ヒューマンリソース事業やメディア事業など、数多くのサービスを展開するマイナビ。同社のシステム関連業務を担うデジタルテクノロジー戦略本部では、2022年よりフューチャー株式会社が提供する脆弱性管理システム「FutureVuls」を導入し、社内にある膨大な数のシステムやソフトウェアの脆弱性を可視化し、対応の優先順位づけを行っています。これによる効果や導入の意義について、多くの企業で課題となっている「IT人材の枯渇」対策を含め、関係者の方々に伺いました。

  • 集合写真

統合によるメリットを重視し、デジタルテクノロジー戦略本部が立ち上がる

──マイナビの皆さんが所属されているデジタルテクノロジー戦略本部は2022年に設立された組織とのことですが、立ち上げの背景について教えてください。

マイナビ 小浜:
デジタルテクノロジー戦略本部が設立される前は、システム統括本部という部署が情報システムを担当していました。ただ、それとは別に各事業部内にもシステム部署があり、それぞれがサービスの開発や運用、セキュリティ対策を行っていました。システム統括本部は、あくまでも各事業部のシステム部署のまとめ役に過ぎませんでした。

もちろん事業部ごとにシステム部署を設けることは、開発・運用のサイクルを早く回せるという点でメリットを見出すことができます。しかし、セキュリティやコストといったものに関しては、全社的なノウハウの集約が必要です。この集約によるメリットを重視したとき、「やはりシステム部署を統合すべきであろう」という判断の下、2022年にデジタルテクノロジー戦略本部が設立されました。当初は約300人のメンバーからスタートしましたが、現在では各事業部との統合が進み、約500人規模の組織になっています。

──セキュリティ対策の組織体制と業務について教えてください。

マイナビ 下別府:
私たちが所属するサイバーセキュリティ課は、現在5人のメンバーで運営しています。主な業務はインシデントレスポンスやセキュリティ企画の立案、推進のほか、「Mynavi-CSIRT」という組織横断のセキュリティチームの事務局も担っています。

  • 株式会社マイナビ デジタルテクノロジー戦略本部副部長 兼 デジタルプラットフォーム統括本部長 小浜 立郎

    株式会社マイナビ デジタルテクノロジー戦略本部副部長 兼 デジタルプラットフォーム統括本部長 小浜 立郎

会社にとって事業が「家」ならセキュリティ対策は「土地」

──こうしたマイナビの動きからも、セキュリティに対する意識の高まりを感じます。日本企業のセキュリティ対策の現状や課題について、フューチャーの林さんはどのように捉えていますか?

フューチャー 林 氏:
マイナビで起きたことではありませんが、2015年にあった不正アクセスによる機密情報の流出が大きなニュースとなりました。これをきっかけに日本企業におけるサイバーセキュリティへの意識は高まってきたように思います。ただ、あれから9年たった現在でもまだまだセキュリティ意識が低いままの企業がたくさんあるのも事実です。高い意識を持ってセキュリティ対策を行っている企業と、そうでない企業のギャップが広がっているのが日本の現状だと感じています。

一方で、サイバー攻撃はどんどん巧妙化しています。1年近くも攻撃を受けたことに気づけていない例もありますし、以前は攻撃されることがなかったビルの設備や製造業の工場なども攻撃対象になるなど、対策が必要な範囲も広がってきています。

しかし、守るべき範囲は拡大しているのに、セキュリティ人材は不足する一方……、という課題も多くの企業で明確になっています。こうした状況で重要なのは、システムなどを使って自動化できる範囲を増やし、人がやらなければならない対応についてもいかに優先順位をつけてリソースを投下するかではないでしょうか。

  • フューチャー株式会社 Cyber Security Innovation Group 事業責任者 兼 Vulsディレクター 林 優二郎 氏

    フューチャー株式会社 Cyber Security Innovation Group 事業責任者 兼 Vulsディレクター 林 優二郎 氏

──小浜さんは経営の視点から、セキュリティ対策の重要性をどう考えていますか。

マイナビ 小浜:
当社にとってセキュリティ対策は最重要だと考えています。というのも、マイナビはヒューマンリソース系のサービスが事業の柱であり、非常に多くの個人情報をお預かりしているからです。ユーザーもマイナビという会社・サービスを信頼して個人情報を預けてくださっているわけですから、そこがしっかり管理されていないと事業が成り立たなくなってしまいます。デジタルテクノロジー戦略本部の指針のなかにある「安全安心なサービス」を届けるために、セキュリティ対策を重視する方針が明記されています。

これは私の持論になりますが、会社にとって事業が「家」だとするなら、セキュリティ対策は「土地」です。土台となる土地がしっかりしていないと、家は建てられません。

──デジタルテクノロジー戦略本部が設立される以前、セキュリティ対策に何か課題があったのでしょうか。

マイナビ 小浜:
各事業部のシステム部署がセキュリティ対策についても担当していました。しかしそれだと、事業部ごとにどうしてもセキュリティ対策の差が生まれてしまいます。意識の高低はもちろん、リソースも違います。当然、システム統括本部もヘルプには入っていましたが、あくまでインシデントが起きたときの事後サポートがほとんどでした。

FutureVulsの導入で膨大なシステムの脆弱性を可視化

──そこでデジタルテクノロジー戦略本部が設立され、セキュリティ対策を一元的に行えるようにしたのですね。現在、脆弱性管理についてはFutureVulsを導入されているそうですが、導入の経緯について教えてください。

マイナビ 下別府:
以前はシステム統括本部から各事業部のシステムの状況があまり見えていない状況でした。それではまずいということで、可視化のためのシステム導入を検討したのです。

