セキュリティリスクに対して先手を打つ「攻め」の姿勢と起こってしまったインシデントに対して素早く対応する「守り」の姿勢。多くのセキュリティチームが、この二つを兼ね備えています。

エクサウィザーズも「攻め」と「守り」どちらの取り組みも行っていますが、AIをサービスの核とする上でデータに対する倫理感も欠かせません。

求人情報だけでは分からない、一緒に働きたい人についてメンバーに聞く企画「#Talk Wiz」。

今回はエクサウィザーズ独自のセキュリティ規格をつくり、事業や組織を支える情報セキュリティチームの瀬戸さんと黒木さんが登場します。

メンバー、クライアント、ユーザー、三方よしのセキュリティ体制をAIを使って構築しようと試みる情報セキュリティチームの取り組みについて伺いました。

情報資産の洗い出し、ルールづくり…カバー範囲が広い情報セキュリティチームの業務

ーまず、お二人の入社動機と、エクサウィザーズ情報セキュリティチームの概要について教えてください。

瀬戸：僕が入社したのは2017年。エクサインテリジェンスとデジタルセンセーションが統合し、今のエクサウィザーズになる少し前です。前職のSIerで「自分でプログラムを書く仕事がしたい」と考えていたとき、知り合いづてにエクサウィザーズを紹介され、転職しました。

当初はフルスタックエンジニアとして、人材支援サービスである「HR君」のデータ基盤を開発に携わっていました。徐々にインフラ業務の一環として、黒木さんとともにアカウント管理をするようになり、「情報セキュリティ業務もできるんじゃないか」と、今の業務も担当し始めたのです。

黒木：僕も瀬戸さんと同じく、統合前から働いていました。学生時代からパソコンの自作が好きで、前職でも社内ネットワーク整備やシステム・ライセンス管理をしていたんです。エクサウィザーズでもインフラエンジニアとして働きつつ、セキュリティ業務のほか、ここ数ヶ月はフルスタックエンジニアとしてiOSアプリ/サーバサイド開発に携わっています。

瀬戸：エクサウィザーズの情報セキュリティチームは、プロダクト基盤部に所属するインフラグループのなかにあります。インフラチームのメンバーは全部で5人います。皆、セキュリティ業務以外も兼任して携わっています。

主な業務内容は情報資産の洗い出しやリスクアセスメント対応、アンチウイルスソフトやMDMといったシステム導入・運営。そのほか、社内でのセキュリティに関するルールづくりもしています。

（瀬戸さん）

黒木：事業やクライアントに関するデータだけでなく、社用PCといった物理的なものもちゃんと守っていかなくちゃいけない。総務や人事チームとも連携し、情報資産を保護するためにどんなソリューションが適切かを日々考えています。

ーエクサウィザーズでは、AIを核としたソリューションの提供やサービスの開発をしています。AI企業だからこそセキュリティ面で気をつけていることはありますか？

瀬戸：倫理を損なわないようにすることです。

AIモデルの精度を上げる手段の一つがデータの数や種類を多く集めること。モデルの精度が上がったほうがサービスの質はよくなるし、より売れやすくなるでしょう。しかし、それがユーザーのプライバシーを侵害するものであることは当然許されません。

そのため、ユーザーやクライアントに同意の取ったデータのみを取得しているかをしっかりとチェックするようにしています。

スタートアップでありながら、独自のセキュリティ規格をつくった理由

ー2018年11月に、ISMS（ISO/IEC 27001（JIS Q 27001））認証も受けた独自のセキュリティ規格「情報セキュリティ基本方針」を制作・発表していますよね。ISMSの認証は、外から見た際にセキュリティの安全度を示す指標となる一方、多くのルールが適用されるため、スタートアップにおける機動力とのトレードオフの部分もあるかと思います。導入に至った背景を教えてください。

瀬戸：エクサウィザーズは規模が小さなときから、大企業のクライアントが多く、契約のたびに細かくセキュリティのチェックをしていました。そうすると、どうしても契約開始までのスピードが遅くなってしまう。セキュリティチェックの多くは、国際的なISMSの基準を満たしているかを確認されます。であれば、ISMS認証を受けた方が良いのでは、と思ったんです。

ー認証取得のための規格をパッケージで提供している企業の研修を受けた方が取得までの期間は短いと思いますが、なぜ独自の規格で作ったのでしょうか？

瀬戸：エクサウィザーズは介護、医療、金融、HR、ロボットなど多様な事業展開をしているため求められるセキュリティ規格の幅が広い。パッケージで提供されているセキュリティ規格にあるルールでは、エクサウィザーズの事業で求められる柔軟さとスピードとの相性が悪かったんです。そのため、柔軟性と堅牢性のギリギリラインを探しながら、1年かけて独自のセキュリティ規格をつくりました。

