エンジニア集団発の組織のCISOが語る｢重要なのは権力でも肩書でもなく"合理的な説明力"と"理解してもらう力" ｣､ミッション阻む3つの障壁とは?

セキュリティ管理推進グループを新設した理由について、亀山氏はこう説明する。

亀山 直生（かめやま・なおき）／MIXI CISO セキュリティ室 室長（画像は本人提供）

「MIXIは元々エンジニアから始まった組織なので、システム面の対策には強いのですが、一方で文書整備やメンテナンス、グループ会社のセキュリティ対策といった話となると領域が異なります。人材確保の面でも、スコープを限定して採用活動を進めることでセキュリティ室の体制を強化できると考え、専門の部署を設置しました」

セキュリティ室のミッションは、「情報セキュリティ事故の防止」と「事故時の被害最小化」。これらのミッションを達成するにあたり、亀山氏は現在“3つの障壁がある”と述べる。

1つ目は、情報セキュリティの領域には脅威や対策が多いため、何から対応すべきかわからなくなってしまうこと。2つ目は、既存のフレームワークや認証基準などの抽象度が高いため、自社の業務や運用において具体的に何をすべきかわかりにくいこと。3つ目は、自身の事業のセキュリティ対策には取り組めても、新入社員の教育などの対策が疎かになりやすいことだ。

そこでMIXIでは、それぞれの社員がセキュリティ対策を行うだけでなく、セキュリティ室が横軸として介入して対応にあたっているそうだ。さらに新卒エンジニア研修では、開発の専門的分野に関する300ページにもわたる資料を共有しており、その内容は実は一般にも公開されている。

新卒エンジニア研修は「DAY1」のほか、終日セキュアコーディングのハンズオンを実施する「DAY2」（詳細非公開）も存在する（画像：MIXI提供）

“気づける状況”を作ることをとにかく意識

亀山氏は、セキュリティ体制で大事なことを4つ挙げる。

「トリアージは、ポリシーとしてセキュリティが弱い部分から対策を行い、全体的にバランスよく防壁を重ねるようにしています。障壁の1つである『何から対応すべきか』という疑問には、セキュリティ室でトリアージを行い部門横断で対策をしてもらっています」

亀山直生氏が作成した資料より（出所：「MIXIセキュリティ室の戦略と施策～ 開発にセキュリティを組み込むために ～」）

具体的な課題解決としては、アタックサーフェスを「自社サービス（アプリ、インフラ、関連ツールなど）」、「社内システム（端末、全社ツール、社内ネットワーク、オフィス設備など）」、「人間（アカウント、運用、脳内の情報など）」に切り分け、個別に戦略を練るという。