じげんは2022年10月、全社的なセキュリティ対応のアップデートを目的とした「情報セキュリティ委員会」・「セキュリティマネジメントユニット」を新設した。
ガイドライン策定などのルール対策はもとより、委員会による全社的な課題把握や方針策定、また各種相談対応など、体制面でのアップデートにも取り組んでいる。
今回は新組織ふたつのなりたちと、情報セキュリティとじげんがどう向き合っていくのか、（写真左より）森山（経営戦略部 法務マネージャー 兼務）、ユニットヘッドである武谷（内部監査室 室長 兼務）、永井（開発ユニットヘッド 兼務）、鷹野（情報システム室 室長 兼務）の４人に話を聞いた。

新組織・セキュリティマネジメントユニットが取り組むミッションとは

今回は、じげんの情報セキュリティ対応の中心となっている4人の責任者の皆さまに集まっていただきました。まずはセキュリティに関するこれまでの取り組みと現在の概要を教えてください。

武谷：じげんでは、プライバシーマーク認証に基づく情報管理体制は整備していましたが、個人情報管理のフレームでの安全管理措置は、サイバーセキュリティ等の外部脅威へのコントロールとして必ずしも十分であったとは言えません。
また、この管理体制とは別に、事業ラインの役員やプロダクトの技術責任者や私などが参加している「セキュリティ対策プロジェクト」がありました。
セキュリティ統制チェックといったアセスメントやグループ研修、脆弱性診断等を行い、セキュリティリスクを低減する取り組みをしていましたが、システムセキュリティ領域も扱っていたものの、組織特性上は明確な権限があるわけでなくグループ含め任意性ある形で進めていました。
そのやり方は良い点もありましたが、推進力には難があったことから、改めて課題を踏まえ、持続的・継続的・横断的に情報セキュリティを推進していくため、ルール・体制の両面でアップデートに取り組んでいるところです。

ルールと体制のアップデートとは具体的にどのようなことですか。

武谷：ルール面では、「情報セキュリティ対策ガイドライン」を策定し、従来の諸規定を整理・統合するとともに、Pマーク関連規程では不足していたシステムセキュリティ対策や具体的な業務オペレーションに関する遵守事項を明記しました。
体制では代表取締役を長とする「情報セキュリティ委員会」を設置し、全社的な課題把握や方針策定を行う体制を構築しました。また委員会事務局も設置し、ガイドラインの実効的な推進や各種相談対応を実施します。

これに加えて、プロダクトのシステムセキュリティを実効的に推進するため「セキュリティマネジメントユニット」が事業本部直下の横断組織として設置されました。
同ユニットは私が責任者となり、ここに集まっている永井（開発ユニット長 兼務）・鷹野（情報システム室長 兼務）もメンバーとなっています。
我々３人とここにいる森山がコアメンバーとなり、「情報セキュリティ委員会」の事務局として、委員会運営やレポーティングを担当しています。

それぞれの専門性を持った、セキュリティリーダー陣が集結

皆さんは様々な職種から情報セキュリティ委員会事務局メンバーとして参画されているんですね。それぞれの役割とかあるんですか。

武谷：各メンバーは、普段自分たちの所属ラインで職責に伴う情報セキュリティ上の役割を果たしています。
例えば法務であれば、個人情報管理に関する台帳やリスク分析の取り纏め等です。
また、事務局としては自分が事務局長である以外は細かに役割を分けていませんし、まだ立ち上がったばかりですが、今後委員会に上程する基本方針案や横断的な施策を検討する予定なので、各自の専門性を活かしてこれに取り組むことになります。

 

では、みなさんご自分の役割について簡単に説明頂けますか。

森山：私は経営戦略部という部門の法務マネージャーをしています。
法務は、従来からPマーク対応をしており、本事務局でも個人情報管理・プライバシー対応の観点から、参画をしています。

