情報セキュリティ戦略セミナー2024 アフターコロナ時代のセキュリティ対策最前線 Review
フリー

フリーが実践するサイバーリスク対策と
セキュリティー組織のマネジメント手法

会計、人事労務、経費精算領域に加え、SaaSアカウント棚卸しシステム「Bundle by freee」の提供を開始し、 企業経営に欠かせない多彩なサービスをクラウド型プラットフォームとして提供するフリー(freee)。同社は、CSIRT設立やCISO任命などのガバナンス強化に加え、プロダクトの安全を管理するPSIRTも立ち上げるなど、多面的なセキュリティー強化の取り組みを推進している。同社が実践するルールの策定、組織の編成およびセキュリティーマネジメントの勘所とは。

創業3年目にCSIRTを設置し
セキュリティーを強化

フリー株式会社 CISO兼VPoE 茂岩 祐樹氏
フリー株式会社
CISO兼VPoE
茂岩 祐樹
 「スモールビジネスを、世界の主役に。」をミッションに掲げ、会計・人事・労務などのSaaSソリューションを開発・提供するフリー。2012年の創業以来、右肩上がりで成長を続けており、個人事業主や中小企業を中心とする有料課金ユーザーは2023年12月末時点で47万事業所を超えた。

 同社が提供するサービスでは顧客の個人情報や重要情報を多く扱う。万一、それらがランサムウエアなどの攻撃にさらされれば、ビジネスは深刻なダメージを受けるだろう。そのため同社は、セキュリティー高度化への取り組みをビジネス上の優先度の高いものとして位置付けている。例えば、創業3年目の2015年にはCSIRTを設立。2017年にはCISO(最高情報セキュリティー責任者)のポストを設置し、2020年にはPSIRT(Product Security Incident Response Team)も発足した。

 「PSIRTは製品周りのセキュリティー対策を統括する組織です。活動自体は2015年ごろから行っていましたが、それを組織化し、製品ライフサイクルの中にセキュリティー対策を組み入れました」とフリーの茂岩 祐樹氏は説明する。さらに2020年にはセキュリティーやプライバシー保護を経営戦略の一環と捉えるESG経営指標を発表し、社外への情報発信にも努めている。

 「大手自動車メーカーや医療機関などの被害例を挙げるまでもなく、いまやサイバー攻撃は現実のビジネスに大きな影響を及ぼすものとなっています。企業は、セキュリティーを重要な経営課題と捉え、事業を止めないための意思決定の段取りや、それでもやられた場合にどうするかなどを含めて考えておくべきです」と茂岩氏は指摘する。

インシデントをストーリーで考えると
必要な対策が見える

 対策推進に当たっては、経営層とセキュリティー組織の意思疎通が不可欠だ。セキュリティーの重要性が経営層に認知されないと、予算が確保できず、事故防止のための統制の実施が困難になる。また、事業推進部門とセキュリティー組織の間に対立が生じる可能性もあるだろう。そうなると、全社の足並みをそろえた対策が困難になる。

 経営層や事業部門にセキュリティーの重要性を理解・納得してもらうために重要なことは何か。「1つはCISOなどのセキュリティーを掌握する人材を配備し、適切な権限を与えること。もう1つは自社におけるインシデントの『ストーリー』を考えることです」と茂岩氏は言う。

 インシデントで多いのは情報漏洩、システム障害や金銭被害などだが、例えば工場を持つ企業であれば、生産ラインの停止やサプライチェーンへの影響なども考える必要がある。医療機関であれば人命に関わるリスクを低減しなければならないだろう。このように、自社の事業内容に即したストーリーを考えることで、リスクと必要な対策を明確化できるという。

 「個々の対策を実施すること自体はそれほど難しくありません。ただ、安全が保たれた状態を維持することは非常に困難です。抜け・漏れを低減する上では、対応をシステム化することも視野に入れるべきです」と茂岩氏は述べる。

 増え続けるSaaSアカウントの管理はその一例だ。退職者や異動した社員のアカウントが残ってしまうと、それが不正アクセスに悪用される可能性がある。そこでフリーは、このようなリスクを抑えるためのツールを提供している。それがセキュリティー健康診断システム「Bundle by freee」だ(図1)。SaaSの利用状況をチェックし、アカウントを自動で発行・削除する。これにより、情報漏洩の一因になるシャドーアカウント対策を支援する。

CSIRTの構築は
スモールスタートがポイント

 また、経営と一体化したセキュリティー対策を全社一丸で進める上では、それを担う専門組織を編成することも欠かせない。これについて茂岩氏は、自らの経験から、まずCSIRTを構築することを推奨する。CSIRTは参考になるモデルが多くあるほか、日本シーサート協議会(NCA)が様々な企業の関連情報の共有・連携を行っているため、自社に合う組織の形をイメージしやすいからだ。

 「具体的なステップとしては、数名のコア人材をアサインしてスモールスタートすることをお勧めします。法律やシステムの知識も必要になるため、最初は複数部門の担当者が連動する仮想的なチームとしておき、徐々に組織化していくのです」(茂岩氏)。一定の成果が出るまでに3年程度はかかるので、これを踏まえて予算を組むことも重要だ。

 専門性を補う方法として、外部ベンダーとの連携も積極的に行う。ただ、丸投げは禁物だ。特に、自社のコアコンピタンスとセキュリティーポリシーの策定は社内文化を知る人材が責任を持って行うことが肝心になる。その上で、自社の方針やポリシーに基づき、適切に外部ベンダーをコントロールするのである。

 なお、異なる業態や複数の事業を展開している企業の場合、全社一律のポリシーがマッチしないこともあるだろう。その場合の手立てとして同社は「2階建てポリシー」を提案する。「全社共通のポリシーをベースラインとして、その上に事業部門独自のポリシーを設定するイメージです」と茂岩氏は紹介する(図2)。  それでも想定外の事象は発生するため、法令や技術進化、環境変化を反映しながら、ポリシーは随時見直すことが肝心だ。その際は、守りを固めつつ、現場の不便さや業務負荷を抑えるバランス解を探ることが大切になる。取り組みのヒントになるのが「リスクベースアプローチ」だ。

 「これは、組織が内包するリスクを可視化して共有し、そのリスクが顕在化した場合の影響を最小化する対応策を講じるアプローチです。どのリスクを、どのような施策で低減するか。リスクテイク可能なラインを議論し合意しておくことで、組織としてのバランス解を実現できます」と茂岩氏は話す。

 いずれにせよ、ポリシーの策定や見直しのプロセスで大切なのは、セキュリティー組織の側から事業部門側へ働きかけることである。すなわちセキュリティー組織は「自律型」であるべきなのだ。これを実現するには、各部門の事業責任者とCISOが日頃からコミュニケーションを取っておくことが欠かせない。「それが互いの信頼関係を築き、組織全体の対応力を高めることにもつながっていくのです」と茂岩氏は強調する。

 サイバー攻撃はますます多様化・巧妙化している。未然に防ぐ対策の強化はもちろんのこと、ビジネスの視点で、被害の最小化と説明責任を果たすための体制構築も不可欠だ。フリーが実践するアプローチは、セキュリティーと経営の一体化を進めるための1つの指針になるだろう。
関連リンク
お問い合わせ
フリー株式会社 URL:https://bundle.jp/contact