「だめです禁止です」を捨てる Visional流“誘導型セキュリティ”改革とは？：セキュリティ先進企業へのショートカット

急成長するVisionalグループ。その影には、わずか数人から始まった“セキュリティ組織づくり”の知られざる攻防があった。スピード最優先の文化を損なわず、ばらばらだった対策をどう束ね、経営層をどう動かし、従業員の意識をどう変えたのか。

[高橋睦美，ITmedia]

この連載について

「セキュリティ先進企業へのショートカット」は、CISOやCSIRT責任者といったキーパーソンに、セキュリティ組織をなぜ立ち上げ、またはどのように運用しているかなどを深堀りして聞き、セキュリティ体制構築・強化のショートカットにつながる情報を届ける連載だ。

ショートカットとは“楽をすること”ではなく、取り組みを地道かつ効率的に進めることに他ならない。先進企業の事例からそのヒントを学んでほしい。

　Visionalグループは、転職サービスの「ビズリーチ」や人材活用プラットフォームの「HRMOS」などHR Tech事業を中核に、法人向けのM&Aプラットフォーム「M&Aサクシード」や物流テック領域でDXを支援する「トラボックス」、あるいは脆弱（ぜいじゃく）性管理サービス「yamory」やセキュリティの信用評価プラットフォームサービス「Assured」といった幅広い事業を展開している。

　そんなグループ全体のセキュリティを統括しているのが、ITプラットフォーム本部長の若井大佑氏だ。銀行のシステム子会社や大手通信キャリアでの経験を経て、Visionalの最高情報セキュリティ責任者の立場にある同氏に、スタートアップの文化が色濃く残る中でセキュリティ対策やガバナンスを強化する難しさやバランスの取り方、あえて内製にこだわる意味などを尋ねた。

お堅い銀行から走りながら考えるベンチャーまで、幅広い風土を経験

――若井さんの経歴を教えてください。

若井氏：　私は大学でプログラミングや開発を学んだ後、ミッションクリティカルなシステムの開発に興味を抱き、ある銀行のシステム子会社に入社しました。プログラムにはバグが付き物ですが、一円でも誤りが許されない銀行のシステムはどのように設計され、実装され、テストされ、運用されているかが気になったからでした。

Visionalの若井大佑氏（ITプラットフォーム本部 本部長）（筆者撮影）

　実際にはシステム技術開発室という部署に配属され、社内のITインフラやコーポレートITといった領域に携わることになりました。世の中全体でホスト系からオープン系への移行が始まり、PCが一人に一台配られインターネットが普及していったタイミングで、ネットワークやメールサーバの構築、ファイアウォールの運用といった業務を一通り経験していきました。また、SOX法を適用するプロジェクトも担当し、それが、本格的なセキュリティ業務に携わった始まりだったと思います。

――なぜ転職を考えたのでしょうか。

若井氏：　そうした経験を7〜8年積んだ後、この先もインフラエンジニアとして生きるならもっと幅広い業務を経験したいと考え、通信キャリアに転職しました。そこでは主にセキュリティシステムの構築や運用に携わりました。中でも、SOCを立ち上げてSIEM（Security Information and Event Management）を構築したのは得がたい経験でしたし、全社的な情報セキュリティ戦略や企画にも携わりました。

　その先のキャリアを考えてビズリーチに登録したところ、ビズリーチからスカウトが届き、新たな領域に挑戦している会社の姿勢に興味を抱いて転職を決めました。たまたまですが、入社時に割り振られる従業員番号がちょうど1000番でしたね。

――これまでの歩みを振り返ってみて、一番実になった経験は何ですか。

若井氏：　銀行子会社時代には、作業一つとっても、他の作業を考慮して時間を決めたり、待機したりと、自分の責任範囲以外の要素を考慮する必要がありました。その経験から、目の前の自分の業務だけでなく、周囲を見ることの重要性を意識するようになったと思います。これは、何かインシデントが起きた場合に、最初の段階でシステムの問題だけでなく、どこまで顧客や業務に影響があるのかを考慮してジャッジを下すという考え方に生きています。

――カルチャー面でのギャップはありませんでしたか。

若井氏：　正直言って、ありました（笑）。金融業界は、金融庁のレギュレーションを順守しながら業務を進める必要があり、新しいことにチャレンジしようとしても、確実な効果が望めなければなかなか踏み切れない環境でした。一方、2社目の通信キャリアは大きいベンチャー集団という雰囲気で、走りながら考える文化が色濃くありました。目的を果たすために一致団結して進んでいくパワーや勢いがありました。今のVisionalにも似た雰囲気を感じています。

