事例に学ぶ、セキュリティカルチャーの育て方 「みんなでやる」がなぜ大事？：「セキュリティ人材不足」は当たり前

脅威への対抗策としては、「CSIRT」を設置することが望ましい。しかし人材不足が社会問題になる中、CSIRTを立ち上げたとしてもセキュリティの専任人材を割り当てることは困難だ。CSIRT運営の理想と現実について、事例とともに紹介する。

[PR／＠IT]

PR

　情報処理推進機構（IPA）の「情報セキュリティ10大脅威」上位に居座るランサムウェア（身代金要求型マルウェア）をはじめ、企業はさまざまなサイバー脅威にさらされている。情報通信研究機構（NICT）が2024年2月に公開した「NICTER観測レポート2023」によれば、ダークネット観測網（約29万IPアドレス）において2023年に観測されたサイバー攻撃関連通信は合計6197億パケットに上る。

日本シーサート協議会の萩原健太氏

　日本シーサート協議会運営委員長の萩原健太氏は、医療機関を狙った幾つかのランサムウェア事案に関わった経験から「被害事例の大多数に『基本的な対策ができていない』という共通の課題が見受けられます」と語る。その上で、「バックアップシステムやクラウドサービスを準備するといった、事業継続の方法について理解を深めておく必要があります。サプライチェーンのリスクを把握することも重要です。敵を知るよりも、まず自分を知ることが必要です」と強調する。

　こうした脅威への対抗策として、インシデントレスポンス（攻撃対処）を担う組織「CSIRT」（Computer Security Incident Response Team）の設置は積極的に検討したいポイントだ。しかしCSIRTが担う役割は多岐にわたる。萩原氏は「昨今の人材不足を踏まえると、中小企業では十分な人的資源を割り当てることは困難」だと指摘する。

　CSIRTを社内で組織するならどうやるのか、外部組織とどのように連携するのか――。＠IT主催のオンラインセミナー「セキュリティカルチャーをどう醸成する？　成長企業のCISOが語る理想と現実」の講演内容から、セキュリティ体制の構築とセキュリティ強化の道筋を、事例とともに紹介する。

全社員が一丸となってセキュリティ強化、みんなの“自分ごと”に

　クラウド会計・人事労務サービス「freee」を提供するフリーは、2018年に発生した大規模障害の経験から、定期的な全社訓練を実施している。今や同社では、セキュリティ訓練がカルチャーとして定着しているという。

　2021年に実施した訓練は標的型攻撃とランサムウェアが題材で、実際にデータも消すという厳しい内容がSNSで話題となった。2022年には営業部門を巻き込み、顧客の協力を仰いでリアリティーのある訓練を実施した。2024年は実際にシステムを攻撃して現場の対応力を鍛えるという、趣向を凝らしたものだった。これは全社的な取り組みではなかったため、サポートチームや開発チームは別途、自発的に訓練したという。

フリーの茂岩祐樹氏

　フリーの茂岩祐樹氏（エンジニアリング基盤本部 CISO兼VPoE）はこう話す。「フリーでは社長自らインシデント対応の現場で指揮を執る訓練に参加し、全社員とともにまじめに熱く取り組んでいます。シナリオは非常にリアルに仕込んでいるので工数はかかります。現場から苦情が出る可能性もあり、どの企業も同じように実践するのは難しいでしょう。しかし実際にやってみると、机上訓練とは異なる緊張感を得られます。マスコミ対応の時間に追われる焦りなど、体験してみないと分からないことを実感できます」

図1　フリーのセキュリティ訓練の一例（出典：同社のセミナー講演資料／クリックで拡大）

　サイバーセキュリティのプロダクト・サービス「LANSCOPE」を手掛けるエムオーテックスは、2015年ごろに本格的なセキュリティ体制を立ち上げて以来、組織の強化に努めている。企業規模を踏まえるとセキュリティ専任組織の設立は難しいものの、「全社員が“セキュリティを自分ごと化すること”に注力している」という。

エムオーテックスの中本琢也氏

　エムオーテックスの中本琢也氏（取締役兼CISO）によると、同社のセキュリティ体制はISMS（情報セキュリティマネジメントシステム）の推進、個人情報管理、CSIRT、自社製品・サービスのセキュリティレベルの向上や対応をする組織「PSIRT」（Product Security Incident Response Team）の4つを柱としている。ただし人員は専任ではなく兼務だ。「全社員約400人のうちの100人ほどが毎年交代しながら担当しています。4〜5年もすれば何らかのセキュリティ領域に関わることになります」と中本氏は語る。

図2　エムオーテックス（MOTEX）のセキュリティ体制の歴史（出典：同社のセミナー講演資料／クリックで拡大）

　エムオーテックスのセキュリティカルチャーでは、経営層が参画すること、そして積極的に情報を発信することを重視している。例えば期初の社長方針発表では、必ずセキュリティに関する内容を含めている。中本氏（管理本部）の方針発表もセキュリティの話題から始めている。情報発信は対策が形骸化しないように平時にも継続しており、インシデントやヒヤリハットの情報を共有している。セキュリティの報告はネガティブな印象が目立つため、対処への感謝や称賛も重視しているという。

