この記事のポイント
- 自社サービスのクラウド化、公共部門への導入、海外展開など事業の方針を踏まえて、情報セキュリティ認証制度を含むコンプライアンスに関する取組みを進めてきた
- kintoneの利用によって全社的な情報共有の透明性が高まった。その結果、部門横断的な協力・理解が浸透した
- 経営層の信頼を勝ち取るポイントは、経営リスクの理解と他部門の巻き込み
中井戸 志麻氏(室長)
明尾 洋一氏
杉山 峻氏
根建 孝司氏
松本 純氏
社内のセキュリティ実務強化のため、2017年に設立
まずは、みなさんの普段の業務内容やご経歴についてお聞かせください。
明尾氏:
私は、2001年にサイボウズに入社して品質保証部で働いた後、セキュリティ室の立ち上げに携わり、2017年から2022年までセキュリティ室の室長を務めてきました。
中井戸氏:
私は、前職ではマネジメント系のセキュリティコンサルティングに携わっていました。2017年にサイボウズに入社してからは、ISMSやISO27017、ISMAPなどセキュリティ認証取得に関するプロジェクトマネジメントを行っています。2023年からはセキュリティ室の室長を務めています。
杉山氏:
私は、システムコンサルティング本部から2022年にセキュリティ室に異動してきました。前部署では、セキュリティチェックシートの回答・作成、それに関するお客様への説明などを行っていました。異動後は、セキュリティ認証関連の仕事のほか、社内のセキュリティ教育全般も担当しています。
根建氏:
私は現在、セキュリティ認証のマネジメントおよび実作業を担当しています。入社は2022年3月で、前職のクラウドベンダーでも同様の業務を行っていました。
松本氏:
私は、前職のゲーム会社でゲームプログラム開発やシステム管理、その後情報セキュリティ対策やゲームの不正対策などに携わった後、2022年4月にサイボウズに入社しました。現在は、SOC2取得に向けたプロジェクトや脆弱性情報の社内発信、セキュリティチェックシートの対応のほか、セキュリティ対策に関するシンポジウムや日本シーサート協議会への出席、同協議会での地区活動委員としての活動など、外部機関との連携や情報交換も積極的に行っています。
2017年にセキュリティ室が新設された経緯を教えてください。
明尾氏:
当社のセキュリティ組織は、PSIRT(自社で開発・提供する製品やサービスを対象とするセキュリティ対策を担う組織)を軸に成り立ってきました。そもそもは2006年、当社が開発・提供するパッケージ製品に関して、外部の専門家から指摘を受け、製品の脆弱性に対応する窓口を開発本部内に設置したのが発端です。この窓口が後のPSIRTの足がかりとなり、さらに2011年のクラウドサービス「cybozu.com」のリリースをきっかけに、本格的にPSIRTが始動しました。その後、セキュリティ教育や訓練など、社内のセキュリティ対策が進んでいなかったことを受けて、社内のセキュリティ実務を行う組織として2017年に立ち上がったのが、セキュリティ室です。
教育内容のアップデートで形骸化を防ぐ
セキュリティ室で行っている社内のセキュリティ実務について具体的に教えてください。
杉山氏:
セキュリティ室では、情報システム部門と合同で入社時教育を行っています。オンボーディングの一環として、セキュリティ教育が組み込まれている形です。また、ISMSの対象業務を行っている社員に向けたセキュリティ教育を実施するほか、各部署にISMSの推進委員を設け、現場の方々主導でISMSを普及していく体制を構築しています。
社員向けのセキュリティ教育を行ううえでの課題はありますか。
杉山氏:
形骸化しやすい点が課題です。特にISMAPに関する教育は、ISMS上必要な教育・監査項目が定められていることもあって毎年同じような講義になりがちです。いかに受講者に興味を持ってもらい、講義内容を定着させるかは、いつも悩むところです。なお、現状では毎年の確認テストで不合格になる人はおらず、これは、きちんと講義を聞いてもらえていることの表れだと認識しています。
実際に受講された方からはどのような反響がありましたか。
杉山氏:
