基本に忠実に、そして矛盾を減らしていくことが重要です

株式会社ベネッセインフォシェル
代表取締役社長
丸山 司郎 氏

[聞き手]
一般財団法人日本データ通信協会
専務理事
井手 康彦

セキュリティに対する備えはあらゆる組織にとって基本的な課題だが、何を、どのようにやれば十分な対応ができるのかを理解している経営者は限られているのではないだろうか。セキュリティベンダーの老舗的存在である㈱ラックでセキュリティ事業の責任者を務め、内閣官房情報セキュリティセンターに勤務経験もある株式会社ベネッセインフォシェル 代表取締役社長の丸山司朗氏は、こうしたお話を伺うには最適の存在である。業務のお忙しい合間を縫って、同社東京支社に同氏を訪ね、さまざまな気づきを語って頂いた。
(本稿は、2017年3月発行の『日本データ通信』第214号に掲載した記事をベネッセインフォシェル社のご好意により再掲させて頂くものです。)

   今日は㈱ベネッセインフォシェルの丸山社長に、企業のセキュリティをめぐる課題と、それらの課題にどのように対処すべきか、というテーマでお話を伺います。

丸山
 よろしくお願いします。まず、ベネッセグループの紹介からさせていただきます。ベネッセグループには「国内教育」、「海外事業」、「介護・保育」、「語学」の4つのカンパニーと「その他」の事業領域があります。
 「国内教育カンパニー」は、通信教育事業や、学校向け教育事業があり、グループ全体の売上のほぼ半分を占めています。「進研ゼミ」「こどもちゃれんじ」は、会員数243万人(2016年4月)を擁していますので、日本の教育の一端を担うという意味で企業としての社会的責任が大きい分野であると考えています。
 「海外事業カンパニー」では、中国で積極的に事業を進めており、「こどもちゃれんじ」は、上海を中心に125万の会員がいて、417 ヶ所(2016年9月末)でショップを運営しています。幼児向け通信教育では同国において圧倒的なトップ企業の地位にあります。
 「介護・保育カンパニー」は、㈱ベネッセスタイルケアが担っています。国内3大介護・保育事業者の一つで、高齢者向けホームでは、「アリア」、「くらら」、「グラニー&グランダ」をはじめとする7つのシリーズを運営しています。規模は15年で約3倍、近年も年10%程度の規模で成長しており、平成28年中に300施設を超える予定です。ビジネスとしては必ずしも容易ではない分野ですが、施設の入居率は92%(2016年9月末)に上り、事業規模の大きい有料老人ホーム事業者の中では唯一黒字で運用ができています。
 最後に「語学カンパニー」は、語学教育のベルリッツの事業があります。ベルリッツは語学学校としては世界最古の歴史を誇り、欧米、アジアを含めて世界70以上の国と地域に500を超える拠点を持っています。

ベネッセの情報システムを支えるベネッセインフォシェル

丸山
 当社自身は、ベネッセグループの中にある42の連結子会社で唯一、ITを業務として担っている企業で、教育事業を行っているベネッセコーポレーションのデータ運用を行っています。ベネッセインフォシェルという社名は親会社のベネッセにインフォメーションのインフォ、外皮、甲殻、貝殻などを意味するシェルを組み合わせ、ベネッセがお預かりしているお客様の情報をシェルでしっかりと守るという意味をもたせています。
 当社はベネッセのお客様情報漏えい事故を機にベネッセホールディングスに設置された情報セキュリティ監視委員会の提言を受け、㈱ベネッセホールディングスが70%、㈱ラックが30%の持株比率で2015年1月15日に設立されました。基本的には情報システムの保守・運用を行う会社ですが、それだけではなく、お客様であるベネッセコーポレーションにITを分かりやすく、安心して使ってもらえるようにすることを目指しています。
 組織は3つの本部と監査部門から成り立っています。特徴的なのが監査部門で、ここが業務監査と情報セキュリティ監査を担当しています。この規模の会社としては体制を強化し、かなり厳格な日々のチェックや運用確認を行っています。各本部が行っている仕事をしっかりとチェックするという姿勢を組織として明確にしており、ここに当社の大きな特徴があります。
また、お客様の個人情報については従来以上に厳格に行っています。私たちの感覚では、銀行における預金情報の管理と同等のレベルの管理を個人情報について行っていると認識しています。

   銀行と同等以上というのはどういう意味ですか?

丸山
 金融機関の基幹システムは、金融情報システムセンター(FISC)のルールによって厳格な対応を求められています。基本的に外部とつながるネットワークとは分離されてインターネットとはつながらないようにしていますし、人の出入りも厳密に管理していますが、私どもでも同じような管理を行っているという意味です。

   以前ある銀行で、端末のIDとパスワードを取得した者が本人になりすまして個人情報にアクセスした事故がありましたよね。

丸山
 当社では、個人情報にアクセスできるのは執務室内でも限定されたエリアの中だけです。そして、そこに入れるのはあらかじめID管理された社員だけですし、入る際にはいくつものセキュリティ施策をパスしなければなりません。

