現在はCSIRT、SOCを構築中。「もっとこうしたい」ができる、ディップのサイバーセキュリティ。
“Labor force solution company “のビジョンを掲げるディップが更なる成長を遂げていくうえで、決しておざなりにできないのが、社内外に大きな影響を及ぼす情報セキュリティに関する取り組みです。2022年3月に立ち上がったセキュリティ推進室のマネジャー・目黒洋平さんに、ディップで構築中のdip-CSIRTとSOCについて話を聞きました。
ディップの事業を守る独自のCSIRTとSOCをつくっていきたい
吉牟田:ディップのセキュリティ対策の取り組みは、今、どうなっているのでしょう?
目黒:全社横断のセキュリティインシデントに対応する組織として立ち上がったのがセキュリティ推進室です。各システムに関するセキュリティ関連業務はもともとシステム開発部門を擁する商品開発本部にありましたが、社内の各事業部を俯瞰してセキュリティ課題をピックアップしていくために、経営統括本部に移って推進室になりました。
吉牟田:セキュリティ推進室が果たす役割は?
目黒:大きくいえば、インシデントに対処するCSIRT(Computer Security Incident Response Team/シーサート)と、サイバー攻撃の検出・分析を行い、対応策をアドバイスするSOC(Security Operation Center)のふたつです。
CSIRTはインシデントが発生してから動き出すイメージが強く、普段は何もしないのかと思われがちですが、そうではなくてシステムの脆弱性情報などをピックアップして、最新のセキュリティパッチにきちんと更新されているかなど、全社的に声掛けをさせてもらっています。
そしてSOCは簡単にいえば、アラートを鳴らす役割ですね。会社でつかっているメールアカウントが外部からアタックされていないかリアルタイムで監視していて、たとえばdipの管理外のデバイスからログインの試みがあれば検知して、問題があればCSIRTでインシデントレスポンスを行なう。そういう仕組みになっています。
また経営統括本部法務室にて対応しているプライバシーマークの事務局やISMS(Information Security Management System=情報セキュリティマネジメントシステム)の支援も行なっています。これは今後のセキュリティ推進室の規模拡大に応じて事務局業務を巻き取っていきます。
吉牟田:CSIRTを設置するメリットはどこにあるのでしょう?
目黒:中小企業であれば、通常は情報システム部門の社内SEなどが、インシデント発生時にCSIRTのバーチャルなチームを組むこと、要は主務とCSIRTを兼任していることが一般的です。大企業では専任のCSIRTを設置しているところが増えていて、今後はディップでも専任部隊の“dip-CSIRT”として組織化していく方向です。
たとえば外部からの攻撃で、社員の名をかたったスパムメールが大量にばら撒かれたりした場合、最前線で対処にあたるのがセキュリティ推進室になります。また、取引先様を名乗るメールが届いたものの、怪しい場合には、開封せずに転送してもらい、なりすましかどうかを判断することもできます。
必要に応じて、取引先様にディップ宛てのメールを送ったかどうかの事実を確かめる旗振り役になりますし、もしスパムメームをうっかり開けてしまった場合は、すぐに対処します。そしてマルウェア感染の影響がメールを開いたPCに限られるのか、他のPCにも広がっているのか、他システムにも及ぶのかなど、細かく調査・分析して被害を最小限に抑えます。
「こうすればリスクを軽減できます」と、事業と経営のパイプ役として提案
吉牟田:2021年4月にディップに入社される以前は、どのようなことをされていたのでしょうか?
目黒:金融機関のシステムに携わっていました。影響力の大きな社会インフラに関われることに魅力を感じて新卒入社して、11年在籍しました。学生時代の専攻はネットワークで、当時からエンジニアとしてバリバリ活躍したいというよりも、PM(プロジェクトマネジャー)をやりたい思いが強かったですね。
基幹システムのプロジェクト管理を手がけて、最終的にはSOCでインシデント・レスポンダーを任されましたが、実ははじめはセキュリティのセの字も知りませんでした。知識ゼロからはじめて、パケットを見て、これは攻撃なのか、そうではないのか、イチから勉強しました。その結果、SOCとして金融機関グループ各社に一括してセキュリティソリューションを提供していく施策に加わり、導入や運用の相談を受けたりもしていました。
吉牟田:ディップへの転職を決めた理由を教えてください。
目黒:最適なソリューションの選定から自分でやりたかったからです。結局のところ、経営層に提案して予算を獲得することが導入の第一歩なのですが、前職ではそこまではできなかったので。アグレッシブに製品の情報を収集して、予算をもらって、最新技術を取り入れたソリューションを導入していく。それが理想。前職でできなかったことが、ディップではできそうで、キャリアの希望と一致しました。ですから転職することに迷いはありませんでしたね。
吉牟田:セキュリティ推進室が立ち上がる2022年2月まではどのようなお仕事をされていたのでしょうか?
目黒:ちょうど社内DXの「カケザンプロジェクト」を軌道にのせようとしていた時期で、VPN がなくても社内のシステムへアクセスできるZscaler(ゼットスケーラー)とフォルダ運用のためのクラウドストレージのBox(ボックス)とコミュニケーションツールのSlack(スラック)が導入されました。一般的には、さまざまな試みをするなかで、セキュリティは抜けがちというか、後手に回ることがあります。しかしインシデント発生時の対応策は、あらかじめ決めておく必要がある。それで全社を通して一部のソリューションの運用上の課題をピックアップしていきました。時にはITヘルプデスクの対応者として社員の生の声を聞き、解決法をまとめたり。自分が対応できる領域でシステム面とユーザー面の両方の課題に向き合っていきました。
吉牟田:セキュリティ推進室として担当するのは、社内システムのみなのでしょうか?
