ーー 今回、『グリーにおける情報セキュリティ対策の歴史』というテーマでお話しいただくのですが、
概要をお伺いしてもよろしいでしょうか?

【奥村】 はい。私は、2012年からグリーでセキュリティを担当しております。実は、セキュリティ専任で入社した第1号の社員です。それまでは草の根的というか、各部門でセキュリティ対策を行っていたという状況だったのですが、2012年に私が入社してから組織的な対応が始まりました。2012年をピークに、業績が反転下降する逆風の中で組織を立ち上げるというのを最初にやりました。それが、今回講演する1つ目の小テーマ「組織立ち上げ期の取り組み」の話ですね。時系列でいうと、その時期が黎明期にあたります。その後も業績が下降する中、1周、2周遅れだったセキュリティ体制をできるだけ早く整備、向上しなくてはいけないという状況でした。それが、次の2年ぐらいですね。

ーー その「逆風」というのは、具体的にはどのような逆風でしたか?

【奥村】 まず、急成長していたことで事業拡大が優先され、組織におけるセキュリティというものに対する認識、言い換えるとセキュリティをどのくらい重要視するかという企業文化が十分育っておらず、やはり、どうしても優先順位が2番目、3番目になってしまっていました。

【高久】 なるほど。

【奥村】 はい、そういった状況ですから、まずは社内に理解してもらうというところが最初の課題でした。会社としてしっかりとセキュリティ対策をやらなければいけない、という課題認識のもとで経営陣も私を採用したということではあるのですが、いざ私が入社して、どこまで対応するかといった具体論になるにつれ、その当時の事業の状況を勘案すると、「もっと重要なこと(先にやるべきこと)があるのではないか?」という議論は常にありました。

ーー そのような状況下で、社内の協力者を増やしたり理解を促進していくところで、工夫されたり
努力をされた点は何かありましたか?

【奥村】 最初の約1年は、セキュリティという機能、ファンクションをどういうふうに組織に組み込むかに苦労しました。他社の事例などを参考に設計をして、最初はできるだけ経営層に近いところに組織を置くようにしていました。当時はIT戦略室という組織を社長直下に設置しそこでセキュリティを担当しました。また組織横断の委員会組織として、社長を委員長とした情報セキュリティ委員会を設置して、できるだけハイレベルな意思決定をしてインプリメントしていくという組織づくりを行いました。ただやはり、先ほど企業文化とか理解とかというキーワードを出したのですが、上からのトップダウンだと、どうしても組織としてのセキュリティの強度、レベルというのはなかなか上がっていきません。

そのため、ボトムアップでのセキュリティ対策も必要になります。事業部の方と膝を突き合わせて、彼らがどういうところに困っているのか聞くだけでなく、新しく作ったセキュリティポリシーやルールに関しても事業部の理解が得られない場合には、できるだけ丁寧に、直接話を聞くようにしました。

その上で、対策ができるのか、できないのか、いつならできるのか、どういう形ならできるのか、といった代替の着地点を探りました。上層部での機関決定に対して現場は全部従えば良いという単純な話ではないので、現場目線でも考えるようにしました。

ーー そのお話は、今回講演する2つ目のテーマの「厳しい事業環境下での取り組み」、この辺りの時のお話になりますか?

【奥村】 そうですね、そうやって組織が立ち上がってきたのは良かったのですが、一方で、会社の業績が急激に悪くなり、コスト削減が重要視される流れになりました。セキュリティ部門はコストセンターにあたりますので、人が足りない、課題が山積み、組織もまだ十分できていないという状況で、人がなかなか増やせない、コストも十分にかけられない、そういうプレッシャーがかかり始めたのが2つ目のテーマの時期ですね。

ーー その組織を大きくされていくという話ですが、セキュリティの担当者の採用というのが、
皆さんすごく苦労されているという話があるのですが、その辺りはどのようにされていたのですか?