鷹野：私は情報システム室長として、いわゆる社内情報システム・OA環境等を統括しています。
マルウェア対策や各システムのバックアップ、クラウドセキュリティゲートウェイの管理等含めたコーポレートITの観点での情報セキュリティ対応をしています。

永井：最後は私ですかね。じげんが運営するサービスのプロダクト基盤の責任者というところなので、主にネットワーク、インフラストラクチャーを中心としたような基盤でのセキュリティ対応を担っている感じです。

別々の仕事を抱えながらも、同じ方向を向いてしっかりと歩んでいけるチーム

それぞれの担当領域から力を合わせている、という感じなんですね。

森山：そうですね。ここ２年くらいはかなり整備が進み今回のルール・体制整備がひとつの節目になった印象です。
私が入社した2019年頃は、セキュリティで何かあっても誰に相談したらいいのか？といった体制でしたが、武谷の推進もあり、ナレッジの蓄積や相談先の明確化がだいぶ形づくられてきたように思います。

武谷：直近の整備もありますが、前提としては、情報システム室の鷹野が様々な基盤をイニシャルに作ったことや、永井が進めたGCP移行が非常に大きいと思っています。

鷹野：私は2018年に入社していますが、当時はまだ社内の情報システム部門自体がありませんでした。
そこでOA環境や社内システムインフラ・サーバの構築等を行っていました。それがバージョン1.0だとして、そのあとにコロナ禍でリモートワークが始まり、マルウェア対策・VPN・シングルサインオン（SSO）等のセキュリティソリューションの導入が急ピッチに進みましたね。

永井：GCP移行についてですが、移行前は国内ベンダーのサーバを使っていました。
環境分離・権限分離などが十分ではなかったですね。
GCPに移行してまず良かったところは、アクセス権限グループを職種ごと・担当ごとに細かく設定し、need to knowの原則に立ち返ることができたことですね。
加えて、いわゆるIAPといわれるアイデンティティー認識型プロキシー経由でのログインによって、管理画面へのアクセス制御や多要素認証との連携なども容易になりました。
アクセス自体もブラウザベースにできるので、利便性も高くなりました。
GCPへの移行はサービス自体の高度化・安定化という面でも大きかったですが、セキュリティ的にもかなりメリットがあったと思います。

これまでの歩みがよく分かりました。ところで、皆さんが現在感じている情報セキュリティ面の課題にはどんなものがありますか。

武谷：じげん本体でいえば、今回策定されたガイドラインの管理要件が浸透・定着したり、クリティカルなギャップが計画的にアップデートされることが大切かなと思っています。
10月に全社説明会も開催しましたがまだ説明不足の点があると認識しています。

また、今回ガイドラインではAWS・GCP等のクラウド環境上の考慮事項も記載していますが、これら要件も更に具体化したり、必要なベストプラクティスが採用できるようクラウドサービスベンダー側のホワイトペーパーとの紐づけしたり、内容の充実も重要です。

鷹野：テクニカルな規定のチューニングもそうですが、じげんはM＆Aが多く、ご一緒させて頂くグループ会社によってはシステム管理体制が途上のケースも見られるので、前提となる管理体制をいかに構築して、ベースラインを底上げするかも大元としては考えるべきかな、と。
少し砕いて言うと、大きな枠組みとして「こういうのをやっていきましょう」というポリシーのようなものが明確になり、それを提案したうえでサポートするというような、そんな形ができれば１番いいのかなと思います。

武谷：そうですね。
例えば、セキュリティポリシーが異なるネットワークを接続することがNGなように、統一的なポリシーを軸としてグループ全体でのベースラインを今まで以上に明確にしていくことは大事かもしれません。
そのなかで現業ある皆さんに、我々のような２線組織が、要件踏まえた守り方につきサポートさせて頂くというイメージを持っています。

話しは変わりますが、皆さん凄く仲がよさそうですね。

武谷：そうですね。一概に言えませんが大規模な組織だとセキュリティ部門とプロダクト部門、法務部門等の連携が上手くとれないシーンも見聞きしたことがありますが、我々はそういうのが少ないかな、という気はします。

永井：まじめな話をすると、ちちょっと少数精鋭的な面もあるからだと思いますよ。
ほぼ集約しちゃっているから、話しも早いし、という。後はちゃんと同じ方向を向いているのも勿論あると思います。

武谷：忙しくて喧嘩している暇はない、というのもあるかもしれませんね。

一同：笑

「守る」の一辺倒では終わらせず、「活かす」ことでバリューを出す

その他に取り組みたい課題はありますか。

森山：少し違う観点かもしれませんが、お預かりした情報を適切に保護することもそうですが、適切かつ効果的に利活用していくかも重要な課題かなと考えています。直近だと2022年４月に改正個人情報保護法が施行されています。漏洩時の報告・罰則の強化や情報の自己決定権の拡充などプライバシー配慮や事業者側の責務が追加される一方で、従来の匿名加工情報だけでなく仮名加工情報が新設される等データ利活用に向けた内容も追加されています。
当社はマーケティングに強みを持つ会社なので、過度に萎縮せず法令を遵守したうえで、情報の利用範囲や方法を磨き込むことも大切ではないでしょうか。

武谷：おっしゃるとおりですね。セキュリティという意味ではどうしても漏れる・消える・止まるを防ぐことが主眼になりますが、活用の課題を考えることも重要ですね。

森山：私見ですが、やってはダメなことは大体みんな分かり分かりつつあるのですが、「やっていいことの範囲が実はもっとある」という部分をまだ伝えきれていないかもしれません。
であれば、そこに我々のバリューがきっとありますよね。

永井：プロダクト回りでいうと、Apple・Googleがサードパーティークッキーに対して規制が掛かっていく現状があるんです。
具体的には、今まで他社からもらっているデータを、広告などを含めてプロダクトに使っていました。
ですが、それはどんどん縮小されていて、将来的になくなっていくだろうと見ています。じげんも、サードパーティークッキーに依存してリターゲティングをしていた部分があります。
これに対して、今後は自社で正確にデータを取る流れになるわけですが、そこでもセキュリティガバナンスやマネジメントを効かせることが、安全な利活用の前提になるわけです。
現代だと、こうしたプロダクトのビジョンや戦略にもセキュリティの要素がかなり関わってくるな、というのが実感ですね。

まずはじげん内、そしてグループへの横展開を目指して

短期長期の課題に対する目標、いつまでにどんなことを実現したいかみたいなのって具体的にあったりするんでしょうか。

武谷：冒頭の話と重なりますが、短期的にはガイドラインの定着をしっかりやりたいですね。
特に、重要な情報を扱うサービス・システムに関しては優先的にですが、まずはじげん内で確実に対応するとともに、グループへの横展開もしていきたいです。

もうひとつ、M&Aが多い会社の特性があるので、デューデリジェンス段階からシステム・セキュリティのリスク・コストを識別し、PMI工程で確実に対応していくようなシフト・レフト型のスキームを確立したいと考えています。
既に何例かはトライアルで行い、一定の手応えは感じています。これを更にフレーム化して会社のレガシーにしていきます。

セキュリティは「待ったなし」でいつインシデントが発生するか分かりません。
10月から組織内CSIRTを立ち上げ、従来からのインシデント管理体制とリンクした対応をできる体制を作りました。
とはいえ、「仏作って魂入れず」とならないよう、情報収集・トリアージ・応急処置・再発防止までの流れをシームレスにできるよう演練していきます。

こうした練度向上や知見獲得の一環として、日本シーサート協議会への加盟検討をすすめており、ワークショップのオフザーバー参加を経て現在正式な加盟手続きに入ろうとしているところです。

ありがとうございます。最後に一言。

武谷：ビジネスとのバランスを踏まえた、情報セキュリティ管理の確立は重要かつ難解なテーマですが、今のメンバーで継続的に努力すれば必ず達成できると信じています。頑張ります！