黒木：作り上げる過程で大変だったのは、各所のアセスメントや内部監査。いろいろな情報資産があり、お客さまがいる。そのすべてを把握し、どう対策を考えるかは慎重に時間をかけて進めました。

また、情報セキュリティチームだけでなく、メンバーのセキュリティに対する意識の底上げも行いました。

(黒木さん)

ーどんな取り組みを行ったのでしょうか？

黒木：情報セキュリティチームからの情報提供の機会を増やしました。例えば、定期的に全社向けの定例会議で活動や方針を紹介したり、勉強会を開催しました。直接セキュリティの大切さを伝えるために、京都や浜松の拠点へも足を運びました。こうして、みなさんの理解もあって無事にISMSの認証を取得。証明書がオフィスに届いたときは「認められたんだ…」と感動しましたね。

瀬戸：認証後もセキュリティへの意識を底上げする施策を続けています。セキュリティに関する情報を配信する「INCIDENT NEWS（インシデントニュース）」もその一つです。これは、インシデントを起こさないために今後気をつけて欲しいことを発信するものです。全社的にセキュリティへの理解を深め、不必要にスピードダウンしないための施策は今後もどんどん取り組んでいきたいですね。

情報セキュリティチームが目指したい“攻め”の姿勢

ー今後さらにメンバーやクライアントが増えていった後、どのようなセキュリティ体制にしたいと考えていますか？

黒木：他メンバーから「この人たちに聞けばすぐに解決してくれそう」と思われる安心感をつくりたいですね。現在はインフラ業務と兼務で情報セキュリティを担当していますが、専任のメンバーを採用して、解決の速度を上げていきたいです。

瀬戸：社内からは「情報セキュリティチームに頼れば安全だ」、お客さまからは「エクサウィザーズであれば、信頼して一緒に仕事ができる」と思われるチームになりたいです。そのために、顕在課題に対応するだけでなく、潜在課題を発見し対策を講じる攻めの姿勢を忘れないようにしたいですね。

ー何か“攻め”の姿勢で取り組んでいる施策はありますか？

黒木：クラウド系セキュリティシステムの導入ですね。ここは、他企業に比べて「攻めている」と捉えられるところでもあります。

ークラウドが“攻め”と言われる理由は？

瀬戸：日本の大手企業ではクラウドベースのセキュリティシステム自体、導入している企業がまだ少ないんです。エクサウィザーズでも、以前まではオンプレミスでセキュリティ関連システムを導入・運用していましたが、そうするとファイルサーバーが1つしかなく、不便な部分も。そこで、より多くのメンバーが使えるようにクラウド型のセキュリティシステムを導入を進めています。

黒木：僕らの目標は「ゼロトラストモデル」のセキュリティの構築です。ゼロトラストモデルとは、外部からの攻撃を前提として構築された、堅牢なセキュリティシステム。今後リモートワークが当たり前になったり、クラウドサービスの導入を進める上で、このモデルは必須だと考えています。

例えば、今取り組んでいるのは認証体系を整え、複数のアカウントを作らなくても自社で使っているサービス全てにログインできるシステム作り。クラウドベースではアカウントやパスワードの管理が大変になりやすいですが、うまく連携させ、認証を通せばログインできるように整えているところです。これも、スピード感を落とさないための施策ですね。

ーちなみに、AIを活用した”攻め”の施策で何か取り組んでいる、または取り組もうとしていることはありますか？

瀬戸：クライアントと締結するセキュリティシートのチェックを自然言語処理を使って自動化したいと思っています。お付き合いするクライアントの数は増えていきますので、ガバナンスや監査ツールの自動化はどんどん取り組みたいです。

黒木：リモートワークが続くと考えると、そうした状況に対応したセキュリティ体制を構築したいですね。メンバーが働きやすいよう、様々なルールで行動を制限するのではなく、不自然な振る舞いがあった場合のみ自動的に検知するような仕組みを整えたいと思います。

ーそんな情報セキュリティチームでは、どんな人なら活躍できそうですか？

瀬戸：マインドとして持っておいてほしいのは、許容する姿勢。エクサウィザーズは事業だけでなく働くメンバーも本当に多様なので、ある程度許容しながらセキュリティ業務をしなくちゃいけない。そして、コミュニケーションでの粘り強さも大事。セキュリティは常に変化するものなので、考え方も刷新し続けなければならない。そのためのキャッチアップも楽しめる人だといいですね。

技術面でもカバー範囲が広域なので、企業・事業のどこでもセキュリティ業務ができる人だと非常にうれしいです。今後はコーポレートセキュリティやグロースしたプロダクトの脆弱性など、僕らだけではカバーしきれないところも増えてきていますから。

黒木：瀬戸さんが言うように、セキュリティの考えは変わり続けます。そこに新鮮味を感じて「そういう考えがあるのか！」と楽しめる人と、エクサウィザーズのセキュリティ体制を発展させていきたいです。

文：福岡夏樹　編集/写真：稲生雅裕