ゲームにキュレーションメディア、最近はヘルスケアやロボットタクシーなど、数多くの事業を手掛けるディー・エヌ・エー(DeNA)。同社には「セキュリティ部」という部署がある。

 セキュリティをビジネスにしているわけではなく、基本的には企業内のコストセンターだ。最近よく聞く「CSIRT」でもない。CSIRTは仮想的な組織として別にある。当初はCSIRTだけだったが、専門組織を作る必要性を感じてセキュリティ部を作ったそうだ。

 セキュリティ部の部長を務めるのが茂岩氏。DeNAの創業期から同社のシステムインフラを担当してきた人物だ。同氏が2011年頃からセキュリティにも取り組み始め、悪戦苦闘した結果、CSIRT、そしてセキュリティ部を立ち上げる。

セキュリティは事業を強くする

 現在はインフラ部門を後任に任せ、セキュリティ専任になっている。茂岩氏は「セキュリティ分野は技術的に大変興味深い。さまざまな領域の知識が必要で、しかも深いレベルが求められる。ITの“総合格闘技”のようなものだ」という。

 そんな同氏の信念は、「セキュリティは事業を強くする」である。ただ「守る」ためにセキュリティに取り組むのではなく、経営目線でセキュリティに取り組んだ結果、たどりついた信念だそうだ。この信念の下、茂岩氏が大事にしている考え方がある。ここでは筆者の独断で10個を選び、茂岩氏の取り組みとして紹介したい。

1「本当に守りたいものを決める」
 セキュリティに取り組み始めたときに陥りがちなのは、すべてを守ろうとすること。その結果、やるべきことが膨大になり、非現実的になってしまう。まずは「本当に大事なもの」を脅威から守った上で、範囲を広げていくべきだ。茂岩氏はそう主張している。

2「わかりやすく、ぶれない基準」
 セキュリティのルールがわかりにくいと、何かが起こったときに現場で判断できず、専門部署にお伺いを立てるようになる。それでは事業スピードが低下する。茂岩氏の信念は「事業を強くするセキュリティ」なので、現場で迷わず判断できるようにわかりやすさに心を砕いている。また、基準がぶれてしまうと不信感を生んでしまう。だから「ぶれないも大事」だと強調している。

3「人に依存した対策にしてはいけない」
 茂岩氏によると、セキュリティ対策で最も難しいのは「100%にすること」だという。例えば、人の異動があればシステムのアカウントも変更するルールがあったとして、その作業は難しくはないが、100%やり続けることが難しい。人の作業にしている限りほぼ不可能で、システム化を図る。これはセキュリティ部の重要な役割になっている。

4「状況をコントロールできているかどうかが大事」
 例えば、組織内で先月マルウエア感染が1件あったとして、それがマルウエアの活動を捕捉する網にかかって判明したのか、それともたまたま利用者が気付いて報告してきたのかで、全く意味が違ってくるという。もちろん、目指すは前者であり、コントロールできているかどうかが大事だという。

5「合意形成が何よりも大事」
 セキュリティ強化には誰もが同意するが、それによって不便になることは避けたいと誰もが思っている。セキュリティ対策の最も重要な要素は「人」である。だからこそ合意形成が大事だと、茂岩氏は強調している。

この先は会員の登録が必要です。有料会員(月額プラン)は初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら