freeeのCISO茂岩祐樹氏が大いに語る セキュリティの事業貢献は「大変だし怖い」：セキュリティ先進企業へのショートカット（2/2 ページ）

[田渕聖人，ITmedia]

茂岩氏が考える「セキュリティ業務が向いている人材」

――昨今、セキュリティ人材の不足が叫ばれていますが、約20人もメンバーがいるんですね。人材獲得や育成についてはどうしているのでしょうか。

茂岩氏：　メンバーのうち全員が中途採用で専門性が高い人材というわけではなく、約3割は未経験から育成した人材です。その中には新卒で採用してセキュリティエンジニアになった人材もいます。ちなみにDeNA時代も同様で、未経験や新卒で配属され、そこからスキルを身に付けていった人材が一定数いました。教育プログラムを計画的に実施さえすれば人材は育つと感じています。

――教育プログラムとは具体的にはどのようなものなのでしょうか。

茂岩氏：　私が入社したときには既に制度は整っていたのですが、基本的にはOJTですね。新卒はセキュリティ部門に配属されると、まずはPSIRTに所属し、レッドチーム（攻撃側）かブルーチーム（防御側）のどちらかに割り振られます。そこで先輩からいろいろ業務を教わるわけです。

――どのような人材がセキュリティ業務に適正があると思いますか。

茂岩氏：　やはり開発経験があることは一つのポイントです。それに加えて、知的好奇心が旺盛な人が良いですね。狭く深くではなく、広く浅くいろいろなことに興味を持つ人の方が、セキュリティの仕事で成功する可能性が高いと思います。

　もちろん、特定の分野に特化して深く掘り下げる人もいますし、その分野で成功している人もいます。ただ、私たちのような事業会社でセキュリティを担当する場合、広範な知識と柔軟性が求められます。特定の分野だけを専門にするというスタンスだと事業会社のセキュリティ業務は難しいかもしれません。

――人材採用・育成で苦労した点はありますか。

茂岩氏：　CSIRTの経験者を採用するのには苦労しています。当社のCSIRTを運用する上では、監査や社内ルール・ポリシーの作成、法律知識に加えて多少の技術的な知識など幅広いスキルが要求されます。やはりエンジニアは技術志向が強いので、脆弱性診断やフォレンジックといった当社でいうPSIRTの業務範囲に関心を持ちがちなのでミスマッチが生まれてしまいます。「ポリシーを作れるし、技術も分かる人材が欲しい」というのは多くの企業が共感するところでしょう。当社でもCSIRTの経験者採用を進めていたのですが思うようにいかず、結局「待っているわけにはいかない、育てよう」という方向にシフトしました。

セキュリティが事業に貢献するにはどうすればいいのか？

――これまでお聞きした内容以外でセキュリティ組織の構築で意識している点はありますか。

茂岩氏：　セキュリティ組織の今後の方向性を示すミッション・ビジョンの明確化には注力しています。ミッション・ビジョンには例えば「事業に貢献する」や「自律型組織を作る」などがあります。

　ある程度セキュリティ組織の規模が大きくなると黙っていてもセキュリティを強化する方向に走っていくものです。それはもちろんいいことなのですが、これと同時に、どうすれば事業に貢献できるかも考える必要があるでしょう。また、企業規模が拡大すればその分、セキュリティ組織にも多くのリクエストが来ます。その際に現場の従業員たちが自律的に考える組織を作りたいと思っています。

　この他、DeNA時代にも同じミッションを掲げていたのですが、「再現性のある平和を作ろう」というものもあります。これは平たくいうと「自分たちできちんとリスクコントロールができる状態」を作っていくことがセキュリティ組織の存在価値だということです。自社でインシデントが起きていないのは、きちんとコントロールできているからなのか、それともたまたま攻撃を受けていないだけなのか、ここには大きな違いがあります。

――どれもうなずける大事なミッションですが非常に困難もありそうです。特に、セキュリティが事業に貢献するにはどうすればいいのでしょうか。

茂岩氏：　先ほど話したプラスとマイナスを相殺して提案する、またはマイナスをできる限り少なく提案するというのは重要なポイントです。例を挙げると、サービスの新機能をリリースするときには必ずテストを実施しますが、システムの特性を加味して「この部分のテストは簡略化できるのではないか」といった提案をして少しでも早くリリースできるようにするといった工夫を凝らしています。

　セキュリティを強化するためにやるべきことをどんどん積み上げて縛るのはある意味簡単です。そうではなく、やらなくてもいい部分を探して適度に省くことで結果的にユーザーの利便性を高めたり、事業に貢献できたりすると考えています。

　ただこれを実現するにはシステムへの深い理解と高度なスキルが要求されるので、大変で怖い部分もありますが、チーム全体で成し遂げていこうと思います。

――最後に茂岩さんとセキュリティ組織の今後の展望を教えてください。

茂岩氏：　きちんとしたセキュリティポリシーを作れる人材をたくさん育成していきたいですね。あとはセキュリティ組織の地位向上も重要なテーマです。そのためにはCISOという私自身の立場を、より経営になくてはならない存在として認知してもらう必要があると思います。インシデントが発生すればセキュリティの優先順位は上がりますが、平時の状態でいかにしてセキュリティの地位を上げられるかが大事です。非常に難しいミッションを自分に課しているなって感じがしますけど（笑）。

――本日はありがとうございました。