かなり前のとある記事で読んだ、DeNA社のセキュリティ信念「セキュリティは事業を強くする」経営目線での取り組みというのに感銘を受けました。

日本でも数少ない経営目線でセキュリティに対して積極的に取り組んでいる企業であり、DeNA社を見る目が変わりました。以下にDeNA社のセキュリティ信念の10箇条というのを記載すると、

1「本当に守りたいものを決める」

セキュリティに取り組み始めたときに陥りがちなのは、すべてを守ろうとすること。その結果、やるべきことが膨大になり、非現実的になってしまう。まずは「本当に大事なもの」を脅威から守った上で、範囲を広げていくべき。

2「わかりやすく、ぶれない基準」

セキュリティのルールがわかりにくいと、何かが起こったときに現場で判断できず、専門部署にお伺いを立てるようになる。それでは事業スピードが低下する。DeNA社の信念は「事業を強くするセキュリティ」なので、現場で迷わず判断できるようにわかりやすさに心を砕いている。また、基準がぶれてしまうと不信感を生んでしまう。だから「ぶれないも大事」だと強調している。

3「人に依存した対策にしてはいけない」

セキュリティ対策で最も難しいのは「100％にすること」だという。例えば、人の異動があればシステムのアカウントも変更するルールがあったとして、その作業は難しくはないが、100％やり続けることが難しい。人の作業にしている限りほぼ不可能で、システム化を図る。これはセキュリティ部の重要な役割になっている。

4「状況をコントロールできているかどうかが大事」

例えば、組織内で先月マルウエア感染が1件あったとして、それがマルウエアの活動を捕捉する網にかかって判明したのか、それともたまたま利用者が気付いて報告してきたのかで、全く意味が違ってくるという。もちろん、目指すは前者であり、コントロールできているかどうかが大事だという。

5「合意形成が何よりも大事」

セキュリティ強化には誰もが同意するが、それによって不便になることは避けたいと誰もが思っている。セキュリティ対策の最も重要な要素は「人」である。だからこそ合意形成が大事だという。

6「事件・事故が起こる前に動く」

セキュリティ事故を起こした企業は、その後、過剰ともいえる対策を取るようになる。過剰な対策は信念に逆行しており、だからこそ、事件・事故が起こる前に動くことが大事だという。

7「適切なセキュリティは企業の生命力を強くする」

個人情報が漏洩してしまうと、お客様対応、株主対応、パートナー企業対応、マスコミ対応、関係省庁対応、システム対応などが求められ、全従業員総出で対応することになる。その間は通常の事業が停止し、事業を進める上で最も重要な「人材」を疲弊させる。つまり、企業の生命力が弱くなる。企業の生命力を強く維持するために、適切なセキュリティを実施すると言う考え方である。

8「求められる強力な言語能力」

セキュリティエンジニアは、多くの人とコミュニケーションを取ること」だそうだ。セキュリティ対策は専門部署だけが奮闘していてもダメで、組織内のすべての人に協力してもらわないといけない。そのためには「相手に合わせて、わかりやすく説明できる」言語能力が大事である。

9「経営と話をする」

セキュリティ強化を図るには経営を巻き込むことが欠かせない。だから「経営と話をする」に反論する人はいないと思うが、「経営とセキュリティの話をする」だけでも意味がある。

10「セキュリティ原理主義になるな」

セキュリティを高めるのはいいことであるが、「セキュリティを高めるためのすべての行動が正しい」と考えてはいけない。そのように考えていると、開発現場とコンフリクトを起こすからだ。「セキュリティ的に正しいのでこうすべきだ」という考え方を「セキュリティ原理主義」と呼び、そうならないように自らを戒めている。

根底にあるのは「仲間を守りたい」という強い思いであり、企業のセキュリティに取り組む姿勢として大いに参考になる信念です！