ベースラインを作り、モニタリング体制を整えて経営層の理解を得る

――Visionalグループでは最高情報セキュリティ責任者としてどのような業務に携わっているのでしょうか。

若井氏：　私がスカウトを受けた理由の一つが、ビズリーチの社内、そしてグループとして全体の仕組みを整備し、ステージを一つ上げる支援をしてほしいというもので、まずその整備から着手しました。

　入社した当時は、ビズリーチ、HRMOSといった各サービスが事業部制で運営されている形で、会社としての共通の仕組みがまだまだ整備されていない状態でした。何も手を打っていないわけではないのですが、それぞれに詳しい人が、そのタイミングでベストだと思うものを選択して対策を進めており、横を見てみると「こっちではこうやっている、そっちではああやっている」と全然違うことをやっており、実施レベルにも差がありました。

――どこから手を付けていったのでしょうか。

若井氏：　まず会社としてのベースとなるルール作りから着手しました。同時に、情報処理推進機構（IPA）のチェックリストや「CIS Critical Security Controls Version 8.1」（CIS Controls）などにカスタマイズを加えたものを使って今のリアルな状態を数値化し、「一般的な会社や基準と照らし合わせた場合、うちはどこができていて、どこができていないのか」を可視化し、何から手を付けるべきなのかという方向付けを経営層とともに実施しました。

　その上で、技術的な裏付けに基づいた可視化・モニタリングに取り組みました。リリース前の脆弱（ぜいじゃく）性診断の確実な実施や、前職でも経験したログモニタリング基盤の整備を進め、社内はどういう状態にあり、危ないことが起きていないかを明らかにできる仕組みを作っていきました。

――その際、大事にしていた方針はありますか。

若井氏：　今もそうですが「これはだめです、あれもだめです」と業務に制限をかけるのではなく、新しいツールを活用して業務改革を積極的に進めるのが会社の方針です。ですから、ルールに基づいてツールの利用を制限するのではなく、自由に使わせつつ、モニタリングすることによって安全に使えているかどうかを確認し、危ない場合は注意するようにしています。

――従業員からの反発はありませんでしたか。

若井氏：　入社当時にすでに700〜800人とある程度の企業規模に達していた一方で、創業してまだ7〜8年足らずでベンチャーならではの文化もまだ根強くありました。むしろ、その勢いによって成長していた会社ということもあって、しっかり統制をかけていきたい思いがある一方で、会社の文化を大事にしたいという思いもあり、いかに勢いを殺すことなく統制をかけるかが難しいところでした。

　そんな中で、かつて所属していた銀行のようなやり方を押しつけてもうまくはまらず、そっぽを向かれるだけです。だからこそまず現状をしっかり把握した上で、足りないところを少しずつ手当てすることを意識しました。

――経営層からトップダウンでセキュリティ強化の指示があったのでしょうか。

若井氏：　会社のステージを上げるには一定のガバナンスが必要であり、それには経営陣の協力は不可欠です。まさにその協力を得るために、可視化やモニタリングが非常に重要であり、会社が変わるファーストステップだと捉えています。傾向を捉え「現状ではこうしたシャドーITがありますが、このリスクは受容できるものですか？」という問いにつなげ、それを放置しておくと1〜2年後にどのようなリスクが生じるかを説明し、次に何を実施するかを決めていきました。

目標は、自然と集まってきて安全に遊べる「キャットタワー」のようなセキュリティ

――こうした取り組みでは、ツールや技術だけでなく、人の意識やモラルも変える必要がありそうですね。

若井氏：　そうですね。ここ数年は教育や啓発活動に力を入れています。単に「セキュリティのルールはこうです、これはやってはいけません」と伝えるだけでは、無意識のうちに危ない使い方をしてしまったり、ちょっとしたオペレーションミスからインシデントにつながったりする恐れがあります。加えて、技術的な対策にはやはり限界があり、抜け道がどうしても生じてしまいますから、最後は従業員一人一人が自ら考えて守る必要があると考えています。

　そこでルールの周知はもちろんですが、「こういう使い方をすれば安全なだけでなく、業務がより便利になりますよ」と使い方やTipsを伝え、一人一人の認識を向上させることを意識しています。「Slack」のチャネルで情報を発信したり、内製で研修資料を作成したり、「価値あることを、正しくやろう」というVisionalグループのバリューに沿った発信をしたりなど、いろいろな形で進めています。面倒くさいと思われがちな部分ですが、会社のためだけでなく、個々人が自分の情報を守るために積極的に受けてほしいと考えています。

