国内企業へのヒアリング調査

した。

現在はこのCISOを中心に、情報セキュリティの管理組織が構築されている。CISOの就任から 3 年が経過し、ようやく運用が安定しつつある。最初の 1 年で脆弱性やインシデントのハンドリ ング、レスポンスなどの基礎的な部分の構築を行い、その運用を継続することによってメンバに ノウハウが蓄積されてきた。現在では CISO は徐々に現場から離れ、監督の立場に比重を置くこ とができるようになっている。CISOとしては、まず100人程度の小規模な組織でしっかりとした 基盤を構築することができたのは有益であったと見ている。

この方針はICT系企業ではない一般の企業でも通用する考え方である。スタートアップベンチ ャーの場合、本業のビジネスだけで手いっぱいの場合が多いが、大きく成長する前の小規模な段 階から、外部ベンダーの力も借りつつ、スモールスタートでセキュリティ対策を始めるのが良い。

対象とする組織が小規模であれば、かかる費用も少なく抑えることができる。外部リソースの支 援を得つつ、体制を構築して人材を育成していくことが、有効な方法の一つと考えられる。

また、スタートアップベンチャーの特徴として、全社員一人一人が会社のビジョンや方針、施 策を十分に理解することが重要である。小規模な組織においてこの部分がおろそかになってしま うと、人的リソースが限られているがゆえに望ましいパフォーマンスは得られなくなってしまう。

これは情報セキュリティについても同様で、会社が情報セキュリティを経営課題として掲げ、具 体的な施策を打ち出した場合、それをすべての社員にしっかりと理解させることが重要である。

b）経営層におけるコミュニケーション

A社のCISOは取締役であることから、経営層の一員として経営に関与する立場をとっている。

外部より招聘された CISO は情報セキュリティの技術にも豊富な知識を持っているということも あり、CISO 以外の経営陣と、情報セキュリティを担当する現場との橋渡しの役割を担っている。

情報セキュリティ対策を強固に適用することで情報を守ることはできるかもしれないが、それ らの対策により情報の利活用が阻害されるとしたら本末転倒である。A 社のCISO は、情報の利 用の価値を見出しつつ守るべきところは守るというバランスを見定める必要があり、それは現場 だけでは不可能で、経営サイドからの理解があってはじめてバランスが取れるようになると見て いる。これは、経営層でも現場でも誤解を生じやすい部分であり、CISOの立場だからこそ見えて きたと考えている。

つまり、経営と現場の両方を熟知している CISO が取締役であることにより、情報セキュリテ ィに関するアクセルとブレーキの両方の役割を持ち、会社全体としてバランスをとることが可能 になる。A社ではこの権限をCISOに一任しており、限られた人的リソースの中で、バランスを保 ちつつ情報セキュリティのかじ取りを行っている。

また、権限が一任されているといっても、情報セキュリティに関する施策の必要性や会社にと っての意義を正しく説明しなければ、取締役会で意思決定されることはない。CSIRT の設立につ いても、現在でこそ社会的な認知度は向上しているが、3年前はそのような状況ではなく、その必 要性や意義をCISOの立場から取締役会の中で説明し、理解してもらった。

ただし、セキュリティに対する投資対効果という議論にはならない。EC 事業を展開する A 社

において、情報セキュリティを適切に管理することは一つのバリューであり、コストではなく、

成長のための投資という認識がなされているためである。顧客やネットショップオーナーに対し て情報セキュリティの安全性をアピールすることにより、新たなビジネスへと結びつけることが 可能となる。A社ではネットショップで検出された脆弱性も積極的に開示している。

c）セキュリティ人材の育成と社会貢献

A 社では、ネットショップというインターネット技術を基盤とした事業を行っていることもあ り、情報セキュリティ人材が日本全体として枯渇していることに対して問題意識を持っている。

そこで、A 社の子会社でセキュリティ・キャンプ ²⁵の卒業生を採用して、情報セキュリティ人材 として育成し、活躍してもらうことに取り組んでいる。

また将来的には、A 社 CISO のような、情報セキュリティの技術面と企業経営との両方を理解 できる人材の育成も検討しているが、これは情報セキュリティ技術者の育成以上に困難な課題で ある。

