社内でもっともスパイに近い存在!?
ウイングアーク1stには現在600名を超える個性豊かな社員が所属しています。
言うまでもないことですが、全ての人がそれぞれの職務を担うことで会社という組織は機能しています。成長の過程で様々な部署が新設立され、組織の形も日々アップデートされています。そしてある程度以上の人数を超えると、同じ会社に所属しているとはいえ日常の業務で接点がない部署や人たちがどうしても出てきてしまいます。しかもリモートワークが基本となった今、たまたまエレベーターで一緒になったり、コーヒーマシンの前で他愛のない会話を交わしたりする機会もなく、よく知らない部署はよく知らないままに日々は無情にも過ぎていってしまいます。そこで、おそらく組織図が更新されるたびにそれを眺めながら、この部署ってどんな職務を担っていてどんな人がどんなことを考えながら仕事に励んでいるのだろう?という素朴なクエスチョンに答えるべく、「体当たり取材:となりは何をする部署ぞ!?」と題し、あらゆる部署でどんなことが起きているのかをわたくしデータのじかん編集部兼UPDATA MAGAZINE編集長の田川が(オンラインで)体当たり取材を行い、「へえ、あの部署ってこんな人がいて日々こんな風にウイングアーク1stに貢献しているのか!」とみなさんが思えるような突撃レポートを記していきたいと思っています。
その記念すべき第1回目は、Cloud技術統括部 情報セキュリティマネジメント室の室長を務める小川徹生さんにお話を伺いました。
そもそも情報セキュリティマネジメント室とは?
田川:「情報セキュリティマネジメント室」と聞くとFBI捜査官が登場するようなスパイものの映画を彷彿とさせるような響きがありますが、いったい情報セキュリティマネジメント室では日々どのような業務が行われているのでしょうか?
小川:情報セキュリティマネジメント室はCloud技術統括部下にあり、クラウドサービスに特化した情報セキュリティを担当しています。MotionBoard Cloud、SVF Cloud、SPA Cloud、SVF TransPrint、Dr.Sum CloudやVyNDEXの他、グループ会社であるリテールマーケティングワンが提供するSmartCounselingサービスなど全てのクラウド製品が対象です。情報セキュリティマネジメント室は発足してまだ2年程度です。発足当初は成尾孝博さん、才藤丈己さん含め3名でしたが現在は、合計10名のチームになっています。もちろんその裏で仕切っているのが崎本高広さんです。
田川:ウイングアーク1stのセキュリティの方針というのはどうやって決まるのでしょうか?
小川:端的に言うとお客様の情報資産をどうやって守るのか、という話です。
これは当然ながらクラウドサービス利用者の登録データやWA従業員の作業に対し機密性・完全性・可用性の観点で決めています。そして方針は、ISO27001(またはISMS - Information Security Management System)、ISO27017(ISMSクラウドセキュリティ)、及び、ISO27018(クラウド上の個人データ保護)を中心とした合理的なシステムにしてPDCAで実施しています。
PDCAでは世の中で起きている事件・事故も視野に入れて情報収集し課題にして取り組んでいます。情報資産とは、個人情報や企業の機密情報などです。一般的に「営業秘密情報」といいます。これらをいかにして守るのか、というのが「情報セキュリティマネジメント」です。
ウイングアーク1stのようにデータを扱うサービスを提供している企業にとって極めて重要な要素になりますのでデータとセキュリティは表裏一体の関係で捉える必要があると考えています。つまり「データエンパワーメントのための情報セキュリティマネジメント」ということです。
実はサイバー攻撃にも流行がある
田川:情報資産を守るために情報セキュリティマネジメント室ではいったいどのような対策がなされているのでしょうか?
