見出し画像

目指せ!セキュリティの我が事化(事例:社内インシデント発生地図)

SHIFT Group 技術ブログ

はじめに

株式会社SHIFT コーポレートプラットフォーム部(いわゆる情シス) 部長の米沢です。本日はセキュリティの我が事化について、お話をしたいとおもっています。

想定読者

  • セキュリティ対策にお悩みの情シスの方

  • そもそもこれまでやってきた対策に不安を感じている方

  • これからセキュリティ対策しないといけないけど何から手を付けたらと悩んでいる方

近年の業務環境の変化とセキュリティ事故

セキュリティの事故は、皆様の業務において、切りたくても切れない頭を悩ます事象ではないでしょうか。もちろん、殻に閉じこもって業務をすることを選べば可能かもしれませんが、在宅ワーク・DXと業務環境のパラダイムシフトが進んでいる中、そうも言ってられません。
セキュリティ事故がより起こりやすい環境・それがあたり前に起こる前提で業務を整理していく必要があるのではと考えています。だからこそ、セキュリティ事故が起こる前提で、そのリスクを制御することが大事だと私は考えています。

弊社のイベント「89祭り」で、今年セッション(経営者必見!SHIFTだから語ることができる、この時代に必要なDX戦略と情シスのあり方)を持ちましたが、その中で「フェールセーフな対策」と表現した背景にはこの考えがあります。新しい変化に対応するためにもセキュリティとの向き合い方はもしかしたら見直すべきタイミングになっているのかもしれません。

セキュリティ事故って

セキュリティ事故の真因は何でしょうか?私はその答えは、[人の脆弱性] だと考えています。堅牢な仕掛け、環境を作れど、そこに人間が関与することで、その堅牢性は破綻し、事故が起こってしまいます。人が作りしものには完璧はないと考えているので、人に対して焦点を当てた対策が重要だと感じています。前述の業務環境の変化においてセキュリティの考え方を見直す必要があるという話をしましたが、世の中的にもゼロトラストと言うムーブメントが現在あります。

実はSHIFTではそれに似た考え方でセキュリティ統制を昔からやっています。SHIFTは嬉しいことに急成長している企業です。私がセキュリティ領域を管掌するようになったのが2018年、それからの5年でものすごい成長をしました。成長したということは、それだけ変化があり、それを許容してきたということに尽きます。前職ITコンサルをしていたこともあり、自分ができること・考えられることから、SHIFTに合ったセキュリティをずっと考えてきました。変化を許容する中で、安全な場所はない、セキュリティ事故は起こるもの、なぜなら人間が脆弱だからというスタンスを大事しています。結果としてセキュリティ事故が起こらないことがそもそもの目的ですので、何を入れたら事故がなくなるではなく、何を変えたら事故/リスクが減るってことが重要だとは考えています。

もちろん、サイバー攻撃には、明確な防御手段が必要ですが、内部で発生するセキュリティ事故は、仕掛けだけでは守れない世界がありますし、この変化が激しい中では内部事故に対しても十分な対策が必要であると考えています。

セキュリティの我が事化

さて、ちょっと前置きが長くなりましたが、本日のテーマ、セキュリティの我が事化について話したと思います。前回のe-learningもその対策の一つにあたりますが、本日は別の対策を紹介したいと考えています。

何事も同じだとおもいますが、業務に主体性をもって取り組んだほうが成長に繋がります。主体性を持つとは、それにより、頭の動き(思考)が変わるからです。頭の動きが変わるとそれが行動に現れます。これは、私の過去の業務経験から強く感じています。今回のテーマである「セキュリティ」についても、同じことが言えると思っています。例えばですが、「自分がセキュリティ事故を起こしたら会社が潰れる」と考えている人と、考えていない人では、業務に対する取り組みが異なると思います。創業間近の企業であればあるほど、全従業員がそういう思いで仕事をしているのでないでしょうか。大企業になればなるほど、そういう思いは希薄化していくのではと考えています。それは「会社が守ってくれる」という認識がそうさせるのだとおもいます。「会社が守ってくれる」これは正しいことですが、スピード感もって業務をすすめるためには、従業員に 「セキュリティを我が事化」 させることが大事だと考えています。それに向けた取り組みをSHIFTでは日々取り組んでいます。もし従業員が全員、セキュリティを我が事化できれば、もしかしたら今ある制限とかルールは必要なくなるのかもと感じております。それぐらいセキュリティを守るという命題においては重要な要素だと感じています。

セキュリティを我が事化するというテーマは、社長もはじめ経営層も同じことを考えていますし、それに基づいた業務も存在しています。我が事化しようというテーマの元、2021年にローンチした社内サービスをご紹介します。

その名も ”インシデント(起き)てる”