――セキュリティ一辺倒ではなく、利便性も訴求するのは素晴らしい取り組みですね。これなら従業員も「それならやってみようかな」と感じると思います。

若井氏：　実はこの辺は、最初から意識して仕掛けています。セキュリティには何らかのルールを決めて制限をかけるイメージが強くあると思いますが、私はどちらかというと、キャットタワーのようなセキュリティを作りたいと思っています。

――キャットタワーというと、猫のためのあれですか。

若井氏：　キャットタワーを置いておくと、猫が勝手に寄ってきて遊ぶじゃないですか。うちでは猫を3匹飼っているんですが、爪とぎ一つでも「ほら、ちゃんとあるよ」と用意しておくと、そこでやってくれるんです。

　同じように会社にとって必要なセキュリティや機能を提供することにより、必然的にそれをルール内で利用する環境を作り、他のものを使わずに済む形に持っていきたいと思います。使う側には別にリードに縛られている感覚がなく、一方で推進する側としても、目の届く範囲内で楽しくやってくれます。そんな世界観が理想です。「セキュリティ、セキュリティ」とうるさく言うよりも、やる側の動機を提案していきたいと思っています。

事業のスピードと一緒に歩むため内製で対策を実施、次の課題はAI活用

――こうしたプロセスはお一人で進めていったのですか。

若井氏：　専任はおらずほぼ一人でしたが、立ち上げ当時、他の部署から何人かメンバーを集めて進めていきました。チームの立ち上げから始め、今はログの監視をするSOCやCSIRTも含め、全体で12人体制で進めています。

――何かお手本にしたものはありましたか？

若井氏：　いえ、特にありません。会社の状態や文化、経営層の理解などを踏まえながら「グループ全体を守る情報セキュリティ基盤へ」という方針で進めていきました。一つ意識したのは、セキュリティが必要以上のブレーキになってはいけないということです。Visionalグループはスピード感のある会社ですから、セキュリティ活動自体もなるべく内製化するようにしました。

――外注すると時間がかかってしまうからですか。

若井氏：　そうですね。外注して数カ月単位で時間がかかってしまうのでは、事業側のスピード感に全く合いません。事業部からの要望にぱっと応えられる機動力を持ったチーム作りを意識しています。第三者による評価が求められる場合は外部の力を借りることもありますが、脆弱性診断や技術的評価などほぼあらゆるセキュリティ業務を内製で進め、それによって機動力を高め、事業と一緒に歩める体制を意識しています。

――これからの課題だと感じていることはありますか。

若井氏：　現在、Visionalグループのセキュリティチームの主な業務は、グループとしての方針を決め、どこまで実施できているかの確認や是正の推進です。現時点では、ルールを実際に推進する際の支援もわれわれがしていますが、今後はグループ全体での推進を進めつつ、各社内部でも推進する二軸での取り組みが、課題かなと思っています。

――やはりセキュリティ人材は足りないのでしょうか。

若井氏：　そうですね。Visionalグループとしても会社の成長や新たな事業の立ち上げなどに伴いセキュリティ人材のニーズは高まり続けている中、世の中全体を見てもセキュリティエンジニアは不足しており、経験者や高いスキルを持った人材を採ってくるのはなかなか難しい状況です。一方、社内で未経験者をセキュリティエンジニアとして育てると、今度は市場価値の高い人材として、外部からの引き合いも高まります。

――キャリアパスを整備し、またきちんと報酬で報いるよう会社としてお金を投じることもポイントですよね。最後に、今後の展望について伺えればと思います。

若井氏：　今後取り組もうと考えていることの一つが生成AIの活用です。セキュリティ業務の改善という側面もありますが、その前にまず、生成AIを使った事業改革やサービス提供が考えられます。

　ただ、生成AIにはデータポイズニングや脆弱性への攻撃、ハルシネーション、さらには著作権的な問題に至るまでさまざまな課題があります。ルールやガイドライン、規制もまさに今検討中のフェーズであり、世の中的にもまだ正解はありません。そんな中で、ビズリーチをはじめとするサービスに生成AIを組み込んで安全に使ってもらうため、まずモニタリングし、どういう状態なのかを把握し、中身をチェックしてサービスの正当性を確かめる仕組みを早急に立ち上げなければいけないと思っています。

　もちろん今の時点でも、脆弱性の診断やチェックはしていますが、より網羅的に行う必要があります。またAI技術の進化は早いので、日々の運用の中で繰り返しチェックし続けられる仕組みに落とし込む必要もあるでしょう。

　ただ、AIは非常に有用なツールであることは間違いありません。それを事業に最大限に生かすため、試行錯誤していきたいと思います。

――ありがとうございました。