株式会社サイバーエージェントは3月24日、同社の主席エンジニアによる対談「『免役』のようなセキュリティチームを作りたい」を同社公式オウンドメディアに掲載した。システムセキュリティ推進グループマネージャーとして「P-Sec Team」を統括する野渡志浩氏と、同チームメンバーの一員で子会社CAM、タップルのCTOを務める船ヶ山慶氏が、セキュリティ対策について語っている。オウンドメディアの記事だがニュースとしての価値があると判断し紹介する。
同社では、情報セキュリティに関わるリスクに迅速に対応するため、執行役員を含む各事業、情報システム、法務、広報、内部監査、セキュリティ推進からなる、グループ横断の「ITセキュリティ戦略室(CyberAgent CSIRT)」を組織している。また、情報セキュリティインシデントの予防と円滑な対応を目的に、セキュリティ実務経験者による専任組織「システムセキュリティ推進グループ」を設置している。
同社で2021年に発足したプロダクトセキュリティマネジメントの強化を目的とした「P-Sec Team」では、各管轄のセキュリティ対策に関わる責任者を設置し、重大インシデント対応の際に各プロダクトの開発担当との連携を図っている。
同社ではこれまで、インシデント発生時は該当するプロダクトに対し個別のセキュリティ措置を講じるという対応をしてきたが、「Apache Log4jの脆弱性」や「医療機関を狙ったランサムウェア」など、セキュリティインシデントがプロダクトやサービスだけでなく社会インフラにまで重大な影響を与えている現状を鑑み、「サイバーエージェントグループの組織力を活かした予防活動」も含めて取り組むよう、「対策」から「予防」にシフトしている。
同社で取り組む「予防」では、「何を、何から守るのか?」が重要で、そのため各事業がどんな情報を保持し、どんなセキュリティリスクを内包しているのかを正確に把握しておく必要があるとしている。同社では予防策の一つとして、各管轄のセキュリティ責任者と連携し個人情報を含めたパーソナルデータの扱いやセキュリティ対応について、プロダクトごとに可視化を進めた「プロダクトデータベース」の作成を挙げている。
同社では社内にセキュリティ専門組織を構築し、自社で対策を行っているが、その最大のメリットとして、「各プロダクトのビジネス的なニーズを汲み取り、絶妙なラインでセキュリティ対策を提案し、実行してくれること」を挙げている。
一般的には、セキュリティ対策という観点で課された役割を果たすために、事業状況を加味せずに一貫して厳しいセキュリティ対策を講じるよう要望されているが、同社ではむしろ、システムセキュリティ推進グループに相談した方が、プロダクトにとってメリットがある状態になる状態を自然に作り出せていることが、社内にセキュリティ専門組織を構築している最大のメリットとしている。
同社では「プロダクトにとってのメリット」を重視し、セキュリティを強化することで、事業にとってメリットになることが事業の成功につながるよう意識しているという。