【奥村】 割合としては、外部からと社内からの半々だったと思います。やはり中途採用で、外から経験者の方を募るというのは難しく、採用は常に出しっぱなしというような状態ですね。一方で、それと同じものを社内にも出して、社内の公募制度みたいなものを活用しました。

【高久】 社内公募ですか。

【奥村】 はい、社内公募制度や、多少セキュリティに関連した部門から“ちょっとセキュリティをやってみたい”というような方に入っていただくこともありました。求人票などには一定のスキルをお持ちであるということを要件として書いていましたが、実際面接の際には、どちらかというと情熱的なところ、やる気的なところを重視していました。セキュリティという仕事は、結構泥臭くいろいろな人とコミュニケーションを取っていくことがあります。相手に分かっていただけた時の喜びはありますが、「なるほどね、ありがとう」「すごく助かったよ」と明確にポジティブなフィードバックがいつもあるというわけではなく、「なるほど、言ってることは理解しました、じゃあやります」というような、なんとか着地することも多いので、それを繰り返すことに疲弊する方だと結構辛いということですね。あとはやはり、いわゆるインシデントが発生した場合などは、火事場のバカ力じゃないですけれども、やはり普段とは違う時間の流れや密度で対応しなければいけないことがあるので、たとえば労働時間の制約がある方などには難しいですね。

ーー その事業環境下の厳しい中で組織運営をしていくところで、運営のところではどういう苦労や工夫がありましたか?

【奥村】 予算に関しては常に案件単価を見てもらっていました。ある対策に対する単価としてはちゃんと毎年減らしていますという、そういう予算の取り方をしていました。

【高久】 単価ですか?

【奥村】 例えば弊社はゲームをサービスとして提供していますが、脆弱性診断といわれる、ゲームにチート(編集注:ゲームを優位に進めるための不正行為のこと)されるようなバグ等はないかを診断してからリリースしています。最近はリリースした後も定期的に必ず診断をするという取り組みもやっています。やはりゲームのリリースが多いときはどうしてもボリュームが増えてしまうので、予算としては増えてしまうことがありました。全社として前年比で売上が減っているのになぜ診断費用が増えるのか、みたいな話になると非常につらい。ですので、2回目の診断の時には1回目の診断時との差分を見るようにしてもらって工数を圧縮するとか、ベンダーさんにも協力してもらって効率化するとかで、ゲーム単位で見れば単価を下げて運用していることを説明していました。

ーー 以前お話をお伺いした際に「大きなパラダイムシフトもあった」と言っていましたが、そのお話も少しお伺いしてもよろしいでしょうか。

【奥村】 今までお話ししたのは、大体2012年の立ち上げ期と、そのあとの2013年、2014年、2015年頃までの厳しい事業環境下での取り組みです。2016年の年末くらいになると四半期ベースで売上のトレンドが底を打ってきました。App StoreやGoogle Playで上位にランクインするゲームがあると、必ずチートを狙ってくる攻撃者の方が出てきます。それで、2016年の年末に標的型攻撃を受けて、あるゲームに対して内部から不正を働こうという攻撃を受けたことが大きなパラダイムシフトというか、衝撃でした。もちろん私も衝撃で、クビが飛んだかなと思うような衝撃でした。経営陣からしても、「標的型攻撃は何年も前からニュースでは見るけれども、まさか自分の会社に請求書だったりレジュメだったり、そういったいかにも本物っぽいメールが飛んで来て、それをクリックすることで何の兆候もなく侵入されて、というのが本当に起こるんだ…」というのが、驚きと実感をもって迎えられました。セキュリティ業界のトレンドとしても、ここ2?3年は「侵入される前提での対策を」というのがあると思いますが、それが実感を持って経営陣含め意思統一ができた、というのが2016年末のインシデントだったと思います。

【高久】 雨降ってではありませんが、ですね。

【奥村】 そこから猛スピードで、比較的新しいソリューション、検知、またそれを調査するところにフォーカスした製品(EDR)を突貫で導入したり、組織的にも検知、対応というところにフォーカスした施策を進めたり、というのが現在の状況です。

ーー 他の会社様で伺ったのですが、侵入されないように、色々な対策を打つけれども、導入して終わりではなくて運用もしなくてはいけないということで、それで人が足りるかどうかとか、工数が増えるとか、そういう問題もあると思うのですが、その辺りはどうなのでしょうか?