目黒:社内システムはもちろんですが、商用プロダクトとDXプロダクト、具体的にはバイトル、バイトルNEXT、バイトルPRO、はたらこねっと、コボットのセキュリティリスクを統括していくのが大きなミッションです。各事業部にセキュリティ担当がいたとしても、特化した専任担当が統括して集約する必要があり、そのうえで「こうすればリスクを軽減できますよ」と、経営陣に提案していくことが重要だと考えます。
吉牟田:事業の最前線と経営側のパイプ役になるわけですね?
目黒:そうしないと難しいことがあるでしょう。エンジニアの声をそのまま伝えても、経営側には実感しにくいケースもよくあると感じており、いずれにせよギャップがある。私たちが経営に近い言葉に翻訳して伝えることで、話がスムーズに進みます。もともとディップは判断スピードが速い会社ですけれど、より一層速くできるはずです。
吉牟田:それほどまでに急ぐのはなぜなのでしょう?
目黒:私たちは何十万人、何百万人ものユーザーの個人情報を預かっています。個人情報がお金で取り引きされる世の中ですから、万が一、漏洩した場合の被害は計り知れません。セキュリティソリューションには高額な製品が多いですし、費用対効果も見えにくいものの、経営に与えるインパクトをしっかり伝えて、それなりのコストがかかることも含めて理解してもらうべきだと考えます。
吉牟田:前職と今、比べて違いを感じることはありますか?
目黒:ありますね。以前の職場では、導入するソリューションと予算があらかじめ決まっていて、想定した範囲内での仕事しかできませんでした。今では、その窮屈さがないというか、とにかくやってみることができる。ミニマムでもやってみて、成功事例をつくっていこうと。最善を尽くすことが前提としてありますが、成功の糧になるのなら、失敗しても良いじゃないかというマインドが、転職してから芽生えました。前職では決められた枠のなかで仕事をしていましたが、今は枠がないというか、それが一番大きな違いだと感じます。
事業部間の垣根をなくし、全社的にナレッジを底上げしたい
吉牟田:これから取り組んでいきたいことは何でしょうか?
目黒:事業部間の垣根をなくして、全社横断的なセキュリティ体制をつくっていくことですね。CSIRTの取り組みが、社内にあまり知られていないと感じていますので、まずは積極的に発信して、認知してもらう必要性を感じています。加えてやるべきことはたくさんあるので、もっと仲間を増やして、さまざまな施策をブーストしていければ良いですね。
全社的にセキュリティのナレッジを底上げしていくために、ポテンシャル採用で入ってもらった人がシステム開発部門やDX事業部に配属される前に、セキュリティ推進室で知識とスキルを身に付けてもらう。佐藤さん(当室室長)とは、そういった流れもありではないかと話しています。もちろんCSIRT、SOCでずっとやっていきたい人も求めていますが。
吉牟田:目黒さん個人としての目標は、どのようなことでしょうか?
目黒:私自身は技術者ですが、経営がわかるCISOになりたいという夢があります。
CISO(Chief Information Security Officer=最高情報責任者)は技術寄りか経営寄りか、どちらかに偏っていることが一般的で、両方に強い方は少ないのではないでしょうか。ディップがHRとDXの両輪で『Labor force solution company』を目指していくうえでも、技術と経営の両面がわかるCISOがいれば、技術に強く、そして万全のセキュリティ体制で経営をしていくことができると以前から思っていました。
変化が激しいセキュリティの世界。求められるのは熱量
吉牟田:ディップに向いているのは、どんな人だと思いますか?
目黒:区切られた枠のなかで仕事をするだけでは物足りず「もっとこうしたい」という思いがある人なら、ディップの企業カルチャーにフィットするでしょう。最新の技術に興味があって、もっとぐいっと踏み込みたい人だとか。プロジェクトの管理を任されるだけでなく、もっと影響力のある役割を果たしたい人とか。あとは経営側に提案する立ち位置で仕事がしたい人とか。
吉牟田:実際に経営側と直接やりとりできる機会があるのでしょうか?
目黒:COO/CIOの志立さん、CTOの豊濱さん、CFOの新居さんに定期的な報告をしているほか、プラスアルファの機会もあり、月1回以上はやりとりしています。基本的には室長の佐藤さんに対応いただいていますが、技術領域の専門的な話であれば、私自身の口から提案します。経営層の方々との距離は非常に近いです。
吉牟田:「一緒に働くならこんな人が良い」というイメージはありますか?
目黒:経験やスキルがあれば良いというわけではなく、キャリアが浅い人でもまったく問題ありません。移り変わりの激しいサイバーセキュリティの世界で、変化についていけ、もっとも活躍できるのは、熱量のある人ではないでしょうか。
興味のある領域や目指す方向が定まっていれば、それほど高度な技術レベルがなくても、これまでの実績が乏しくても、熱量があればやっていけます。これは私だけではなくて、室長の佐藤さんも同じ考えです。ディップの「dream」「idea」「passion」に通じることで、どんどん自分から取り組んでいける人なら歓迎です。
たとえばWindows11がローンチされて以降、どのようなリスクが発生しているか。今、どんなランサムウェアの被害が増えているか。そのような鮮度の高い生の情報を積極的にキャッチしていこうとする姿勢は、セキュリティ分野でがんばっていきたい気持ちとニアリーイコールだと思います。日常会話から新しいセキュリティ施策のヒントを得ることもありますし、だからこそ熱量が大事。お互いを高めあえるような仲間を増やしていきたいですね。
取材・執筆/吉牟田 祐司(文章舎 )
