「情報」は「ヒト」「モノ」「カネ」と並び、第4の経営資源と呼ばれる程、重要視されている要素の一つになります。

bellFaceの導入数も増え、よりお客様に安心してご利用いただくために、ベルフェイスではセキュリティをより強化すべく「IT統括チーム」と「セキュリティチーム」が新たに設立されました。

今回は、セキュリティのプロフェッショナルである、コーポレートグループ　IT統制チーム マネージャーの左古 悠志（さこ とおし）さんとセキュリティチーム　マネージャーの 山本 裕介（やまもと ゆうすけ）さんに”情報セキュリティの重要性”について、お話を伺いました。

 

ベルフェイス入社までの豊富なキャリアと現在の連携業務

ーーベルフェイスに入社する前までのキャリアについて教えてください。

山本：大学でネットワークを専攻し、新卒でPOSの開発プログラマーとしてキャリアをスタートしました。その後、情シス部門、フロントSEを経て、IIJでクラウドサービスの企画、設計、構築、運用を長年携わってきました。そして、DMM.comでセキュリティ部の部長を約3年間経験し、LINEでのセキュリティ戦略、リスク管理、組織開発の担当などを経て、ベルフェイスにジョインしました。

左古：新卒で入った会社のSIerで、プログラムの開発を担当した後、ヤフーのショッピング開発担当やプロジェクトの開発責任者、セキュリティの責任者、内部監査部門でシステム監査のリーダーを経験し、ニトリを経てベルフェイスにジョインしました。

 ーーベルフェイスでの業務内容と、セキュリティに関する新の体制について教えてください。

左古：現在の体制では、山本さんと私がそれぞれセキュリティの責任者と監査の責任者として、全社の体制の中で動いていくという役割分担をしています。

まず、私が所属するIT統制チームは、セキュリティにおいて一番上の決定機関である情報セキュリティ委員会の運営、情報セキュリティのルール群の策定、それらが守られているかの監査を行っていきます。

現時点ではベルフェイスの情報資産を「秘密」「社外秘」「公開」の三段階に分類し、守るべき情報を秘密に、共有すべき情報を社外秘として定義しました。
具体的には、「秘密」は山本さんが確認したうえで委員長に承認してもらう。「社外秘」情報ならば各グループのGMに情報管理責任者になっていただいて、GMに決定権を持っていただく。分からないときには山本さんがサポート役になるという役割分担になっています。

山本：私は、セキュリティチームで、IT統制チームが作成した情報セキュリティルールに基づいてセキュリティ対策を打ち、従業員に理解してもらうためのコンテンツ作成及び社内外の情報の取り扱いのチェックを行っています。

ルール作成の過程では、IT統制チームとの連携、フィードバックを行い情報セキュリティルールを改定していくことをお願いしたり、連携して業務委託の方の会社とやり取りすることもあったりと、多くの面で密な連携を行っています。

 

なぜセキュリティ強化が必要なのか？トレンドから見るベルフェイスの課題

ーー山本さん、左古さんが入社されてからこの新体制が確立しましたが、なぜベルフェイスにセキュリティ強化が必要なのかお聞かせください。

左古： 1点目はサービスからの情報漏洩対策です。bellFaceをご利用いただく方々が増えてきているなかで、悪意のある外部からの攻撃を受けるリスクから重要資産を守ることが重要です。

2点目は、金融機関や官公庁公共系、大企業などの高いセキュリティ基準に対し、bellFaceを導入するにあたって同等の基準を求めることが増えてきているためです。

そのために、今後、社内では様々なルールを策定し、遵守をお願いしていきます。

この2点の理由で網羅的・体系的にセキュリティを整えていくことが必要になるので、専門家である山本さんや私が準備を行い、急速に体制を整え始めているというところですね。

山本：今回のコロナ禍での商談ツールとしてbellFaceはすごく認知されてきましたが、その一方でセキュリティの面などを不安に思われるお客様もいらっしゃいます。

今の時代、どんなにいい機能を提供していてもお客様から預かっている情報を漏洩してしまったら、一瞬でそのプロダクトも運営会社も信用がなくなってしまいます。

また、ベルフェイスでは「エンタープライズの案件もしっかり受注していく」というビジネスプランニングもあるので、大企業が求めるセキュリティをベルフェイス側でもしっかり実現しないといけない。そのためにルールや対策を作り上げることが我々に課せられた役割だと思っています。

ーーセキュリティのトレンドや最近のセキュリティ問題について、見解とやるべきことを伺いたいです。

山本：セキュリティってどんなに対策を打っても、100％ということは不可能。だからこそ、対策や守りの状況は作りながらも、実際入ってこられたときに検知できる仕組みをきちんと用意しなければいけないと考えています。

例え話ですが、住んでいる家に、全く見知らぬ人が入ってきたら嫌ですよね。センサーでアラートが鳴るとかが、まさに「検知」だと思うんです。「本人である」ということは、合言葉、いわゆるIDとパスワードで証明できます。

さらに生体データも使った仕組みになれば、「本人である」ことが明確になり、より安全に生活ができる。二段階認証や指紋等の生体で認証する「二要素認証」も安心したものに繋がるので、セキュリティは安心安全な日常生活にも必要な要素であると思っていただけると、従業員の皆さんにも理解してもらいやすいと考えています。

左古：実は、機密情報の漏洩の1位は、標的型攻撃で、ウイルス付きのメールが送られてきてPC乗っ取られるというのが古くからずっと続いているんですよね。それを防ぐためには、すぐネットワークを遮断できたり、検知できる仕組みを整えて、最終的に情報を抜かれないことが大切だと思うんです。

そのために、二段階認証や設定において、若干不便になるところはあるのですが、最終的には守る手段であることへの理解をいただいき、社内での情報セキュリティへの認識をより強固なものにしていきたいです。

あとは、「従業員の持ち出し（故意）」も漏洩の原因として多く見られます。昨年他社では、専門業者の社員が処理の過程でハードディスクを抜き取って売ったという事件もありました。

人間というのは弱い生き物なので、お金に困ったときにやれる環境があるとやってしまうという事実もあります。だからこそ、出来心でやらせないように我々が防御する仕組みを作っておく必要があると思っています。

こういった情報漏えいは大きな会社だと生き残れる場合が多いのですが、今のベルフェイスは1回のミスが致命的になる可能性があります。だからこそ、安心安全な業務環境を作っていくということが、我々に課せられた役割だと考えます。

 

現場と上層部、異なる視点からセキュリティ意識を高めていく

ーー今後どのような形で社内のセキュリティへの意識を高めていく予定ですか？

山本：私の立場では、トップダウンではなくボトムアップで現場で身近な例などを共有しながら、地道に意識を高めていく施策が必要だと考えています。

急には変わらないと思うので、5年ぐらいの時間はかかるかと思いますが、ベルフェイスにいたらセキュリティの理解がバッチリな従業員だなと他の会社の方々になっているようにすることが理想です。

左古：山本さんのおっしゃる通り、ある日突然に全てができるわけじゃないので、少しずつでも対策が身についてきて、一人ひとりのセキュリティレベル上がってくるのを感じられるようになってくれればいいかなと。そのために、私は監査的アプローチとして、何ができてて何ができてないのかを可視化し、取締役やGMの方々も含め、重要な情報を多く持っている上位層の方々にちゃんとセキュリティのことを知っていただいた上で自信を持って普及活動をしてもらい、「上の人が守っているんだから自分たちも」という雰囲気作りをやっていきたいと考えています。