freeeのCISO茂岩祐樹氏が大いに語る セキュリティの事業貢献は「大変だし怖い」：セキュリティ先進企業へのショートカット（1/2 ページ）

セキュリティの重要性が経営層にうまく伝わらないと悩む担当者は多いことだろう。セキュリティが事業に貢献するにはどうすればいいのか。元DeNAで現フリーのCISOを務める茂岩祐樹氏がポイントを語った。

[田渕聖人，ITmedia]

この連載について

「セキュリティ先進企業へのショートカット」は、CISOやCSIRT責任者といったキーパーソンに、セキュリティ組織をなぜ立ち上げ、またはどのように運用しているかなどを深堀りして聞き、セキュリティ体制構築・強化のショートカットにつながる情報を届ける連載だ。

ショートカットとは“楽をすること”ではなく、取り組みを地道かつ効率的に進めることに他ならない。先進企業の事例からそのヒントを学んでほしい。

　連載第2回はクラウド会計ソフト「freee会計」などの統合型ERPを提供しているフリーでCISO（最高情報セキュリティ責任者）兼VPoEを務める茂岩祐樹氏に同社のセキュリティ組織の変遷や、セキュリティ組織がうまく機能するための文化や仕組みづくり、セキュリティ人材採用・育成のポイントなどを聞いた。

　茂岩氏と言えば、ディー・エヌ・エー（以下、DeNA）立ち上げ時の中心人物として活躍した印象があるが、そこで得た知見やノウハウをどのように他組織に生かしたのだろうか。

茂岩氏が語る、経営層が納得するセキュリティ提案のコツ

――まずは茂岩さんの経歴から教えてください。

茂岩氏：　新卒で日本アイ・ビー・エムにエンジニアとして入社後、DeNAの立ち上げに参加し、同社のインフラやセキュリティ基盤を構築しました。DeNAには創業から22年いたのですが、新しい挑戦がしたくなってフリーに転職し、CISO兼エンジニアリング基盤本部の本部長を務めています。キャリアの半分はインフラ、半分はセキュリティといった感じです。

――フリーのセキュリティ組織の変遷についてお聞かせください。

フリーの茂岩祐樹氏（CISO兼VPoE）

茂岩氏：　フリーは2012年に創業し、2024年で12年目になります。比較的若い会社だと思うのですが、顧客の機微な情報を取り扱うサービスを提供しているフィンテック企業ということもあり、私が入社した2022年にはCSIRTが既に構築されていました。顧客の機密情報を扱うサービスだけに、「サイバー攻撃によって運営が滞ってはいけない」という意識が会社の中で非常に重要事項として捉えられています。

フリーのセキュリティ組織の変遷（出典：フリー提供資料）

　SaaS事業者に特にありがちなのですが、上場直前に慌ててセキュリティを整備するところもある中、フリーは事業を運営する上でセキュリティの重要性をしっかりと理解していたので比較的スムーズに体制を整備できたのだと思います。

――経営層はかなりセキュリティに理解があるのですね。

茂岩氏：　はい、そういった意味ではやりやすい部分は多いのですが、では何でもかんでも思った通りに進められるかというとそうではありません。

　やはり事業が成功することが大前提にあってその上でのセキュリティなので、「セキュリティが事業の成長に対してどう役に立つのか」「安全性と利便性のバランスは取れているのか」などはシビアに問われます。そのため前職と比べて楽かと言われると全然そうではありません。

――安全性と利便性のバランスを取りながら、セキュリティの価値をうまく経営層に伝えるのは多くのセキュリティ担当者にとって悩みの種でしょう。茂岩さんはこれをどのように進めているのでしょうか。

茂岩氏：　セキュリティ対策にはお金や手間がかかるのは事実です。そのため、その代わりにどのようなメリットがあるのかをしっかり伝え、プラスとマイナスを相殺して提案することを意識しています。ただセキュリティの場合、全ての提案でプラスになる要素を伝えられるわけではないので、リスクベースでの提案もしています。

　顧客からのセキュリティ要望や金融庁のガイドラインなどへの準拠については、あまり細かく説明する必要はないのですが、それ以外についてはリスクを定量化することが大事です。具体的には、「どのようなリスクがあるのか」はもちろん、「リスクが発生したらどのような結果になるのか」「そのリスクが起きる確率はどの程度か」などを数字で伝えています。

　日本の経営者は他社の事例を気にする傾向が強いので、他社のインシデント事例を基に、特定のリスクが自社でも起こり得るかどうかなどをシミュレーションして説明することもあります。この他、いきなり大きな投資をせずスモールスタートすることも心掛けています。まずはお金をかけずにできることから始めて、「お金やリソースに対して効果が見合う」と判断できてから大きく投資をする、という順番です。

――リスクを伝えるというのはよくあるパターンだと思いますが、リスクの結果や発生する確率まで試算することで経営層により届きやすくなるということですね。

　そうですね。そして、現場の業務フローやオペレーション、どのような情報を扱っているのかなどを深く理解して解像度を上げなければ、リスクを詳細に定量化することは困難です。社内で起きている全てのことを把握するのは難しい部分もありますが、調査を実施してなるべく理解できるように努めています。

DeNAからフリーに持ち込んだセキュリティ文化

――フリーのセキュリティ体制についてもう少し細かくお聞かせください。また、体制を強化する上でDeNAから持ち込んだセキュリティ文化などはあったのでしょうか。

茂岩氏：　「文系と理系のセキュリティを一つのチームにまとめる」というのは、DeNA時代から私がこだわっていたポイントです。ここでいう文系のセキュリティとは法律やルール整備、社内外のガバナンスなどを指し、理系のセキュリティとは脆弱（ぜいじゃく）性診断やフォレンジック調査などの技術的な取り組みを指します。

　フリーに入社した当時、社内セキュリティやガバナンスを担当するCSIRTはコーポレート組織に、製品のセキュリティを担当するPSIRTはIT部門に所属しており、別々で管理されていました。これはありがちな体制ですが、情報連携の観点からは一つの部門で管理した方が組織がうまく機能します。そこで、私は着任後すぐにセキュリティ部門を設立し、その下にCSIRTとPSIRTを編成しました。

　現在、CSIRTとPSIRTのメンバーで定期的に情報交換したり、人材交流を図ったりしてコミュニケーションを活発化させています。今後はチーム間の交流によって生まれるシナジーから得られる価値を言語化・明文化し、メンバーへの周知を図りつつ、具体的な業務に落とし込んでいく計画です。

　例えばこれによって、新しい法律や技術が自社のセキュリティに与える影響を調査し、それに沿ったルールを作成して社内に浸透させ、サービスでインシデントが発生したときには原因究明に向けたフィードバックを実施し、その結果をルールに反映させるといった好循環のサイクルをスムーズに回せるようになるでしょう。

　この他、脆弱性診断やポリシー作成、設計レビュー、法律調査といった各業務を全て線で結んで相互の関連性を可視化し、CSIRTとPSIRTのメンバーが連携を取りやすくしています。

――同じ部署にいる意義をより高めようとしているわけですね。常に情報交換や人材の交流をしているということで、体制としてはどのくらいの人数がいるのでしょうか。

茂岩氏：　CSIRTとPSIRTを合わせて約20人います。当社の全従業員数が1200人程度であることを考えると、割りとしっかりとした規模感だと思います。