サイボウズでは、研修や大人数の会議の際に「実況スレッド」を立ててタイムリーに参加者の声を確認できるようにしているのですが、セキュリティ教育の受講者から「定型なものにならないよう面白く工夫しているのがわかります」というコメントが寄せられたことがあり、うれしかったですね。このように、受講者から良い評判が得られているのは、教育内容に関して「これだと知識がない人にはわからない」「もっと攻めた内容にしても良いのでは」など、セキュリティ室のメンバー同士で議論をしながら作っているからこそといえるかもしれません。
事業展開に合わせてISMAP、SOC2への対応も進める
情報セキュリティ認証制度に関する取組みについて教えてください。
中井戸氏:
当社では、2011年にISMSを取得するなど、セキュリティ室の立ち上げ前から情報セキュリティ認証制度に関して取り組んできました。クラウドサービスの提供を進めていくにあたり、クラウドのセキュリティを不安視されるお客様もいらっしゃいます。認証取得は、会社としてセキュリティ活動に取り組んでいることを営業の場面でアピールできる要素にもなると考え、クラウドサービスのセキュリティ認証としては、ISO/IEC 27017を追加しました。また、2021年からは、ISMAP登録に向けた活動も行っており、すでに複数のサービスがリストに登録されています。さらに、国内のみならず海外にもサイボウズのサービスを展開しようとする中で、SOC2取得に向けた動きも進めているところです。
認証取得の取組みを進めていくにあたり、苦労した点や工夫している点があれば教えてください。
中井戸氏:
認証取得の事務局はセキュリティ室ですが、実際の準備や対応は他の部門の協力がなければできないことばかりです。運用チームや開発チームなどに日々の業務の中で協力してもらえるよう、適切なコミュニケーションを取ることが不可欠です。
ISMAP登録に向けては、どこまで現場に負荷がかかるか予測できない面がありました。そのため、証跡収集の管理策を最小限に抑える、まずは公共に需要があるサービスに絞るなど、最小限の形でスタートを切りました。これにより、現場の負担を極力抑えたいという狙いです。
他部門との連携や関わり方について心がけていることはありますか。
中井戸氏:
サイボウズでは、自社のグループウェアの「kintone」上でコミュニケーションや情報公開を行っており、セキュリティ室としてもこれを活用して、なるべくこちら側からkintone上の情報を取りに行くよう心がけています。たとえば、他部門のISMAPに関する証跡収集の際には、セキュリティ室から見に行ける情報はあらかじめ確認しておき、それでもわからないところだけを聞くようにすることで、できるだけ現場に負担をかけないようにしています。認証取得や更新審査にはさまざまな部署に関わってもらっているのですが、協力的かつ丁寧に対応してもらえるので、助かっています。
透明性の高い情報が円滑なコミュニケーションを実現する
教育やセキュリティ認証に関しては、現場の方も前向きに対応してくれているようですね。何か秘訣はあるのでしょうか。
中井戸氏:
セキュリティ室に限りませんが、kintone上でなるべく情報を共有するというカルチャーが良い方向に働いていると思います。他部門の方にコンタクトする際に、「まず業務内容を説明してください」「どういうサービスを使っているか教えてください」といった会話から始める必要がなく、お伺いを立てるためのコミュニケーションが最小限で済むので、お互いの負担が抑えられています。
明尾氏:
他部門の動きがkintoneでおおよそ把握できるようになっているんですよね。開発部門とのコミュニケーションにおいては、日報や分報が公開されているので、その人の普段の活動を知ろうと思えば知れる状態になっています。他部門と新たにプロジェクトを始める際にも、ある程度ほかのメンバーの業務を理解したうえで進められるという強みがありますね。
サイボウズ社全体の情報の透明性の高さがポイントになっているように感じました。入社されてからまだ日が浅い根建さんや松本さんは、サイボウズのこうしたカルチャーをどう受け止めていますか。
根建氏:
前職もオープンなカルチャーでしたが、それでも、必要以上に情報は見せないという方針が根底にあったように思います。それに比べてサイボウズでは、経営に関して差し障りのあること以外はどんな情報にもアクセスできるという印象を受けました。
また、情報へのアクセスしやすさもポイントだと思います。ファイルサーバー、ポータルサイト、チャット、メールなどのツールが乱立していると、どこに何の情報があるのかわかりにくく、誰に聞けばいいのかすらわからないという状態に陥りがちです。kintoneは、ファイルサーバーもチャットもポータルサイトも兼ねた機能を持っているので、シームレスに情報へアクセスできるという強みがあります。
松本氏 :
入社前に読んだサイボウズ代表の青野慶久の著書『チームのことだけ、考えた。』(ダイヤモンド社、2015年)に「インサイダー以外の情報は、基本的には全部公開する」と書かれていましたが、実際に入社してみるとまさにそのとおりで、kintone上で経営陣のスケジュールも見られる状態になっていて驚きました。
また、セキュリティ室では私だけが大阪在住で他のメンバーは関東圏です。日頃は全員がリモートワークをしているのですが、情報やコミュニケーションがkintoneに集約されていることで、出社の有無を問わずどこからでも距離を感じることなく仕事ができています。
セキュリティはリスク要因であり経営課題と捉える
経営層とは普段どのようにコミュニケーションを取っているのでしょうか。
明尾氏:
週に1回、情報システム部の部長も交えて、代表の青野とミーティングを行っています。セキュリティに関する最新情報や社内での出来事などを共有するほか、青野が次に取り組もうとしていることやそこに対する懸念について、情報システムやセキュリティの観点から意見を伝えています。
サイボウズでは経営トップのセキュリティ意識がとりわけ高いという印象を持ちました。
明尾氏:
2014年にスタートした脆弱性報奨金制度などにも、セキュリティ意識の高さが表れていると思います。これは、対象製品の脆弱性を発見・報告した人に謝礼として報奨金を支払うという制度です。脆弱性の報告を受ければ受けるほど予算が必要となり上限が見えませんが、それでもしっかりと予算をつけて対応しなければならないという会社としての覚悟がうかがえます。セキュリティは、かつては限られた人たちで対応すればいいものと思われていたかもしれませんが、当社では2011年のクラウドサービス「cybozu.com」のリリースをきっかけに、経営に資するものだという実感が得られたのだと思います。
セキュリティ投資に対する経営層への理解を促すには、どのようなコミュニケーションが有効でしょうか。
明尾氏:
セキュリティ投資の必要性を説く際に、セキュリティベンダーや担当者によっては脅すような言い回しをする人もいます。しかしこれは、セキュリティを重要視していない人に対する説明の方法として効果的とは思えません。一担当者であっても、経営者が考えている経営リスクをきちんと理解し、それを第一に重視する。つまり、セキュリティはリスク要因の1つであり経営課題の1つであると捉えたうえで経営と議論することが重要だと考えています。たとえば、「セキュリティだけやっていればいいんだ」「セキュリティのこの領域をやりたいんだ」という主張ではなく、「実際にこの事象が発生した場合にはこれくらいのリスクがあります」「対策はここまでやっておけば問題ないです」「必要以上の投資はしなくて大丈夫です」などといった経営目線を意識した議論や提案ができれば、経営層からの信頼が勝ち取れるはずです。
中井戸氏:
他部門を巻き込むことも大事だと思っています。実際に当社がISMAPとSOC2を取得するにあたっては、ビジネスマーケティング本部や事業戦略室に参画してもらい、同部門の本部長から認証取得のビジネス上の意義について補足説明をしてもらうことで、稟議が非常に進めやすくなりました。一般に、ISMAPやSOC2の取得は、かなり高額なセキュリティ投資といえます。ビジネス上の意義を説明して事業部門を巻き込み、全社にセキュリティ方針を認知してもらってから一緒に進めていくことで、経営層にもその重要性が伝わりやすくなるでしょう。
後編 へ続く
(取材・文:周藤瞳美)
最新情報をフォローする
