ゲームにキュレーションメディア、最近はヘルスケアやロボットタクシーなど、数多くの事業を手掛けるディー・エヌ・エー(DeNA)。同社には「セキュリティ部」という部署がある。

 セキュリティをビジネスにしているわけではなく、基本的には企業内のコストセンターだ。最近よく聞く「CSIRT」でもない。CSIRTは仮想的な組織として別にある。当初はCSIRTだけだったが、専門組織を作る必要性を感じてセキュリティ部を作ったそうだ。

 セキュリティ部の部長を務めるのが茂岩氏。DeNAの創業期から同社のシステムインフラを担当してきた人物だ。同氏が2011年頃からセキュリティにも取り組み始め、悪戦苦闘した結果、CSIRT、そしてセキュリティ部を立ち上げる。

セキュリティは事業を強くする

 現在はインフラ部門を後任に任せ、セキュリティ専任になっている。茂岩氏は「セキュリティ分野は技術的に大変興味深い。さまざまな領域の知識が必要で、しかも深いレベルが求められる。ITの“総合格闘技”のようなものだ」という。

 そんな同氏の信念は、「セキュリティは事業を強くする」である。ただ「守る」ためにセキュリティに取り組むのではなく、経営目線でセキュリティに取り組んだ結果、たどりついた信念だそうだ。この信念の下、茂岩氏が大事にしている考え方がある。ここでは筆者の独断で10個を選び、茂岩氏の取り組みとして紹介したい。

1「本当に守りたいものを決める」
 セキュリティに取り組み始めたときに陥りがちなのは、すべてを守ろうとすること。その結果、やるべきことが膨大になり、非現実的になってしまう。まずは「本当に大事なもの」を脅威から守った上で、範囲を広げていくべきだ。茂岩氏はそう主張している。

2「わかりやすく、ぶれない基準」
 セキュリティのルールがわかりにくいと、何かが起こったときに現場で判断できず、専門部署にお伺いを立てるようになる。それでは事業スピードが低下する。茂岩氏の信念は「事業を強くするセキュリティ」なので、現場で迷わず判断できるようにわかりやすさに心を砕いている。また、基準がぶれてしまうと不信感を生んでしまう。だから「ぶれないも大事」だと強調している。

3「人に依存した対策にしてはいけない」
 茂岩氏によると、セキュリティ対策で最も難しいのは「100%にすること」だという。例えば、人の異動があればシステムのアカウントも変更するルールがあったとして、その作業は難しくはないが、100%やり続けることが難しい。人の作業にしている限りほぼ不可能で、システム化を図る。これはセキュリティ部の重要な役割になっている。

4「状況をコントロールできているかどうかが大事」
 例えば、組織内で先月マルウエア感染が1件あったとして、それがマルウエアの活動を捕捉する網にかかって判明したのか、それともたまたま利用者が気付いて報告してきたのかで、全く意味が違ってくるという。もちろん、目指すは前者であり、コントロールできているかどうかが大事だという。

5「合意形成が何よりも大事」
 セキュリティ強化には誰もが同意するが、それによって不便になることは避けたいと誰もが思っている。セキュリティ対策の最も重要な要素は「人」である。だからこそ合意形成が大事だと、茂岩氏は強調している。