セキュリティチーム　イメージアップ大作戦！

こんにちは、Japan Digital Design　セキュリティチームの杉野です。本記事は、Japan Digital Design Advent Calendar 2023 の5日目のエントリーです。

adventar.org

---

セキュリティチームでは、当社の社内インフラや、当社が提供するシステムのセキュリティに関する業務全般を担当しております。

突然ですが、読者のあなたはご自身の会社のセキュリティ担当者と気軽に相談できていますか？

私はセキュリティをやる前、システム運用やインフラを担当しておりましたが、正直言ってセキュリティ担当者に相談するのは、「必要だができれば避けたい」というイメージがありました。

本記事では、そんなイメージの悪いセキュリティ担当者になった私の取り組みを書きたいと思います。

とにかく相談・報告しやすいセキュリティチームを作ることが重要

私は、セキュリティ担当者は、自ら率先して相談・報告しやすい組織づくりを心がけるべきであると考えています。

相談や報告が「必要だができれば避けたい」組織であることは、上述では私の好き嫌いの問題に見えるかもしれません。しかし、相談や報告にこのような心理的障壁があると、組織に深刻な問題を引き起こす可能性があります。

以下では、私が思うセキュリティ担当者に持たれがちな心理的障壁を挙げながら、その影響について考えたいと思います。

報告するときの心理的障壁は被害を拡大しやすい

例えば「怪しいメールのリンクをクリックしてしまった」「携帯をなくしてしまった」などの報告に「怒られそう」「面倒が増えそう」などの心理的障壁があるとどうでしょうか。

おそらく「自分でなんとか解決しようとする」になることが想像されます。

しかし、例えば携帯電話をなくしてしまった場合などは、情報を消去するなどの対応を早めにうつことで被害を最小限に食い止めることができますが、遅れるほど影響範囲が広がってしまう懸念があります。

更に昨今では、サポート詐欺の事例のように、攻撃する人たちはその心理をついて、いわばドツボに陥れるような戦略をとっているため、より事態が深刻化するおそれがあります。

このように、報告に心理的障壁があると、被害の拡大を招きやすくなります。

相談するときの心理的障壁は手戻りを起こしやすい

続いて相談について考えてみます。例えば「新システムを作るにあたってセキュリティ上の懸念があるか相談したい」場合に、「すごいdisられそう」「怒られそう」などの心理的障壁があるとどうでしょうか。

この場合は、自然にレビューに出すのを後ろ倒しにしてしまうのではないでしょうか。

本質的には、設計段階でも実装段階でも本質的なセキュリティ上の懸念は大きく変わりません。しかし、実装が進むにつれてその修正は難しくなってしまい、結果的に手戻りや残業の原因になってしまうリスクがあります。

このように、相談に心理的障壁があると、事業に手戻りが発生しやすくなります。

セキュリティチームが自らイメージアップを行うことが重要

これまで心理的障壁とその影響について書いてきました。根本的な解決方法としては、繰り返しになりますがセキュリティ担当者が自ら進んでイメージアップをすることで「報告・相談しやすい」企業文化を醸成していくことであると考えています。

そのため、私は以下のイメージアップ施策を講じています。

確実に、素早く対応する・対応できるようにする

まずは、相談や報告の裏側では事業が回ってることを忘れずに、素早く対応することが重要です。

依頼に対しては素早くレスポンスし、事業の優先度に応じて対応すべきです。

また、平時の運用設計（例えば新しいシステムを利用したいときの確認など）が重要であると考えています。これらの運用は「カバレッジは広く」「パターンは少なく」「少ないアクション数で」を心がけて設計するようにしています。

非難しない（知識レベルをあわせる）

コミュニケーションにおいては相手へのリスペクトを忘れないことが大切です。そのためには知識レベルをあわせることが重要であると考えています。

私は基本的には自分よりも相手のほうが知識があると考えて接するようにしています。このため、やり取りをするときには相手の現在見聞きしている状況を確認し、できるだけその知識を補強することに努めるようにしています。

また、インシデントや不具合の振り返り時はどうしてもネガティブなコミュニケーションになってしまいがちです。SREの方が素早く改善を行うために行っている、blameless postmortems（非難しない振り返り）という考え方をもとに、当社のセキュリティチームでは、インシデント対応の手順で以下のコミュニケーションポリシーを宣言しています。

• 失敗の共有は当社の重要な資産であると考え、前向きに受け入れる

• いかなる状況であっても、人の善悪を判断しない

• 常に行為に着目し、思想・思考・人間性に踏み込まない

前向きな選択肢を提示する

最後に、「だめな理由」だけではなく「どうすればできるか」を提示することの重要性について述べておきます。セキュリティ担当者は事業において「ブレーキ役」ではなく「カーナビ役」として機能すべきと考えています。

正直に言うと、セキュリティ担当者も人間なので、時間がかかったり、言葉遣いを間違えたり、上記２つを達成できないことがあるのも事実です。しかし、最終成果物としてただ「だめでした」だけでは返さないことで、事業を前に進められる前提のコミュニケーションを行うことには拘るべきだと考えています。

少なくとも「相談して損した」という気分にさせることは避けられるのではないかと考えています。

勿論、どうしても「緊急ブレーキ」をかけないといけないこともあります。しかし、それは最低限にするべきですし、むしろイメージアップ施策はこの「緊急ブレーキ」をできるだけかけないようにすることにつながると考えています。

さいごに

この記事では、組織のセキュリティ担当者がイメージアップを行うべき理由と、私が行ってる施策について書かせていただきました。

しかしこれらの施策は、性善説に基づいた表向きの美しい話であることも事実でして、裏側では性悪説に基づいたチェックやモニタリングがあり、ある程度の牽制が効いていることも事実であり、また機会があればその辺のお話もできればと思います。

ちなみに本文では、「私の取り組み」として紹介しているのですが、これらは当社のValueに沿ったものですので、おそらく私のBossも同じ思想なのではないかと思います。このあと査読で明らかになりますが、この文書が発行されたということは同じ思想ということですのでご安心頂ければと思います。

以上、杉野でした。

最後までご覧いただきありがとうございました。

---

Japan Digital Design株式会社では、一緒に働いてくださる仲間を募集中です。カジュアル面談も実施しておりますので下記リンク先からお気軽にお問合せください。

採用情報｜Japan Digital Design 株式会社

この記事に関するお問い合わせはこちらにお願いします。

お問い合わせ｜Japan Digital Design 株式会社

Japan Digital Design株式会社
Technology and Development Division
杉野太紀