CISO vs 経営層「セキュリティインシデントの解決には、倫理観が必要」freee CISO 茂岩 祐樹 | ScanNetSecurity
2025.11.06(木)

CISO vs 経営層「セキュリティインシデントの解決には、倫理観が必要」freee CISO 茂岩 祐樹

 2024 年 3 月 12 日 ~ 3 月 15 日に開催された総合セキュリティカンファレンス「Security Days Spring 2024」にてフリー株式会社 CISO兼VPoE として茂岩 祐樹 氏の登壇があると知り、これまでの軌跡から現在の取り組みまでお伺い出来そうだと思い会場へ足を運んだ。

研修・セミナー・カンファレンス セミナー・イベント
2020 views
facebookLINE
フリー株式会社 CISO兼VPoE 茂岩 祐樹 氏
フリー株式会社 CISO兼VPoE 茂岩 祐樹 氏 全 3 枚 拡大写真

 「“茂岩さん”といえばサイバーセキュリティ界のカッコイイを背負った存在、みんなの兄貴分的存在だ」── と、最初に言い出したのは誰なのかしら、駆けぬけてゆく私のメモリアル ── おそらくScanNet編集部によるものだったような気がする。2024 年 3 月 12 日 ~ 3 月 15 日に開催された総合セキュリティカンファレンス「Security Days Spring 2024」にてフリー株式会社 CISO兼VPoE として茂岩 祐樹 氏の登壇があると知り、これまでの軌跡から現在の取り組みまでお伺い出来そうだと思い会場へ足を運んだ。

● ソフトウェア企業として CSIRT、PSIRT をいち早く組織し、“更に先”を求めたfreee

 freee は「スモールビジネスを世界の主役に」というミッションを掲げる企業だ。日本にある会社法人のうち約 99 %がスモールビジネスというカテゴリに分類されるらしい。スモールビジネスだからといってビッグカンパニーと根本的には変わらない手続きが必要であり、freee がカヴァする業務範囲も多岐に渡る。会計ソフトはもちろんのこと、人事、労務ソフト等、多くのプロダクトを提供している。これらプロダクトのセキュリティを担当しているのが、freee のセキュリティチームだ。在籍人数は、約 20 人。社員数 1000 人に対して 20 人のセキュリティチームというのは、バランスとしては「多い」と言えるだろう。

freeeセキュリティチーム概要

 freee では、2012 年に既に CSIRT は出来上がっていたそうだ。会計ソフトというプロダクトの性質上、取らなければならない認証があったり、法律上のガバナンスを考えなければならない等、事業上の必要性が明確なセキュリティチームだ。一方で技術側のセキュリティ強化も徐々に整理されていき、2021 年頃に PSIRT が設立されたそうだ。「ソフトウェア会社で PSIRT があるのは、まだ、なかなか珍しい」という状況の中、茂岩氏はフリーにジョインすることになる。

 筆者は茂岩さんの DeNA時代のご活躍が記された書籍を拝読して氏を知った入門者なので、freee に 2022 年 4 から移籍しご活躍されていることをこの時まで知らなかった。筆者が所属する法人でも経理業務にて当該SaaS を創業から利用している関係上、セキュリティが堅いのは切実に、有り難い。

 今日話したいこととして、茂岩氏は「セキュリティと経営」をキーワードとして挙げた。セキュリティが経営上重要なことである、ということそのものは、技術者やセキュリティパーソンだけが言っていることではない(当たり前だが)。今や行政も、各省庁に適したセキュリティガイドラインをつくるなどで労力を投入していることからも、既に「重要性」を議論する段階では無いとも言える。「ところが、なかなか実態として伴っていないし、それを推進するのは結構難しい」と、茂岩氏は淡々と述べる。茂岩氏は、Security Days に来ているセキュリティエキスパート達に向けたメッセージとして「どういう視点で経営陣をくどいたり、あるいはその気になってもらうか、いろいろエッセンスを拾っていただければなと思います」と述べた。

● CISO vs 経営、全ては最終総力戦を避けるための事前活動

 セキュリティインシデントで生じた問題を解決するためには、経営リソースを投入し、結果的に総力戦になるケースが多い、と茂岩氏は淡々と述べる。そこで、セキュリティが経営上重要だと説明する時、茂岩氏はランサムウェアを例としてよく取り上げるという。最近は、サイバー被害が発生すると大々的に新聞やテレビ等のニュースで報道されるので、経営者も目にすることが増えていることで、危機感を認識しやすいようだ。

「ランサム被害を受けると、業務が止まります。暗号化されてファイルが取れないので、いろいろな業務が止まりますよね。機会損失とか契約不履行につながったり、機密データが盗まれる。暗号化されたファイルが盗まれてそれが暴露されると、機密保持契約違反になったりもします。個人情報が漏洩してしまうと、件数や内容にもよりますけれども、個人情報保護委員会に報告して公表しなければなりません。海外に事業展開している会社さんは、GDPR等、海外法令対応しなければいけない。製造ラインが止まったり、財務データが消さて決算発表が遅延したりといった、上場企業にとって死活問題になるようなことも多い」

 しかし、「セキュリティは任せた」と言われたときに、「いや、違うんです、これは経営リソースを全部投入してやらなければいけないことです」と言って、経営者に理解してもらい、予算を付けて貰わなければならない。これが CISO の大きな役割の一つだが、しかし、経営者に対して返す刀でコレを言える人がどれだけいるだろうか。これほど著名なセキュリティエキスパートだからこそ、経営者に対して言えるような気もする。

《かのうよしこ(KANO, Yoshiko)》

関連記事

この記事の写真

/

特集

関連リンク

PageTop

アクセスランキング

  1. 飲酒し川崎市路上でGO TO SLEEP、午前3時 警官に起こされ HDD, USB, GIGA端末等の紛失を覚知した中学校教員

    飲酒し川崎市路上でGO TO SLEEP、午前3時 警官に起こされ HDD, USB, GIGA端末等の紛失を覚知した中学校教員

  2. Amazon 人材流出 ついに AWS をダウンさせる

    Amazon 人材流出 ついに AWS をダウンさせる

  3. 医師 サポート詐欺被害

    医師 サポート詐欺被害

  4. フリー株式会社 freee PSIRT レッドチーム演習の記録

    フリー株式会社 freee PSIRT レッドチーム演習の記録

  5. ファイナリスト 13 組発表「日本セキュリティ大賞2025」表彰 11/13

    ファイナリスト 13 組発表「日本セキュリティ大賞2025」表彰 11/13

ランキングをもっと見る
PageTop
ホーム 研修・セミナー・カンファレンス セミナー・イベント 記事
TOP