【奥村】 そうです、その運用コストがどうしても、厳しい事業環境下では課題でした。コスト削減ばかり意識したために、実際にインシデントが起こり、削減しすぎた部分もあったと反省し、今は必要な対策に取り組んでいます。もちろん運用コストも織り込んで考えていて、セキュリティ部の中でも、いわゆるオペレーションを担うところを増員しています。

【高久】 それも先程の中途採用と社内から公募というところなのですか?

【奥村】 そうですね。募集はずっと出しっぱなしです。ただ、オペレーションを担える方ということで、業務委託の方も検討しています。実際業務委託の方にもオペレーションを担当していただいています。

【高久】 そのアウトソースのところは、やはりフルアウトソースするというよりは、社内で経験を蓄積するというようなスタンスでされていらっしゃるのですね。

【奥村】 そうです。アウトソースする時は、大きな業務を細分化していく中で全体の一部分を切り出すというかたちでアウトソースすることが多いと思うのですが、そういうセキュリティ組織のつくり方を弊社はしていません。機関決定事項は機関決定事項としてありますけれども、事業は事業で、ちゃんと売上を立てなければとか、お客さま満足度を上げなければとかというミッションがあるわけです。それに対して、社長が議長の委員会で決めたからこれはやってはいけない、などと言って事業が止まるというのは、やはりあり得ないですよね。ですので、現場の方とどう折り合いをつけるかを常々取り組んでいるんですが、そのコミュニケーションまでもアウトソースしてしまうと、外部の方に「これでお願いします」ということからデッドロックしてしまう。そういう場所が増えれば増えるほど、組織全体としてはセキュリティ体制がだんだん形骸化したり弱くなったりというのがあると思うので、社内でできるだけノウハウを残すために、社内に一定の要員を置くことで初めて良いセキュリティ保てるのではないか、というふうに今は考えています。

ーー 最後になりますが、今回参加される方々にメッセージ、もしくは1番伝えたいことや、今回の講演を通してお話ししたいこと等、何かポイントなどがあれば、最後お言葉を一ついただければと思います。

【奥村】 紹介文にも書いたのですが、今話したことが弊社ではここ5年ほどの間に起こっていまして、何かしらお悩みの共通点があるのではないかと思います。私の5年前のように、これからセキュリティ部門を立ち上げるとか、CSIRT のような組織を新たにつくらなければとか、組織はあるけれども例えば社内側と社外側の担当を分けていたの統合しようとか、逆に統合していたけれどもそれぞれに分けてやろうとか、そういった事業環境に応じて新たに組織を変えるフェーズだと、やはり立ち上げ期の悩みとして共通点があると思います。あとはやはり厳しい事業環境での悩みといえば大体どこの会社さんもセキュリティ予算は結構プレッシャーになりますよね。

【高久】 そうですね、潤沢なところはあまりないですね。

【奥村】 潤沢な会社というのはあまりないと思うので、そういった中で“どういった工夫ができるか?”などは厳しい事業環境下での悩みが共通すると思います。また、事業環境の変化というか、やはりインシデントが起こったときにはインシデント対応だけでも1冊本を書けるぐらいの話があるわけでして。こうしてみるとこの5年で百貨店的にいろいろなセキュリティ上の課題にぶち当たってきたというふうに私は思っていまして、講演で何か得るというよりは、講演を足掛かりに何かより有用な情報交換ができたらいいな、と思っています。

【高久】 分かりました、ありがとうございます。

奥村様の講演、実際にお話を聞きたい方は、以下のボタンを押してお申込みいただけます