エンジニア集団発の組織のCISOが語る｢重要なのは権力でも肩書でもなく"合理的な説明力"と"理解してもらう力" ｣､ミッション阻む3つの障壁とは?

「自社サービス」は、ユーザーに提供する部分は非公開にできないため、公開範囲を最小限にしつつ攻撃や脆弱性全般の対策を優先している。例えば、AWSやGCPのアカウント漏洩や設定ミスによって重要なデータが露呈することがないようIaaS監視を行ったり、ゼロトラストの構成を参考に認証を行って関係者以外のアクセスをはじくなどの対策を取っているそうだ。

「社内システム」は、社員や業務に従事する人のみがアクセスするため、対象者だけを認証してそれ以外の人を弾き、PCセキュリティも併せて強化している。またMIXIでは、リモートワークとオフィスワークを融合させた「マーブルワークスタイル」での働き方を採用しており、フルリモートを含めた最適な出社日数を部署ごとに選択できる。当然、リモートワークのセキュリティ対策が重要となるが、MIXIは早い段階からEDR （Endpoint Detection and Response）を導入して監視しており、重大な問題と思われる場合は社内IT部門やセキュリティ室に連絡が届く環境を整えている。

その他、PCへの通信の制御を行うパーソナルファイアウォールの設定の見直し、ユーザーの認証情報を保存管理するIdP（Identity Provider）の共同運用、パスワードマネージャーの導入も行っている。

「人間」に関しては、研修や注意喚起など教育啓発に力を入れており、IPAの10大脅威を参考に、フィッシング対策などの護身術やSNSのモラルについて伝えている。

年1回のeラーニング啓発のほか、毎週実施している全社員に向けた朝会の中でも社内のデザイン本部の協力によって制作されたセキュリティ啓発の動画コンテンツを視聴してもらい、社員の意識醸成に繋げている。動画コンテンツは非常に親しみやすい雰囲気で、フィッシングの見分け方やパスワード管理法・パスワードマネージャーの利用法・エレベーター内の雑談の注意など様々な呼びかけが可能だという。また委託先企業に対しても、リーフレットを提供するなど各従業員への教育を依頼している。

「教育啓発にはかなり力を入れていて、基本的なことでもしっかり口に出して呼びかけ合うことが大事だと話しています。また、そもそも問題に気づけなければその後の対処の精度が低くなってしまいます。万が一問題が起きたりその疑いがある場合は、必ずmixirt（CSIRT）に報告するよう口酸っぱく伝え、とにかく“気づける状況”を作ることを意識しています」

なお、MIXIは「日本シーサート協議会」に加盟しており、セキュリティインシデントの情報共有を行っている。

グループ会社とはM&Aの時点で入念に認識合わせ

MIXIは多数のグループ会社を抱えているが、他社との認識合わせはどう調整しているのだろうか。

「M&AのPMIの段階で、IPAの『SECURITY ACTION』をベースに作成したチェックリストを使って、基礎的な部分から体制と対策の確認、整備を行っています」

各グループ企業とは年1回、グループ会社を含めた情報システムの管理台帳を作るためのヒアリングを行っているが、なかにはIaaS監視やペネトレーションテストを365日継続して実施しているグループ会社もあるそうだ。

「とはいえ、どうしても『開発を優先したい』などの事情でセキュリティ対策に難色を示されるケースはあります。しかし、業界の特性上われわれのグループはユーザー情報を多く取り扱っているため、セキュリティ対策は欠かせません。こうした場合は、MIXI側とグループ会社側の上層部から指示を下ろしてもらうなどで調整しています」