エンジニア集団発の組織のCISOが語る｢重要なのは権力でも肩書でもなく"合理的な説明力"と"理解してもらう力" ｣､ミッション阻む3つの障壁とは?

他部署でインシデントがあった場合、mixirtとは別に、各部署の部室長でもナレッジを共有している。非常にセンシティブな情報であるため、共有システムの公開範囲は一定のレイヤーに限定しているが、直近1カ月のインシデントの傾向や統計分析データをレポートで周知しているのだそうだ。

「情報の取り扱いには工夫を凝らしています。というのも、mixirtには『事故かもしれない』という段階で報告してほしいのですが、一方で、事情が正しく伝わらないと過剰なニュースになってしまう恐れもあるからです。そこで、情報を得られる人を上層部に限定し、対外的に発表する際も一定の統制の下で私から話すようにしています」

社内、上層部、グループ会社など、数多くの部署との調整が求められるが、亀山氏には意識しているポイントがあるそうだ。

「セキュリティ対策は、費用的にも人員リソース的にも現場に負荷がかかる場合が多々あります。やはり対応の限界はあるので、なるべく現場の手間をかけずにカジュアルに始められる施策を意識していますね。例えば、脆弱性診断は導入部分だけ協力してもらって、実際のテストはセキュリティ室で巻き取ったり、なるべくエージェントを入れない仕組みを用意したりしています」

CISOに重要なのは合理的説明力と｢理解してもらう力｣

MIXIでは一般向けにゲームなども提供しているが、例えばポイントやアイテムを不正に取得する「チート行為」など独自のセキュリティ対策も求められる。

「チートの手法に関する調査などを行い、流行っているものについては対策を行っています。とくにチートの専門人材は採用していませんが、エンジニア研修で対策や対応を説明する機会は設けています」

また、事業部側と相談し一般ユーザーに対して2段階認証などのセキュリティ対策を促す施策も適宜行っている。ただし、子どもの写真や動画を家族で共有するアプリサービス「家族アルバム みてね」などはシニア層のユーザーも多いため、ユーザーが難しいと感じればセキュリティ対策によって利用に支障が出る可能性もある。そうした場合は必ずしも厳しく強制はせず、選択肢としてセキュリティ支援を用意する形式にしているそうだ。

最後に、CISOという役目について亀山氏は次のように語った。

「新しい経験として、CISO就任は貴重な機会を得られたと前向きに捉えています。業務全体を幅広く見られる人は向いているでしょうし、セキュリティのキャリアを積みたい人にとってCISOは目指すべき価値があるでしょう。しかし実は、CISOの肩書がないとできないことはほとんどないものです。

もちろん、社内外に向けたわかりやすい目印にはなるので、話を進めやすいなど諸々の対策が捗るというメリットはあります。しかし本当に重要なのは、権力でも肩書でもなく、合理的な説明ができる力とそれを理解してもらう力ではないでしょうか。

幸い、MIXIは上位のレイヤーから現場の社員まで協力的な人が多く、それが会社の強みでもあります。当社もまだまだ改善したいところが多々あり道半ばですが、何からやるか、何をやらないか、その分析や判断を通すことで、焦らず前向きに取り組めるのだと思います」

東洋経済Tech×サイバーセキュリティでは、サイバー攻撃、セキュリティーの最新動向、事業継続を可能にするために必要な情報をお届けしています。

著者フォローすると、鈴木 朋子さんの最新記事をメールでお知らせします。