これからの情報セキュリティはどうあるべきか
「ステークホルダーダイアログ2020」

左:ヤフー株式会社CISO 梅村、真ん中:株式会社川口設計代表取締役 川口氏 、右: ヤフー株式会社執行役員 政策企画統括本部長/Zホールディングス株式会社 セキュリティ・リスクマネジメント統括部 中谷 左:ヤフー株式会社CISO 梅村、真ん中:株式会社川口設計代表取締役 川口氏 、右: ヤフー株式会社執行役員 政策企画統括本部長/Zホールディングス株式会社 セキュリティ・リスクマネジメント統括部 中谷

情報技術が人や社会のために健全に貢献する社会を目指すヤフーは、安心して安全に利用できるサービスを提供し続けるため、CISO(最高情報責任者)の管理・指導のもと全社を挙げて情報セキュリティに取り組んできた。エンジニア全員がセキュリティ講習を受けるなど人材育成にも力を入れる。専門家の川口洋・川口設計代表取締役を招き、これからの情報セキュリティはどうあるべきかを議論した。

  • ※ダイアログは2020年3月17日に実施されました。文中の従業員の所属、役職は2020年6月当時のものです。

PROFILE

顔写真:川口洋
川口洋氏(株式会社川口設計代表取締役)
2002年、大手セキュリティ会社に入社。社内のインフラシステムの維持運用業務ののち、セキュリティ監視センターに配属。2013年~2016年、内閣サイバーセキュリティセンター(NISC)に出向。2018年、株式会社川口設計を設立。内閣府本府情報化参与、消費者庁最高情報セキュリティアドバイザー、経済産業省情報セキュリティ対策専門官などを務める。
顔写真:梅村雄士
梅村雄士(ヤフー株式会社CISO)
1990年全日本空輸(現ANAホールディングス)入社。
IT推進室にてチェックインシステムやマイレージシステムなどの開発に携わる。
2004年ヤフー株式会社入社。検索事業を9年、ヤフオク!事業を6年、都合15年ヤフーの主要サービス運営に携わる。
2019年4月にCISOに着任し現在に至る。
顔写真:中谷昇
中谷昇(ヤフー株式会社執行役員 政策企画統括本部長/Zホールディングス株式会社 執行役員 GCISO)
1969年神奈川県生まれ。銀行勤務を経て、1993年に警察庁入庁。神奈川県警察外事課長、国家公安委員会補佐官、インターポール(国際刑事警察機構)出向、IGCI総局長、警察庁国際課長等を歴任し、特にサイバーセキュリティの第一人者として知られる。2019年4月 ヤフーに入社。
顔写真:森摂
ファシリテーター:森摂氏(雑誌「オルタナ」編集長)
日本経済新聞社入社後、流通経済部などを経て 1998年-2001年ロサンゼルス支局長。2002年9月退社。同年10月、在外ジャーナリスト協会を設立、代表に就任。2006年9月、株式会社オルタナを設立し、2007年3月にサステナブル・ビジネス・マガジン「オルタナ」を創刊。現在に至る。

働き方の多様化がセキュリティを底上げする

――新型コロナウイルスの感染拡大は、働き方やコミュニケーションの取り方に大きな影響を与えました。日本社会を変えるきっかけの一つになりそうですが、皆さんはどのようにお考えでしょうか。

梅村:当社はコアタイムを短縮し、時差通勤や在宅勤務を始めました。出勤する社員も少なくなっています。

もともと在宅勤務の制度はあり、職種によって出社は必須ではないと考えていました。例えば、リサーチの仕事であれば、家で仕事をした方が往復の通勤時間を省け、その分を業務に充てられます。社内のエンジニアに関しては、在宅勤務で効率が上がったという声も聞きます。

一方で、セキュリティの観点から出社した方が良い職種もあります。

従来のセキュリティは、大事な情報を金庫にしまうイメージでした。しかし、リモートワークが進み、誰かがパソコンを覗いているかもしれない環境で、会社のコアシステムにアクセスすることは、通信を暗号化したとしてもリスクがあります。何でも一律にするのではなく、個々の目的やリスクに応じた働き方の多様化が求められていると感じます。

