新CISO 亀山直生の所信表明 | セキュリティの専門家として強化したいポイントとは？

2023年4月、MIXIのCISO（Chief Information Security Officer。最高情報セキュリティ責任者）に亀山が就任しました。これまでセキュリティ室室長としてMIXIのセキュリティを支えてきた亀山に託された役割とは？そして今後どのような会社にしていきたいのか、所信表明を聞きました。

亀山直生
CISO（Chief Information Security Officer）
2015年に中途入社。AWSのセキュリティ監視や脆弱性診断というアプリのセキュリティ検査の業務、社内システムや社員を狙った攻撃への対策を担い、2021年1月に現セキュリティ室の室長・マネージャーに就任。

セキュリティの専門家として矢面に立つ覚悟

━━CISOへの就任を打診された時、どんな気持ちでしたか？

どうしようかなと思いました。正直、「すごくやりたい」というわけではなかったです。ただ、今までは情報セキュリティ専任ではない方が実質的なCISOの役割を担い、矢面に立ってきました。いつまでもその状態では申し訳ないと感じていましたし、セキュリティに集中して対峙している人が説明責任を果たす方が効率的だと思っていました。その観点で、自分ができることであればやろうと決断しました。

━━この新しい経営体制に感じるところはありますか？

経営と執行の分離による全体最適の意図はあると思いますが、セキュリティも大切な要素として真摯に取り組むという改めての意思表示でもあると考えています。現場の人たちは普段から情報の取り扱いに気をつけていますし、会社としても対策も行っています。そうしたことを、よりきちんと説明できる状態にしていこうという考えの表れでもあるかなと感じています。

━━具体的にはどういうことでしょうか？

セキュリティはできて当たり前で、何かあったら問題……と目に見えづらいのが実情です。普段からしっかり行っているのは当然のことですが、何か起きた時に説明できる状態になっている必要があります。また、普段からMIXIとしてセキュリティに対して何を行っているか、発信するのも今後必要だと考えています。（※情報セキュリティへの取り組み）

取引先や監査などからセキュリティを適切に行っているか聞かれることは多々あります。たとえば提携先からチェックシートへの記入を求められるケースです。そうした時、実施している内容を外部に示せる状態になっていないといけません。

グループ会社が増える中で、守備範囲も広くなっている

━━セキュリティ室室長に就任したのが2021年。その当時と比べて現在どんな変化がありましたか？

まず新規事業や資本提携などが増えたことで、活動範囲が広がりました。今は監査や管理の効率化の観点からも、グループ会社含め各種対策の状況がどうなっているのか情報整理をはじめたところです。また、これまで行っていた脆弱性診断やインフラのセキュリティ監視と合わせて、既存のものより少しライトにはなりますが365日継続の脆弱性検査も全社向けに行うようになりました。これにより、新たな脆弱性や検査対象のカバレッジを高めたりしています。

━━セキュリティ室の人員体制はどうですか？

2018年当時は1〜2名程度ではじまりましたが、現在は専任6人、兼務が1名の7名体制になっています。

━━ずいぶん増えていますね！

そうですね。今のメンバーはエンジニアが多いので、技術的な課題に対しては体制が整ってきました。ただ、まだまだ手が届いていない箇所は数多くあります。
私はセキュリティに関わる人は2種類いると考えています。エンジニアのような技術職タイプの人と、管理・推進、ルールの策定、インシデントハンドリング等が得意なビジネス職タイプの人です。現在は後者の人たちが不足しているので、今後採用を強化したいと考えています。

━━どういった人物がセキュリティに向いていますか？

セキュリティに関する知識があるというのは前提になるのですが、現場で実行できる対策に落とし込める人が向いていますね。MIXIは事業会社なのでセキュリティベンダーとは異なり、事業を行っていく上でのさまざまなセキュリティに関われるのが面白いと思います。

━━事業会社ならではのセキュリティはどんなことがありますか？

脆弱性診断はもちろんのこと、AWSやGCPの設定不備がないかチェックしたり、PCへの攻撃対策などもあります。他にも情報セキュリティのルール等を文書として整備したり、運用のモニタリング、インシデント対応など業務が幅広いのが特徴です。また、MIXIは事業領域が多岐にわたるので、さまざまな事業に関われるのも面白さだと思います。

━━業務上注意していることはありますか？

セキュリティ部門が関所にならないようにする、というのは今までも今後も気をつけていく点ですね。面倒な場所になってしまうと、現場の人たちはいずれ面倒な関所を回避しようとするでしょう。そうなってくると目的や当事者意識がずれてしまいがちなので、そういう状態にはならないように心がけています。

まずはカバレッジと情報整理に注力

━━これから注力したいテーマ・領域は何ですか？

まずはカバレッジと情報整理に注力していきます。カバレッジについては、能動的なアプローチで上げていきたいと考えています。関所にならないと言いましたが、そのためには教育と啓発、チェックと監視がとても重要だと考えています。主要システム以外の細かい物やグループ会社も含め、これらのカバレッジをあげていくつもりです。

━━なるほど。そのための情報整理ですね？

そうですね。カバレッジを高めるためにも、まず一覧で見られる形に整理します。また、パブリッククラウドの監視についてもアカウントを作ったタイミングで自動的に適用されるように作成フローを整理していますが、グループ会社や事業が増加するなかではイレギュラーも存在します。そうしたところを一つ一つ詰めていく予定です。

━━今後強化したいポイントはありますか？

情報セキュリティの文書は強化したいポイントです。規程やガイドラインを最近の事情に合わせてアップデートしたり、各現場の読み手が理解しやすい表現にしたり、ガイドラインの拡充などを行っていきたいと考えています。

━━組織体制についてはどうですか？

今はセキュリティ技術グループがあって、全員そこに所属しています。さらにセキュリティ推進グループを作って、エンジニアリングではない領域のセキュリティ対応力も上げていきたいと考えています。

━━今後目指すところは何ですか？

大きく変えたいところはなくて、今まで大事にしてきたところを継承しつつ、アカウンタビリティやカバレッジを強化していきたいと考えています。取引先や監査人などに対して、情報を分かりやすく整理したり、内部監査の方にもコンサル頂きつつ進めています。

ルールのみに囚われず、セキュリティに気をつけて欲しい

━━CISOとして社員に伝えたいことはありますか？

まずは普段の業務で情報の取り扱いに気をつけてくれていたり、対策を行ってくれている点に感謝したいです。

セキュリティ室としてできることは全体の一部にすぎません。たとえば教育や啓発であったり、チェックや監視、事故対応については横軸の組織として力を発揮しやすいところです。しかし、最終的に情報を守るためには、実際に情報を取り扱う現場の方々の協力が不可欠です。これまで大きな事故が防げているのは、予兆があった段階で各現場の人たちが報告や改善を行って頂いているお陰だと思っています。

━━セキュリティについて、社員ができることは何かありますか？

システムや組織の対策はあれど、情報を守るためには実際に情報を扱う社員の皆さんの協力が不可欠です。我々1人1人の行動で情報を守れる事もあれば、逆に漏洩してしまう事もあります。

ルールを守ることやミスを無くすことも重要ではありますが、現場の方の感性も非常に重要なので、業務の中で危ないと感じたりすることがあれば、まずは上長やチームメンバーに相談して貰えると嬉しいです。また、対処に悩むことがあればセキュリティ室のメンバーに相談したり、事故かもしれないと思ったら遠慮なく所定の窓口に報告をお願いします。孤独が事故を生む事もあるため、1人で悩まずに周りを巻き込んで貰えると嬉しいです。