　萩原氏は、フリーとエムオーテックスの取り組みについて、「経営者の意識が高い」「関与している人が多い」点を評価する。そして、本当のインシデントを体験していなくても「自分ごと」にすることの重要性を強調する。「フリーの事例では顧客を巻き込んでいます。エムオーテックスでは全社員がセキュリティに関わっています。関与する人を増やす取り組みが上手だからこそ、セキュリティカルチャーが醸成されるのではないでしょうか」（同氏）

セキュリティ組織の維持と人材育成の難しさ

　フリーとエムオーテックスの取り組みは一定の成功を収めているが、成長企業として組織の変化に伴う課題も浮上しつつあるという。

　茂岩氏は、2つの問題を認識している。「マンネリ化」と「セキュリティ組織の維持・成長」だ。何も対策できていなかった状態から、小規模にセキュリティ組織を立ち上げて拡大していくと、すぐに成果が上がるようになる。ある程度の対策ができると、平和な状態が続くように“見える”。そうすると経営者は「何も起きないなら投資は不要」と考えてしまう。セキュリティ組織があるからこそ平和が維持されているのだという点を報告して、投資継続の必要性を訴える努力が必要なのだ。

　経営者への報告を怠るとセキュリティ組織が軽視され、衰退する懸念もある。萩原氏は「そもそも平和な状態はない、と理解することが重要です」と強調する。

　中本氏は「セキュリティ対策の形骸化を防ぐのは難しい」と認識しつつ、「形骸化に気付かず硬直化してしまうことが最大の問題」だと主張する。同社でもCSIRTを立ち上げて3年ほどは活動が盛り上がったものの、兼務で忙しいこともあって活動が固定化してしまった時期があったという。「これではよくないとみんなで話し合い、CSIRTの成熟度を評価するモデル『SIM3』を参考にしながら、絶対に取り組まなければならない、改善しなければならない点を決めました。形骸化は前提として、改善を続けることが大事です」（中本氏）

　しかしセキュリティ領域は広く、技術とガバナンスの最適なバランスは組織によって異なる。企業が「この技術者にガバナンスの知識を習得させたい」と願っていても、当人のライフプランやキャリアパスを無視することはできない。茂岩氏は「このように、組織と人材の成長は難しい問題で、悩んでいる方は多いと思います」と語る。

　茂岩氏は、マンネリ化の対策として「飽きさせないミッション作りが必要」と続ける。「脆弱（ぜいじゃく）性診断を担うチームでも、診断だけをルーティン業務としてやっているのは楽しくありません。一人一人が成長を実感できるように、少なくとも半分は新しいことを盛り込んだり、前向きに取り組めるような業務を設計したりするようにしています。診断というアウトプットに対して、事業のリスクをどれだけ減らしたのかという成果を可視化することも重要です」

　セキュリティ人材の育成について、「キャリアパスの決め方」は代表的な課題だ。茂岩氏は、CISOをロールモデルとすると「エンジニアの経験だけでは難しい」と見る。セキュリティポリシーとガバナンスを理解し、ISMSやセキュリティ認証基準「SOC2」（Service Organization Control Type 2）を取り込んで企業の信頼性を高めるようなアイデアが求められる職種だからだ。「これらの領域を幅広く経験してもらえるようにキャリアパスを提示しなければならないでしょう」と同氏は述べる。

生成AIも積極的に活用し、セキュリティ文化の醸成へ

　昨今はセキュリティ領域でもAI（人工知能）技術の活用はホットな話題だ。特に脆弱性対策に新たな可能性を開くとして期待を集めている。例えば米国国防高等研究計画局（DARPA）の研究で、脆弱性の発見から修正までを生成AI技術で自動化する仕組みが登場している。

　茂岩氏によると、フリーでは顧客からセキュリティチェックシートへの記入を要求されることがある。ただしその書式が企業ごとにばらばらで、現場だけで回答することが難しいケースもある。この課題を生成AI技術で解決する仕組みを開発中だという。

　エムオーテックスでも積極的に生成AI技術の活用を推進しており、「ChatGPT」ベースの社内AIサービス「Smartばんにゃ」をリリースしている。セキュリティ業務を含めて、不明点の確認や調査など、業務1件当たり平均24分の効率化の効果が得られているという。中本氏は「セキュリティの問い合わせは専門用語が多く、英語のドキュメントを参照するケースもあります。文章の要約や確認、翻訳はもちろん、アラート情報を文章として整える作業にも社内AIが活躍しています」と説明する。

　セキュリティ強化には、セキュリティ対策をカルチャーとして定着させることが重要だ。フリーとエムオーテックスは、独自のカルチャーを全社に浸透させつつ、文化の成熟に努めている。どのように自社のセキュリティカルチャーを醸成させるか、という点で、両社の取り組みはさまざまな組織にとって参考になるはずだ。