梅村が話している様子
ヤフー株式会社 CISO梅村

中谷:私はセミナーなどで講演をする機会が多いのですが、オンライン配信が劇的に増えました。

今までは物理的に移動しなければ講演を聞けませんでしたが、オンライン化が進んだことで国内外どこにいても参加できるようになりました。オンライン決済もできますし、会場の収容人数に制限されず、聴講者を増やすこともできます。

こうした一連のオンライン化の流れは、情報セキュリティへの関心を高め、底上げするきっかけになるのではと思います。

川口:毎年2月1日から3月18日は「サイバーセキュリティ月間」です。この期間はセキュリティ関連のイベントが多く、私も講演や企業に呼ばれて社員のトレーニングなどを各地で行っています。

今年は新型コロナウイルスの影響で次々にイベントが中止になりました。ところが、ヤフーだけは3月上旬にオンラインでのトレーニングを開催したのです。「リモートで対応する能力を磨くことが重要だ」として、講師、事務局、受講者の全員がそれぞれリモートで対応しました。これにはヤフーらしい前向きな姿勢を感じました。

「つながる時代」に必要な情報セキュリティとは

――2020年は「リモート元年」になるでしょうね。ヤフーは社会課題を解決することをミッションとしています。情報セキュリティを巡る課題にはどのようなものがありますか。

中谷:データとテクノロジー、それに基づくプロダクトやサービスを駆使して、どのように解決できるのか。それには、時代背景が深くかかわってきます。

今はまさに「つながる時代」。インターネットでつながり、サイバー空間(仮想的データ空間)を経て、現実の世界が便利になる。しかし、安全、安心がベースにあり、そのうえで便利さがあるということを忘れてはいけません。

現実の感染症対策はリアルでのつながりを断ち、拡大を阻止することが重要ですが、サイバー空間にあるウイルスも、つながることで侵入してきます。

最近では、産業制御※(インダストリアル・オペレーション)システムまでつながり始めたため、サイバー空間にあるマルウエア(悪意のあるソフトウエアや悪質なコード)は大きな脅威です。

  • ※製造業や電力・ガス・水道などの重要インフラ産業、物流産業などの設備・情報の制御・管理をリアルタイムでモニタリングし、異常検知や脆弱性把握など提供するシステム

ところが、つながりを断ってしまうと、ビジネスが継続できず便利さも失われてしまうのです。
Zホールディングス傘下のヤフーはソフトバンクグループ、ソフトバンクと共同でスマホ決済サービス「PayPay」を提供していますが、スマホがネットにつながらなければお財布(PayPay)としてスマホを使えません。
情報セキュリティは、一昔前の「C→I→A」から、つながることが当たり前の「A→I→C」の時代に入りました。Cは機密性(Confidentiality)、Iは完全性(Integrity)、Aは可用性(Availability)です。可用性は通信用語ですが、つながっている状態を意味しています。

可用性の次に重要なのは、情報の「完全性」。氏名や口座情報など情報自体が間違っていたら利用できません。最後に不正アクセス対策などの「機密性」です。この3つはすべて重要ですが、つながらないことによるリスクやコストを考えると、まずつながることが大前提にある「A→I→C」に優先順位が変わってきています。まさにゲームチェンジが起きているのです。

川口氏が話している様子
株式会社川口設計代表取締役 川口氏

川口:講演や視察などで企業に行くと、「当社のシステムはインターネットにつながっていないから大丈夫」と言われることがよくあります。

確かに情報が漏れないという意味では問題ないのかもしれませんが、これだと機密性しか考慮されていません。システムが止まったり壊れたりするリスクについては、あまり意識していないということになります。

いまの時代、情報が漏洩(ろうえい)しただけで倒産した企業はほとんどありません。しかし、サービスを継続できない場合は倒産する確率は高くなります。ビジネスを継続すること、つまり可用性がとても重要なのです。

梅村:多くの企業が抱えている課題だと思いますが、セキュリティにいくらコストをかけるのか。刻々と状況が変わるなかで、ビジネスとセキュリティのバランス、妥当性を考えるのはとても難しいことです。「効率的に効果的に守る」ということは大変ですが、そこにこだわる必要性があると思っています。

