象深い出来事でした。2014年にリクルートテクノロジーズに入社し、同時にCSIRTを立ち上げたのです。まさか、入社したばかりの社員がCSIRTをゼロから立ち上げることになるとは思っていませんでした……。ただ、当時は他にメンバーがおらず、1人でセキュリティインシデント対策に乗り出すことになったのです。
ゴーサインが出てから注力したのは、「短期間で実績を作ること」です。自分から進んで脆弱性やヒヤリハットを見つけては事業部門に説明し、その解決を支援しました。こうしたことの積み重ねで、現場からは「CSIRTがいるとこんなに楽になる」と認識されるようになりました。そうして、徐々にCSIRTメンバーも増やしていったのです。
村上:
セキュリティ部門がガバナンスを利かせようとすると、事業部門から「ビジネス推進の足かせ」として、反感を買うという話をよく耳にします。現場と連携するにあたり、特に心掛けられたことは何でしょう。
鴨志田:
「強制力をもって言うことを聞かせる」というアプローチは取らないことです。私自身、過去のキャリアで、セキュリティ部門と現場の関係が悪化していく姿を数多く見てきました。でも「セキュリティ対策をしっかりやりましょう」と言って反対する人はいないのです。現場も経営層も、基本的には賛成なのです。ただし、具体的な仕様の話になると予算や人的リソース、利便性などの問題があり、折り合いがつかなくなってしまうのです。
こうした総論と各論のギャップで苦しむのはセキュリティ部門です。強権的なセキュリティ部門ほど、このギャップは大きくなります。だからこそ、現場に寄り添って支えるCSIRTであることが重要なのであり、チームメンバーにもそうしたマインドであることを求めてきました。
PwCコンサルティング合同会社 ディレクター 村上 純一
株式会社リクルート セキュリティ統括室 室長 鴨志田 昭輝氏
経営層との対話で重要なのは「課題のリスト化」と「優先順位付け」
村上:
鴨志田さんはセキュリティ統括室の室長として、グループ各社の経営層にセキュリティ対策の取り組みや、その重要性について説明する機会が多いかと思います。経営層に対策の意義を理解してもらえず、結果的にセキュリティを十分に担保できないといった声を耳にする機会は少なくありません。コミュニケーションをとる上で気を付けていることを教えてください。
鴨志田:
経営層に活動の意義を理解してもらうために実施しているのが、セキュリティの課題を手当たり次第に解決するのではなく、まずはリスト化し、それに対して「何を優先して」「何を実施したのか」を明確化することです。セキュリティ対策としてやるべきことはたくさんありますから、「今、すべきことは何か」「今、何を『しない』のか」という優先順位付けが重要です。それゆえ、最初に課題をリスト化して、それに優先順位を付けて対処計画を立てるのです。
これにより、例えば経営層から「他社でセキュリティインシデントが発生した。私たちはいつ対策するのか」と聞かれた場合、「その課題はリストの○番目です。対応予定時期は○カ月後です」と回答できます。経営層の中でセキュリティ対策の順序が明確になり、コンセンサスが取りやすくなるのです。
村上:
対策に順位付けをする上では、最新のトレンドを把握し、順位を適宜変更するといった対応も必要です。普段、どのように情報を収集されていますか。
鴨志田:
自分の情報網を持つことを心掛けています。私の場合、情報セキュリティ対策活動の向上に取り組む一般社団法人の会合に参加したり、同業者と勉強会を行ったりして、人脈を広げることに努めています。こうした場所では「公にはなっていないが、今後注視すべきセキュリティのトレンド情報」が手に入ります。また、SNSでセキュリティの第一人者をフォローし、最新の動向を把握するようにもしています。
村上:
セキュリティのプロフェッショナルであり続けるには、たゆまぬ自己研さんが欠かせませんね。最後に、今後の注力領域について教えてください。
鴨志田:
セキュリティ対策はやるべきことが多いので、各社で内容を最適化することが重要です。人的リソースは限られていますから、事業会社ごとに緩急をつけた支援を行っていきたいと考えています。
また、端末におけるプロテクション強化やゼロトラストアプローチも検討する予定です。事業が拡大すれば、それだけ新たな脆弱性を抱えることになります。発生し得るリスクに迅速に対応できる体制を構築する必要があります。そのためには、人材採用も大きなテーマです。現在、どの企業でもセキュリティ人材は不足しています。将来的には、数百あるサービスのガバナンスを策定することも視野に入ってくるかもしれません。その際に力を発揮してくれる「挑戦者」を探すことも、私のミッションです。
村上:
セキュリティ人材が限られる中で、効率的なCSIRTの運用は喫緊の課題です。PwCも、CSIRTの高度化を支援していますので、そうした取り組みにさらに注力してまいります。本日は貴重なお話をしていただき、ありがとうございました。
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.text}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.text}}
{{contentList.loadingText}}