なお、A社CSIRTは、日本シーサート協議会の地区リーダーを担当し、地域のCSIRTの普及・

啓発を推進するというミッションを担っている。

d）A社ヒアリングから得られた知見

ベンチャー企業の創業期は、本業ビジネスを軌道に乗せることに主眼が置かれ、その他のこと は後回しにされる傾向があるが、組織が小さいうちからスモールスタートでセキュリティ対策を 始めた方が、かかるコストも時間も少なくて済むという指摘は示唆に富んでいる。一方で、外部 からプロフェッショナルを招聘し、ゼロから立ち上げて運用が安定稼働するまで3年の年月がか かったという事実も、念頭に置くべきである。大企業に比べ、ベンチャー企業は人材リソースが 限られていることから、外部リソースをうまく活用しつつ、将来的にはある程度自走できるよう に人材を育成していく、という考え方は参考になる。

セキュリティ人材の育成については、A社に限った話ではなく、2020年東京オリンピック・パ ラリンピック競技大会を迎える日本全体が直面する課題である。情報セキュリティの技術に精通 した人材、さらには企業経営まで理解している人材となると著しい枯渇状態にあると考えられる。

A 社ではこの現状に強い危機感を持ち、子会社によるセキュリティ人材の積極的な採用と育成を 行っている。

また、A 社の場合、地方に拠点を構えていることから、情報セキュリティを通じて地域貢献を 行うという姿勢が特徴的である。

B社（国内、情報通信）

B 社は、エンタープライズ向けソフトウェアの開発・提供を行っている情報通信業の事業者で

25 情報セキュリティの脅威に適切に対処できる人材の発掘・育成を目的として、主に夏休み期間中に実施される

ある。グローバル企業から小規模組織まで幅広い顧客に対してソフトウェア及びクラウドサービ スを提供している。

a）情報セキュリティに関する取り組みの経緯

B 社では、創業当初から情報セキュリティに積極的だったわけではないが、いくつかの経緯を 経て、現在は情報セキュリティに関する様々な取り組みを実施している。情報セキュリティに対 するB社の意識を大きく変えたきっかけとして、二つの要因がある。

一つは、脆弱性情報の公開を巡るトラブルである。B 社では、自社で提供しているソフトウェ アの脆弱性に関する情報を以前より顧客向けに公開していたが、あるとき検出した 3件の脆弱性 のうち、2件を公開し、1件を公開しないという対応を選んだところ、この対応が後になって発覚 し、ある有識者からクレームを受けてしまった。それ以降、B 社では顧客に影響を及ぼす可能性 のある脆弱性については、必ず報告するという方針を貫いている。

もう一つは、ビジネスモデルの転換である。B 社では設置型（オンプレミス型）のソフトウェ アを中心に提供していたが、近年、クラウドサービスにシフトしており、B 社の業務におけるア プリケーションの開発と運用の比重が変化している。設置型のソフトウェアが中心だった頃には、

情報セキュリティの対象は自社の製品と自社ネットワークのみであったが、現在ではそれに加え てクラウドサービスの運用事業者としての責務も含まれるようになっており、かつその重要性は 増している。

B社の経営層は従前よりセキュリティに関する意識は持っていたが、上記のような経緯に加え、

軽微なセキュリティインシデントを目の当たりにする中で、徐々に情報セキュリティに対する意 識を向上させてきた。

b）情報セキュリティの管理体制と情報公開の方針

B社では、2014年に発足した「セキュリティミーティング」という会議体において、情報セキ ュリティに関する企画や問題・課題の解決策について検討している。この会議体自体は意思決定 権限を持っていないが、B社の主要な本部の責任者、海外拠点の責任者が、週1 回（検討材料が 多い場合には週2回）集まって議論する場となっている。この会議体の事務局をB社のCSIRTが 担当している。

セキュリティミーティングには、単独の CISO を置く代わりに、クラウドサービスの事業を推 進する立場の本部長と、その運用に責任を持つ立場の本部長の 2名が参加している。B社が提供 する製品もしくはサービスに情報セキュリティインシデントが発生した場合、この 2名の本部長 はそれぞれ相反する立場になりうる。すなわち、顧客向けの製品・サービスを推し進める側の立 場と、セキュリティ管理も含めたサービスの運用に責任を持つ立場の両方が、一つの会議体に存 在している。

セキュリティミーティングで結論を出す場合、この2名を含む参加者全員の了承を得ることが 必要である。CISO のように情報セキュリティに関する権限を 1 名の人間に集中させるのではな く、敢えて分散させることにより、議論を誘発させ、より良い結論を導き出すのが狙いである。

セキュリティミーティングには各本部の責任者が参加しており、その 2名が意思決定をする上で