――サイバー攻撃に関する報道が増えていますが、サイバー空間とはどのくらい危ないのでしょうか。

川口:どのくらい危険か、どういった対応が必要なのかは、組織によって違ってきます。

仮に中小企業がサイバー攻撃の被害を受けてしまった場合は、トップが誠意を持って謝罪することが現実的で有効な対応でしょう。

一方で、ヤフーのように何千万人もの顧客を持つ大企業は、トップが謝って済む話ではありません。役所も失敗を許されない。ですから、堅牢なセキュリティシステムの構築が必要です。

中谷:サイバー空間は、「東京湾の水」のようなものです。ボートをこぐ分には問題なくても、水を飲むとなるとフィルターが必要です。つまり、サイバー空間をどのように使うかによって、求められる安全性が異なってくるのです。

デバイスの画面の向こうには、悪い人もいる。この前提のもと、ヤフーではつながる時代に必要な準備を進めています。

「自助」「共助」「公助」で守る

中谷が話している様子
ヤフー株式会社執行役員 政策企画統括本部長/Zホールディングス株式会社 執行役員 GCISO 中谷

――日本はこれまで社会もビジネスも「性善説」で成り立っていたように思います。しかし、インターネット空間ではある程度「性悪説」を適用すべきなのでしょうか。

中谷:インターネットはそもそも性善説でできています。つながることが前提ですから。

対面であれば人が持っている危機管理能力で察知することがありますが、ネット空間では判断材料が限られるため、怪しいかどうかを判断するのが難しい。特に日本人はそういった場面でだまされやすい傾向があります。ですので、社会的インフラとして、インターネットの利用は安全でなければいけません。そのために国、企業、個人がやるべきことは異なります。

国はフレームワーク、つまり目指す社会や方向性を示す。企業は各々のリソースを使って開発を行い、サービスを提供する。その際、国は企業に対して研究開発費を出すべきだと思います。そして個人は、できる範囲での予防をする。

感染症で例えれば、個人は手洗いやうがいを徹底し、国は検査を実施する。そして企業は国の補助を受けながらワクチンを開発するということです。

梅村:ヤフーではユーザーの啓発にも取り組んでいますが、啓発だけで100%守ることはできません。やはり企業として安全なサービスの提供や仕組みづくりが大事です。

当社もパスワードレス化し、SMS認証(ショートメッセージサービスを活用した個人認証機能)にシフトしたり、顔認証や指紋認証を利用してログインする「FIDO2」を取り入れたり、セキュリティレベルを高めています。しかし実際には偽アプリによるフィッシングなどでSMSですら安全ではない状況になってしまっています。

いたちごっこではありますが、セキュリティレベルを高めつつ、新しい不正への対処法を考えていかなければなりません。

生体認証ログインの画面

――川口さんは情報セキュリティにも「自助」「共助」「公助」が必要だと提唱されています。

川口:これらは災害対策で用いられるキーワードですが、サイバーセキュリティにも当てはまります。独立して会社を立ち上げたときに、「公助」「共助」「自助」の3つをバランスよく行うことが大事だと考えたのです。

自分の身は自分で守る「自助」も必要ですが、「公助」として国もやるべきことがある。「共助」はコミュニティーや横のつながり。そこで、エンジニアのコミュニティーを盛り上げる取り組みを始めました。

サイバーセキュリティはテクノロジーだけではなく、ビジネスとうまくミックスさせることが重要です。その実践の場として2012年から「Hardening Project」(ハードニングプロジェクト)を実施しています。セキュリティ技術の向上を目的とする競技会で、サイバー攻撃に対処する能力をゲーム感覚で養います。

年2回ほど開催し、エンジニアだけでなく公務員や弁護士、学生など多様な方が参加してくれています。

私が30歳くらいのころ、表彰されるのではなく、「表彰する側になれ」と言われたことがありました。頑張っている人に光を当てていきたいという思いで、コミュニティー活動を行っています。20年前は情報セキュリティという学問はありませんでしたが、今はその分野で勉強や研究を頑張っている学生がたくさんいます。そういった個人を応援していきたいのです。

評価システムと人材育成がカギを握る

――ヤフーは2014年に「CISO-Board」を設置し、情報セキュリティマネジメントを強化してきました。梅村さんは、CISO(最高情報責任者)としてヤフーグループ全体のサイバーセキュリティを担当されています。

