{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.text}}
デジタルトラストの構築に向けたPwCのアクション:セキュリティ/プライバシーに配慮した安心・安全なプロダクト開発組織に向けて(Sansan)
2021-03-29
社内で名刺を一括管理し、企業の成長を後押しする――。Sansanは、これまで紙でやり取りしていた名刺をデジタル化して利活用するサービスを提供しています。名刺という個人データを扱う上で、どのようなセキュリティ体制を構築してきたのか。データの利活用が一層進む中、安心・安全なプロダクトを開発するために、開発者(エンジニア)にはどのようなマインドが求められるのか。SansanでCTOを務める藤倉 成太氏にお話を伺いました。(本文敬称略)
*本対談はPwC’s Digital Trust Forum 2021におけるセッションの内容を再編集したものです。
対談者
Sansan株式会社
執行役員/CTO
藤倉 成太氏
PwCあらた有限責任監査法人 パートナー
平岩 久人
(左から)平岩 久人、藤倉 成太氏
セキュリティと利便性を両立させるために
平岩:
最初にSansanの事業内容を教えてください。
藤倉:
Sansanは「出会いからイノベーションを生み出す」をミッションとして掲げ、法人向けクラウド名刺管理サービス、個人向け名刺アプリ、クラウド請求書受領サービスの3つの事業を柱に展開しています。特に法人向けクラウド名刺管理サービスについては、これまで紙でのやり取りが当たり前だった名刺をデジタル化することで出会いのデータを会社・人物単位で集約し、全社員の人脈を社内で共有することができるようになる利便性から、おかげさまで多くの企業で導入していただいています。
平岩:
法人向けクラウド名刺管理サービスは現在7,000を超える企業が導入していると伺いました。大量の個人データを取り扱うビジネスモデルゆえ、セキュリティについては特に重要視されているのではないでしょうか。
藤倉:
はい。Sansanは企業理念におけるプレミス(前提条件)として「セキュリティと利便性を両立させる」を掲げています。一般的に「セキュリティと利便性はトレードオフの関係にある」と言われますが、Sansanは「ビジネスを成長させ、かつセキュリティも強固にしていくにはどうすればよいか」を常に考えるようにしています。私たちは、お客様から個人情報をお預かりしている立場ですから、セキュリティはもちろん最重要事項です。その上で利便性を両立させ、お客様のビジネスを加速させることこそ、自分たちの使命だと考えています。
弊社は事業部制を採用しています。先に紹介した3つの事業ごとに、情報セキュリティを統括する組織体制を構築しています。会社全体のセキュリティを統括する最高情報セキュリティ責任者(CISO)がおり、各事業部の役員の中に、個人情報保護管理者を置いています。さらに、事業部の中には情報システム管理実務を所轄する組織があり、その組織のトップが、情報システム管理者になっています。
平岩:
Sansanは社内にCSIRT(Computer Security Incident Response Team)も設置されているのですよね。
藤倉:
はい。CISO直下の組織として設置しています。CSIRTはセキュリティの専門家の集団であり、セキュリティ関連の情報収集や社員のセキュリティリテラシー向上を目的とした教育、社内からのセキュリティに関する問い合わせに対応する役割を担っています。また、各プロダクトの脆弱性診断やWAF(Web Application Firewall)の分析、社内の開発環境やネットワークに対するペネトレーションテストなども担当しています。
Sansan株式会社 執行役員/CTO 藤倉 成太氏
PwCあらた有限責任監査法人 パートナー 平岩 久人
部門間連携に必要なのは徹底的な情報共有
平岩:
藤倉さんはCTOという立場ですが、どのような役割を担っているのでしょうか。
藤倉:
私の役目は、各事業部のプロダクト開発チームと、CISO直下のCSIRTが円滑にコミュニケーションできるような体制を構築し、ファシリテーションすることです。事業をけん引していくプロダクト開発チームと、それを支えるCSIRTが対等な立場で膝を突き合わせ、連携しながら、強固なセキュリティ体制下でプロダクト開発を進められるよう、両者をつなぐ役目を担っています。
また、個人データを利活用する上では法務部門との連携も不可欠です。ユーザーの利用規約の作成をはじめ、サービスに関連する法的な解釈をステークホルダーに説明する役割を担う同部門と、各事業部のプロダクト開発チーム、そしてCSIRTの3部門で、日常から定期的に情報共有をしています。
ここでCTOとして特に心掛けているのは、全てにおいて「先回りをする」ことです。モノ作りにはリードタイムがあります。ですから、先を見越してセキュリティリスクを想定したり、情報を各部門に共有して開発の準備を進めたりする必要があります。特にセキュリティについては、リスクに対する懸念が生じてから対策を講じるのでは遅すぎますよね。もちろん、全てを予見することはできませんが、常に先回りし、各部門の機動性を維持・向上することが大事だと考えます。
