「君たちの仕事は社員のハートをつかむことだ」。クラウド名刺管理サービスのSansanを創業したメンバーの1人であり、CISO(最高情報セキュリティ責任者)を務める常楽諭取締役は全社のセキュリティレベルを向上させるため、CSIRT(コンピュータ・セキュリティ・インシデント・レスポンス・チーム)のメンバーに社員と接する時の心構えを日々こう説いている。

Sansanの常楽諭取締役CISO(最高情報セキュリティ責任者)Data Strategy & Operation Centerセンター長
[画像のクリックで拡大表示]

 現在、同社はCSIRT「Sansan-CSIRT(Sansan Computer Security Incident Response Team)」を専任技術者4人を中心にして運営する。セキュリティリスクが高まる中、2018年に入って新卒1人と中途採用1人を増員した。CSIRTは有事にインシデントハンドリングの役割を果たし、平時は脆弱性情報などの収集と社内外への発信、ログの分析、社員のセキュリティ教育などを担当している。

脆弱性診断で2度の苦い思い出

 「名刺という個人情報もさることながら、誰と誰がいつ会ったかという『つながり』の情報が漏洩したら会社はまず潰れる。2007年の創業時からセキュリティに注力してきた」と常楽CISOは話す。寺田親弘社長が前職で三井物産セキュアディレクションに勤めていたことも大きい。

 常楽CISOには忘れられない苦い思い出がある。創業に当たり、自身が開発したプロダクトを診断したところ、脆弱性がボロボロと出てきたのだ。「それまでセキュリティとはあまり縁がなかった(のでこうなった)。攻撃者は外部から狙っていると聞いていたので、現実を目の当たりにして問題の深刻さを痛感した」(常楽CISO)。

 創業から5年、経営リスクとしてサイバーリスクを明確に定義するため、SansanはCISOを新設し、常楽氏が就任した。その後、常楽CISOは直轄組織としてCSIRTを発足させた。同社は企業理念で「セキュリティと利便性を両立させる」と掲げ、CSIRTはその実現のための部隊だ。「何が何でもセキュリティ優先ではなく、あくまで両立。理想を言えば両者の割合は1:1」(同)と強調する。

この先は日経クロステック Active会員の登録が必要です

日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。