その際、候補にあがったのがFutureVulsでした。最初は脆弱性管理というよりも、「いまマイナビにどんなシステムやソフトウェアがあるのか」を洗い出すことが目的でした。それがわからないと、抱えているセキュリティリスクも見えないからです。

──FutureVulsは脆弱性の可視化のみならず、優先順位づけを専門家でなくても簡単に行えるシステムです。その導入効果はいかがでしたか。

マイナビ 下別府:
運用しているシステムが多いということは、それだけソフトウェアも膨大な数があるわけで、なかには比較的ニッチなソフトが使われていたりもします。そんな状況で、サイバーセキュリティ課の5人だけで脆弱性を可視化するのは難しかったでしょう。FutureVulsが搭載している米国政府推奨の自動トリアージエンジン「SSVC」にはとても助けられました。

──FutureVulsによる脆弱性管理の効率化が組織のセキュリティ文化やポリシーに与えた影響はありますか。

マイナビ 下別府:
システム運用担当者に対して優先順位の高いものから対応するよう連絡できるようになったり、何に気をつけるべきかがクリアになったりしたことは良い影響だと思います。

マイナビ 官野:
システム担当者とのセキュリティに関するコミュニケーションも増えましたね。脆弱性に対する質問が来ることも増えましたし、セキュリティ意識が高まってきたと感じています。そうやって相談を受けたときも、SSVCによる優先順位づけが役立っています。

  • 株式会社マイナビ デジタルテクノロジー戦略本部 IT企画推進統括部 情報セキュリティ・ガバナンス部 サイバーセキュリティ課 官野 桃子

    株式会社マイナビ デジタルテクノロジー戦略本部 IT企画推進統括部 情報セキュリティ・ガバナンス部
    サイバーセキュリティ課 官野 桃子

──FutureVuls導入におけるフューチャーの支援についてはどんな印象を持たれましたか。

マイナビ 下別府:
導入の際はコンサル担当者の方が丁寧にレクチャーしてくださったり、SSVC機能についてもこちらの意見を聞いて実装していただいたりと、とても助けられました。また、社内ガイドラインを作成したときも担当者の方に内容をチェックしていただくなど、多大なご支援をいただいたと思っています。

プロダクトの話だけでなく「脆弱性管理とはどうあるべきか」といった考え方についても、一般論だけでなく実務を踏まえてお話できるのはありがたかったですね。

社内外で人材の発掘を進め、セキュリティ対策をより強固に

──どの企業でもIT人材の枯渇が課題になっていますが、マイナビとして今後どのような体制をつくり、サイバーセキュリティを向上させていくお考えでしょうか。

マイナビ 下別府:
たしかにIT、それもサイバーセキュリティ人材の採用は簡単ではありません。とはいえ、FutureVulsをはじめとするマイナビとしての取り組みについてしっかりと情報発信し、興味を持っていただける人材を探したいと思っています。また、社内でもセキュリティに興味のある人にアプローチするなど、社内外で採用と教育を進めたいと考えています。

  • 株式会社マイナビ デジタルテクノロジー戦略本部 IT企画推進統括部 情報セキュリティ・ガバナンス部 下別府 遼

    株式会社マイナビ デジタルテクノロジー戦略本部 IT企画推進統括部 情報セキュリティ・ガバナンス部 下別府 遼

マイナビ 小浜:
今後も当社は新しい事業を始めたり、新しい技術を導入したりするでしょう。しかし、どんな事業や技術であってもサイバーセキュリティが根幹にあることは変わりません。

──フューチャーから見て、マイナビのセキュリティ対策の印象はいかがですか。

フューチャー 林 氏:
私たちはセキュリティ戦略策定から開発・実装まで一気通貫のコンサルティングサービスを行っています。そのなかで多くの企業を見てきましたが、マイナビの良いところは、経営層と現場の両方に「会社にとってセキュリティ対策が最重要である」という意識が浸透していることです。これだけ高いセキュリティ意識が浸透している会社はなかなかありません。だからこそいろいろなチャレンジができるし、事業の幅を広げることができるのだと思います。

──最後に、今後の抱負とセキュリティ対策をはじめ業務で大切にしていることを教えてください。

マイナビ 小浜:
セキュリティの話だけでなく何でもそうですが、やはり可視化するところから対策が始まると思います。見えていないと、何がリスクなのかもわからないし、場合によっては経営にもブレーキが掛かってしまいます。だからこそ、可視化ツールの導入が対策の一丁目一番地だと考えています。

マイナビ 下別府:
私はセキュリティとはサービスにとっての「付加価値」だと思っています。セキュリティ対策費は単なるランニングコストではなく、サービスの品質を上げるために必要なコストだと考えれば、周囲にも理解してもらえると確信しています。

マイナビ 官野:
脆弱性管理を全部人力で対応していたら、 “抜けもれ”も出ると思います。FutureVulsでトリアージを自動化できたことで、人力でやるべき業務に手を回せるようになりました。何かを導入する際は、「どのくらいの人力が必要な業務に回せるのか」、リーダーの方々にはそんな視点を持っていただけるとうれしいですね。

フューチャー林 氏:
フューチャーではFutureVulsのような脆弱性管理サービスだけでなく、経営を支えるセキュリティコンサルティングも提供しています。先進的な取り組みをされているマイナビの事例などを通じて、多くの企業の皆さんにセキュリティの重要性を知っていただき、企業の「土台」であるセキュリティ強化をサポートしていきたいと思っています。もちろんFutureVulsの機能拡充にも取り組んでいきます。そのためにもどんどん要望をいただいて、取り入れていきたいですね。これからもお客様と相互に高め合える関係を作っていきたいです!

  • 集合写真2

関連リンク

FutureVuls ──「SSVC」搭載の脆弱性管理クラウド
https://vuls.biz/

[PR]提供:フューチャー