脅威から企業のサイバーセキュリティを守っているのは、セキュリティベンダーやセキュリティ専門会社だけではありません。企業の中で外部からの攻撃を守っている立場の人々もたくさん存在します。特に外部向けのサービス事業を提供する企業の内部には、様々な攻撃対策を練り、リリース前のサービスに脆弱性がないのかのチェックを行うなど、多様なセキュリティ対策に取り組んでいるセキュリティエンジニアが多数存在します。

今回は、サイバーエージェントの中でセキュリティ対策に取り組んでいるITセキュリティ戦略室 CyberAgent CSIRTの野渡 志浩氏、システムセキュリティ推進グループ 岡島 麗奈さんの二人に、企業の内部でセキュリティ対策を行っている実態について聞きました(聞き手は辻 伸弘氏)。

ベテランと担当歴1年の師弟コンビ

辻氏 : 今回は、企業の中でセキュリティ対策を担当する「中の人」に来て頂きました。しかも、二人で!二人同時登場は初めてなんですが、お二人は師匠と弟子みたいな関係ですか?

野渡氏 : そんな感じですかね。

岡島さん : (頷く)

サイバーエージェント ITセキュリティ戦略室 CyberAgent CSIRT 野渡 志浩氏(左)と同社 システムセキュリティ推進グループ 岡島 麗奈さん

辻氏 : それでは師匠と弟子のお二人に(笑)、それぞれどんなお仕事をされているのかをうかがいたいのですが。

野渡氏 : 私はAmebaなどのプロダクトのセキュリティを担当していたのですが、最近では徐々に仕事の幅が広がって、情報システム部門と一緒に社内のセキュリティ対策も担当するようになっています。

辻氏 : サイバーエージェントの場合は、プロダクトといっても「パッケージングされたボックス」で提供されているものではなく、サービスを指すんでしょうか?

野渡氏 : そうです。アメーバブログやアメーバピグなどAmebaで提供しているサービスをはじめ、ゲームタイトルなどのセキュリティを担当しています。そこから社内向けセキュリティにまで及ぶようになった理由は、アンチウィルスソフトでは検出が難しいマルウェアの出現など、より専門的な技術を要する対策が必要になってきたことを受け、私たちが加わるようになりました。

岡島さん : 私はちょうど1年前にセキュリティチームに加わりました。新卒向けのセキュリティ研修、脆弱性診断の調整などを担当しています。

辻氏 : ネットワーク周りも脆弱性診断の対象ですか?

岡島さん : 最近は対象にしています。

辻氏 : 実はこの連載で中の人が登場するのは初めてです。これまでは外部の企業に対するセキュリティ対策を担当している人のみでした。同じセキュリティ担当といっても、外向けにやっている人と、企業の中でセキュリティ対策に取り組んでいる人とでは色々な違いがあると思います。今日は是非、その辺のお話しをうかがえればと思います。

実はかなり前から、是非、野渡さんにはこの連載に出て欲しいと思っていました。以前、お話しさせてもらった時に仰っていたことに感銘を受けたからです。「セキュリティ担当としてやっていく中で、一番大事なものはなんですか?」と僕が質問した時、野渡さんは、「ユーザーです」と即答されたんです。

僕はもっとテクニカルに「サービスのソースコードといった知財を盗まれないように守りたい」とか、そういう答えが返ってくると思っていました。でも、野渡さんは、「子供さんがなけなしのお小遣いで買ってくれたコンテンツが奪われるようなことがあってはいけない」って言われて。僕はもうそれを聞いて、なんて格好いいんだ!と感動しました!その思いは今も変わりませんか?

野渡氏 : そうですね、それは変わりません。辻さんがおっしゃる通り、ソースコードを含む知財は会社として重要な情報資産です。ですが、一番大切なものは何かと問われれば、それはユーザーさんからお預かりした情報であり、積み重ねてきた信頼だと思っています。