平岩:
企業のセキュリティ体制構築においてよく聞かれるのが、先進性のあるサービス提供を迅速に実現したい開発部門と、セキュリティを強化して万全の体制でサービスを世に送り出したい情報管理部門の「コンフリクト」(対立)です。Sansanでは、全社にセキュリティ文化を定着させるためにどのような取り組みをされていますか。
藤倉:
2007年の創業当時から「セキュリティインシデントがあったら会社は存続できない」という危機感を各社員が持ち、全社朝礼などで、セキュリティに関する情報を全員で共有していました。その後、事業の拡大に伴って社員数が増加してからは、開発部門のエンジニアのセキュリティ教育に注力しました。例えば、当時は製品の脆弱性診断を外部の専門家に委託していたのですが、そのフィードバックから得られた問題点を、製品に携わる全員で修正するといったことを通して、セキュリティに対して「当事者意識を持つ」企業文化の醸成に努めてきました。
コンフリクトが発生するのは、リソースに制限があるからです。例えば、時間やコスト、ヒューマンリソースなどに制約がある状態では、プロダクト開発と情報セキュリティのどちらの都合を優先するのかで議論になりがちです。プロダクト開発チームは技術の専門家であり、CSIRTはセキュリティの専門家ですから、見える風景や着目するポイントが異なるのは当然です。このような事態を避けるためには、徹底的に情報を共有し、「お互いが何を優先しているのか」を知ることです。
平岩:
Sansanではプロダクト開発部門がセキュリティを意識するために、各事業部内にセキュリティ担当者を設置されているとも伺いました。
藤倉:
はい、各事業部にはCSIRTを兼務しているサービス開発担当者がいます。ですから、各事業部でセキュリティに関する取り組みを実施する際には、彼らが中心となってCSIRTと連携しながらイニシアチブを取って対策を進めています。
エンジニアに求められるセキュリティへの当事者意識
平岩:
ここまでお話を伺って、セキュリティと利便性の両立を実現する近道はなく、情報の共有と相互理解の促進による地道な積み重ねが安心・安全なプロダクト開発につながるのだと実感しました。
藤倉:
おっしゃるとおりです。組織体制についてですが、現在はさらに一歩進んで、各事業部にセキュリティタスクフォースを設立しました。CSIRTとは別の組織で、普段はプロダクト開発に携わるメンバーを中心に構成されています。タスクフォースのメンバーには、最新のセキュリティインシデント事例や攻撃手法が優先的に伝達されるようになっています。こうすることで、メンバーは「その攻撃は、自分が開発しているサービスにどのようなインパクトを与えるのか」を把握し、迅速に対応することが可能になります。「当事者意識を持ってセキュリティ対応ができる」という観点からも、この組織体制は機能していると思っています。
平岩:
「開発にセキュリティを組み込む」という理想的な組織ですね。
藤倉:
とはいえ、プロダクト開発チームのセキュリティ意識を、組織が大きくなっても維持・向上させ続けるのは大きな挑戦です。IT技術は、ビジネスのあらゆる部分を支えています。ですからプロダクト開発に携わるエンジニアには、ビジネス全体を俯瞰できる視点が求められます。「自分が開発に携わっているシステムは、ビジネスモデルをどのように支えているのか」「提供しているサービスは、ユーザーに対してどのような体験を与えているのか」といったことを把握し、よりよいプロダクト開発に生かすのはもちろん、自身が適切に情報やデータを取り扱うことの重要性を理解しなければなりません。
平岩:
おっしゃるとおり、エンジニアに対するこうした要求は、年々増しているように感じます。
藤倉:
Sansanは名刺という個人データをもとにサービスを提供している以上、データセキュリティに対して責任を持ち、プロダクト開発の初期段階からセキュリティを組み込む「セキュリティ・バイ・デザイン」の考えに則って、プロダクトを開発しなければなりません。
また、組織に必要なのはエンジニアの教育だけではありません。セキュリティトレンドを見極め、CSIRTの在り方も柔軟に変えていく必要があると考えます。現在のCSIRTとプロダクト開発部門の関係はベストに近いと自負していますが、この状態がいつまでも続くわけではありません。組織の規模や体制が変われば、それに応じた対策が求められます。現状に最適なセキュリティの在り方を、常に模索していく必要があるでしょう。
平岩:
今後、テクノロジーの進化はますます加速すると考えられます。ビジネスとテクノロジーが高度に融合していく時、エンジニアには技術的な側面のみならず、ビジネスに対する広い視野と意識が求められるでしょう。プロダクトの開発に携わる人間がそうした素養をさらに身に付けることで、利便性とセキュリティが備わった高度なサービスが、さらに生まれていくのではないでしょうか。本日はありがとうございました。
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.text}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.text}}
{{contentList.loadingText}}