Zホールディングスグループセキュリティ体制図

梅村:CEOから権限移譲を受け、CISOとしてヤフーグループの情報セキュリティに関する指示・判断を行っています。2019年10月にZホールディングスになり、現状では私がヤフーグループとZホールディングスのCISOを兼務しています。2020年4月よりZホールディングスグループのCISOを中谷が担い、ガバナンスとオペレーションのサプライチェーン全体の情報セキュリティを強化していきます。またグループ会社からの報告を取締役会へ報告しています。

――日本でCISOを設置する企業は珍しいのではないでしょうか。

中谷:そうですね。(常勤のCISO設置状況は)米国が進んでいて80%程度、欧州も積極的で70%程度だと思います。CISOを設置する企業数は日本でも増えていますが、まだ少ない。恐らく30%程度ではないでしょうか。

私は日本IT団体連盟の専務理事も務めているのですが、サイバーセキュリティにしっかり取り組まなければならないという声が上がる一方で、企業にとってインセンティブが少ない。

CISOを設置することで、ESG(環境・社会・ガバナンス)の面で機関投資家から評価されたり、金利が優遇されやすくなったりすれば、意欲的になる企業は増えるだろうと思います。欧州や米国では、セキュリティの担当は花形ですが、日本ではまだその価値が認識されていません。

そこで、同連盟は企業のサイバーセキュリティ対策を評価するために、2020年から仏ミシュランのレストラン格付けのように、企業の対策のレベルを星の数で評価する取り組みを進めています。

ファシリテーター森氏が話している様子
ファシリテーター 森氏

――それは面白い取り組みですね。ヤフーは情報セキュリティ人材の育成にはどのように取り組んでいるのでしょうか。

梅村:社内でセキュリティの重要性を伝えるのに苦労したことはありません。派遣・業務委託社員含むヤフーの全従業員とZホールディングスの一部のグループ企業を対象に、セキュリティに関するe-ランニングを2カ月に1回行っており、グループ全体の共通認識になっています。ただし、理解することと、実際にナレッジをつけることはまた別の段階ですから、難しい面もありますね。

ヤフーでは、プログラミングを行うエンジニア全員に対し、セキュアプログラミング研修受講とそのテストに合格することを義務づけています。プログラミング言語ごとに実施しており、2019年1月から2020年3月までの期間に講習を受け、情報セキュリティについて学ぶ必要があるのです。
厚労省が主導する高度セキュリティ人材育成プログラムにも参加し、2020年度から試験的に導入予定です。

中谷:セキュリティ人材といって想像するイメージは、人によって異なります。川口さんのようなプロフェッショナルを各社で10人配備することは不可能に近い。今そういった人材を持つ企業が少ないというのが問題です。

企業のセキュリティに対して実務的に動ける人やセキュリティのプロダクトを作れる人も重要です。ですので、少し下のレイヤーの経営と技術を埋められる人材や、技術を引っ張る人材、オペレーションができる人材などが必要です。それぞれに求められるスキルは異なります。

梅村、中谷、川口氏の写真

川口:ヤフーでは、情報セキュリティの知識がないとプログラム言語に触れないということですね。1000人を超える企業で、このような制度を整えている企業は日本で10社もないのではないでしょうか。

エンジニアがセキュリティについて勉強したいと思っていても、機会はそう多くはない。そうしたなかで、みんなで頑張ろうという風土をつくり、体制を整えることはセキュリティリスク管理にもなります。ユーザーの安心感にもつながるのではないでしょうか。

ヤフーの「黒帯制度」(該当分野について突出した知識とスキルを持っている第一人者をたたえる制度)もかっこ良い。ハードばかりに投資しても、世の中が変わってしまうと対応できません。人に投資することは、正解が分からない未来に向かってビジネスをつくっていけるということ。これはヤフーの強みですね。エンジニアはビジネスの源泉であり、人材育成は投資です。

中谷:利便性と安全性を両立することが、ヤフーが目指しているところです。ハードもソフトも人も強固にしていくことが、私たちのセキュリティ体制構築のエッセンスです。