小川:弊社に限らず世の中のサービス・製品はサイバー攻撃の脅威に常にさらされています。誕生してあっという間に消えていった某電子決済サービスや某大手携帯電話会社の口座の不正出金の事件なども記憶に新しいかと思いますが、あれはサイバー攻撃被害のほんの一例だと言えます。調べてみると実は情報漏洩などのセキュリティ事故は毎日のように起きています。年末にはEmotetというメール添付型のマルウェアが流行りました。
リスクと常に背中合わせですが、とは言え、なんでもかんでもリスク対策をやった方がよいわけでもないですし、たくさんお金を投じてやりすぎてしまってもしょうがないので、そこの線引きが実はとても難しいところです。
それを見極めるためにもたとえば今どんなサイバー攻撃が流行っているか、どのような対策が有効か、など情報収集の精度がとても大切になってきます。このため内閣サイバーセキュリティセンター(NISC)という政府機関があるのですが、そこのサイバーセキュリティ協議会やFISC 金融情報システムセンターに加盟し、情報収集してサイバー攻撃や不正行為の傾向を把握しています。
日常的に起きている攻撃にクラウドサービスを含めウイングアーク1st全体を視野に入れて対処しているのが情報セキュリティマネジメント室になります。情報セキュリティマネジメント室では、事故が起きると会社全体に悪影響が及び会社の存続に関わるような大きな問題に発展しかねないので、セキュリティは重要視されなくてはならないですし、比較的小さなチームですがとてつもなく大きな責任を担っていると考えています。
田川:サイバー攻撃にも流行り廃りがあるんですね?
小川:身近なところでは、たとえば、大型連休の直前など気持ちがゆるみがちな時に、手を替え品を替えフィッシングメールが増加する傾向にあります。最近では東京電力エナジーパートナーという電力会社を装った業者からメールが届き、電気料金の支払いをクレジットカード払いに変更しませんかと促され、クレジットカード番号、セキュリティコード、住所、氏名と全ての個人情報を持っていかれる、という被害が増えているそうです。ゴールデンウィーク直前にも同じような詐欺メールが大量に送信される可能性があるのでみなさんには気をつけていただきたいです。
最近のメイン業務はISMAPの認証取得
田川:最近はどのような業務を行なっているのでしょうか?
小川:最近のメイン業務は政府のクラウド調達基準であるISMAP(イスマップ)の認証取得です。政府省庁の仕事を請け負うには必須の資格です。しかし、チェック項目だけで1200項目もあり去年の11月くらいからスタートし5月末までに対応しなくてはならないので、現在多方面に協力を得ながら対応のピークに達しています。まだ始まったばかりの規格でもあり困難もあります。しかし執行役員CTO島澤さん、Cloud技術統括部 統括部長の崎本さんを筆頭にセキュリティの重要性・必要性に理解がある人が多く、ちゃんとそれに対して予算をかけてくれる、というのは本当に会社として素晴らしい体制だといつも思っています。その結果お客様に信頼を提供できています。
田川:仕事、仕事以外問わず、私たちがセキュリティ意識を高めるためにできることはあるのでしょうか?
小川:結局、それに「気づけるか」にかかっているので、「リスクがあることを意識する」ことです。例えば、パスワードをちゃんと管理することが大切です。パスワードを管理するアプリはいろいろ出ているとは思いますが、でも一番安全なのは暗記しておくことだと思います。アプリに依存しすぎると偽物アプリをつかまされる確立が高くなります。
しかし現実的にはそういったアプリを使用する必要性が出てくるのでアプリやアプリの製造元が信頼できるのかどうかを確認するためにセキュリティチェックを依頼し回答してもらうことになります。
逆に我々も、お客様から日々セキュリティチェックを受けています。我々のクラウドサービスや製品に対してもお客様はそういう視点で見ているという事ですので、できるだけ信頼してもらえるように会社として情報セキュリティに取り組んでいるわけです。
どのような立場の人でもセキュリティに対し意識する訓練をしておくことが今の世の中では重要だと考えています。
取材後記:
実は小川さんとちゃんとお話をするのが初めてだった上に、情報セキュリティマネジメント室が何をしているのかの前情報も全くない状態で、かつ大した雑談もなくいきなり本題に入ってしまったため、小川さんのそのいぶし銀なオーラに最初はただ圧倒されてしまっていましたが、段々とセキュリティに対する熱い気持ちが画面越しにも伝わってきて非常に学びの多いインタビューとなりました。そしてお互い将棋好きという意外な共通点も発見!
情報セキュリティマネジメント室は社内でもっともスパイに近い存在であり、バンドで言うと普段は目立たないけれど間違えるとバレる上に音楽が成立しなくなるベーシスト的な存在ではないかという印象を受けました。あくまでも個人的印象なので間違っていたらすみません!
次回の「体当たり取材シリーズ:となりは何をする部署ぞ!?」には販売オペレーショングループ海老江美咲さんが登場しますのでみなさまお楽しみに!
(データのじかん編集部 田川)
**********************************
いつもウイングアーク1stのnoteをご覧いただきありがとうございます。読者のみなさんからいただく記事のスキ「♡」も編集部の励みになります!
**********************************