世の中には事故物件を掲載しているサイトがあります。あのサイトのように、SHIFT社内で発生しているインシデントを見えるサイトを作ろう、それによってセキュリティを身近に感じてもらえるものをつくろうという話が経営陣とあり、1年ぐらい時間がかかってしまいましたがシステム化しました。いろいろ苦労はあったものの、継続的に運営するためにも、バックエンドの仕組み(インシデント管理する仕組み)とフロントエンドの仕組み(従業員に共有する仕組み)をともに意識して開発しました。一昨年度の私の作品となっています。

バックエンドは、spatchというインシデント管理ツールを作成しました。インシデント管理向けのチケット管理システムになります。そこをあらゆるインシデントのストアになるように運用を変えました。弊社の場合は、ヒヤリ・ハットも含みで管理しています。もともとはExcelで管理していましたが、機微な情報であることから取り扱いも難しく、そういった改善含みでシステム化することから着手しました。pythonで簡単な課題管理ツールを作って運用を開始しました。SHIFTではこのツール上で日々のインシデント対応をしています。一元化するとデータが溜まります。それを如何にイ ンフォーメーション、インテリジェンス化してユーザに提供するかここがもっとも悩んだところでした。

どうしても、インシデントという事象自体が"後ろめたい"ものです。それを従業員に公開するわけですから、それなりに注意を払いました。公開にあたり、経営層とも何度も話し合いました。従業員には、「誰が何を犯した」を伝えるのではなく、他者のインシデントからなんらかの学びを感じてもらい、自分の学びとしてもらいたい。そういう思いを込めて”インシデントてる”として公開しています。インシデントてるを通じて、セキュリティの我が事化をしてもらいたいと考えています。

大目的:
「インシデントは、全員が触れることができる共有財産である(誰もが教師となれる)」

副目的:

  • 「今」
    SHIFTで起こっている事象を理解することで、同類のことを起こさないという警鐘に

  • 「過去」 
    起こったことを知る(いわゆる黒歴史)ことによって、SHIFTのことを理解する(考え方に通じる)

  • 「未来」 
    同じ轍を踏まないように、その示唆としたい

※画面イメージ、限界に挑戦しました。

インシデントごとに、簡単なサマリレポートも書きます。レポートには、インシデントの概要・原因・防止の3つの要素を記載するようにしています。このサイトはSHIFTの従業員であれば誰もが見ることが可能です。

#閲覧は社内限定となるよう制限を加えています。その上で社内SNSに右上にバナーリンクを設置しています。

「2021年10月、満を持して、インシデントてるを社内に公開」。インシデント、なにかと悪い印象がつきものですが、それを公開していくことで、”全員でインシデントに対峙していくもの” という考え方が浸透してほしいという思いで、お知らせを出し、サイトを公開をしました。公開当時、社内SNSでは少し話題にあがりましたが内容を見ると、その思いは伝わっていそうでした。 稼働して1年近く経ちましたが、そろそろアンケート等は取ってみたいとは考えています。

改めて私がお伝えしたいことは、冒頭に述べたように、「セキュリティをより身近に、従業員一人ひとりの力を最大限に発揮してもらうため」にも、セキュリティの我が事化 が大事だということです。

「SHIFTの従業員ってセキュリティ意識高いよねー」ってお客様から言ってもらえる世界を目指していきたいと考えています。それが私がセキュリティにかける思いです。そのためにも、セキュリティを身近に感じられる施策・仕掛けはどんどん適用していきたいと考えていますし、また今後もそれについては触れていきたいと考えています。私はその活動を通じて、SHIFT流SOC(セキュリティコントロールセンター)を築き上げたいと考えています。

おわりに

今回は、私なりのセキュリティの捉え方から、最も大事にしている セキュリティの我が事化 、そして、その啓蒙として実施している社内施策「インシデントてる」を紹介させていただきました。

いろいろ、私が経験したことで、皆様のお役に立てる情報もあるとはおもいますので、また語っていきたいと思います。

|MAGAZINE

__________________________________

執筆者プロフィール:米沢 毅
独立系ソフトウェアハウスでSEを5年、ITコンサル会社でアーキテクトを8年経験。その後SHIFTに2014にJoin。テスト実行管理ツール CATの開発マネージャを経て、2018年に情報システム部に異動、部長に着任。情報システム並びにセキュリティを管掌。未だに開発が好きで手を動かしています。

|RECRUIT
コーポレートプラットフォーム部ではメンバを絶賛募集中です。ご興味ありましたらカジュアル面談も可能ですので、ぜひぜひ門を叩いてください。

お問合せはお気軽に
https://service.shiftinc.jp/contact/

SHIFTについて(コーポレートサイト)
https://www.shiftinc.jp/

SHIFTのサービスについて(サービスサイト)
https://service.shiftinc.jp/

SHIFTの導入事例
https://service.shiftinc.jp/case/

お役立ち資料はこちら
https://service.shiftinc.jp/resources/

SHIFTの採用情報はこちら
https://recruit.shiftinc.jp/career/

最後まで読んでくださり、ありがとうございます!

御社サービスのご相談はお気軽に。
ソフトウェア品質のプロがお伺いします。