   監視カメラはもちろん作動している。

丸山
 はい、それは言うまでもありません。一般的にできることはすべてやっているとお考えいただいて結構です。

プロ化するサイバー攻撃

   さて、今日は丸山社長に、ユーザー企業がセキュリティ対策を行ううえでどのようなことに気をつけていく必要があるかを教えていただきたいと考えています。

丸山
 具体的な事例については話をすることができませんので、大きな方向についてお話をしたいのですが、現在セキュリティの分野で起こっていることについては、大きく分けて3つの観点で思うところがあります。
 一つ目は「攻撃の高度化、プロ化」の進行です。サイバー攻撃の高度化については一般紙にもニュースが載るようになっているぐらいですが、攻撃を表す単語も新しいものがどんどん出てきています。マルウェアに感染したシステムに利用者がアクセスできないようにし、それを解除するために身代金を要求するランサムウェア、大量のIoTデバイスを乗っ取って行う大規模なDDoS攻撃、それにスノーデン事件のような情報暴露もあります。
 新しいところでは「BEC」というのがあって、まだ日本ではあまり知られていないと思うのですが、「Business E-mail Compromise(ビジネス電子メール詐欺)」の略です。これは何かというと、攻撃者が企業の経理担当者のPCに侵入して密かにメールを読み続けるんです。そして月末になってその企業に取引先から振込み依頼のメールが来ると、それを読んだ攻撃者がすかさず取引先をかたったメールを経理担当者に送り「ごめんなさい、先ほどの口座は間違いで、こちらの口座に振り込んでください」と偽の口座を伝え、振込みをさせる。実はそれは外国にある攻撃者の口座という寸法ですが、入金を待っている会社は「単なるお客さんの入金遅れかな」などと考えてしまい、詐欺であることがすぐにはばれない。お客様に問合せをした時には後の祭りです。米国などでは、こうした新手の詐欺がかなり出てきているようです。
 また、「自動化」のトレンドがあります。ビジネスをする側は人工知能を事業に活かせないかを一生懸命考えていますが、攻撃をする側も当然同じことを考えるわけでして、自動化がどんどん行われ始めています。人間が関与する方が間違いを犯して発覚のリスクが増すので、機械にやらせた方が成功率は高いし、逃げるのも簡単なのですね(笑)。

   国際関係が不安定になって、サイバー空間での犯罪はますます増えてきそうですね。

丸山
 そのとおりです。ところが、新しい犯罪が次々と海外や国内で起こっていても、日本のユーザー企業ではそうした情報を咀嚼できる人材がいないのが通常です。それが「ユーザーにおける知識・理解の現実とギャップ」という問題です。では、ITエンジニアはどうかと言えば、新しい専門分野の動きを追うのに精一杯なので、そんなにセキュリティのことばかりに構っているわけにはいかないということになります。

経営者の思考停止が組織を停滞させる

丸山
 次に問題だと思うのが、「権限委譲という名の思考停止」です。つまり、企業のトップの方が「お前、ちゃんとやっとおけ」と言って、そこで終わってしまう。

   ところが本当に問題が起こると「何をやっているんだ!」となる(笑)。

丸山
 「CISO(最高情報セキュリティ責任者)を作ればよい」という考えは、CEOの逃げの発想、責任逃れの方便ではないかと思うのですが、いかがですか?

   私は以前の勤め先でCISOをやっていたことがありまして(笑)。

丸山
 一般的な経営層の方々は、ITのこともよく分からないし、ましてや「Business E-mail Compromise」などと言われても、理解しようという気にもならないのではないでしょうか。

   セキュリティが重要だということだけはわかるけれども、どうしたらよいかを具体的に考えるのは大変です(笑)。

丸山
 そうだと思います。そして「お前、なんとかしろ!」になってしまうのが、私には、経営層の思考停止ではないかと感じられてしまうのです。思考停止という言い方は、もしかしたら失礼に当たるのかもしれないのですが、それがビジネスにとってリスクだとしたら、真剣に考えざるを得ない。必要な投資や経営判断をするのが経営者の責任だと思うのです。そして、お金の投資よりも、能力がある人に必要な権限を与えて責任を持ってやってもらう方がより重要ではないかとも思います。

   本当の意味での権限委譲ということですね。

丸山
 おっしゃるとおりです。その人のことを信頼して仕事を任せるということですね。しかし、日本の会社は事業戦略をドライブする側に人を当てるので、守りの仕事であるセキュリティにはなかなか人を当てません。

   「金は渡さない、人は渡さないが、ちゃんとやれ!」になる(笑)。さらに、なんのためにやっているかわからないので、得てしてルールを厳格にするだけのセキュリティ原理主義がはびこるようになってしまいます。

丸山
 本来の意味が何なのかを考えない。私が思考停止と呼びたいのは、まさにそこです。

システム導入の前にまずはルールが必要

丸山
 三番目の問題はベンダー側にあります。私自身もベンダーにいましたのであまり言いたくないのですが、ベンダーの「恐怖営業」が問題です。つまり脅すんです(笑)。

   マイナンバー一つで、そこまでというほど脅しますからね(笑)。

丸山
 脅しますよね。「これが漏れたら会社が潰れます」みたいな言い方を平気でしますから(笑)。さらに別の脅しがあって、「このソフトウェアを入れればセキュリティは完璧です!」と語る営業マンがいます。でも、それはありえないんです。セキュリティにはゴールはありませんから。

   発送前に宛先チェックをしないと出せない仕組みのメールの誤送信対応ソフトなども「これを入れれば完璧」といった謳い文句を聞きますが、たしかに嘘八百ですね。本来は本当に宛先間違いがないかを確認して、チェック欄をクリックすることを要求しているのですが、使う方が慣れてしまうと、実際には確認していないのにチェック欄をクリックして送るようになってしまう。

丸山
 そのとおりで、「これを入れれば完璧です」などというソフトなど決してありません。その話を聞いたとたんに、ユーザー側は「ダウト!」と叫ばなければいけないんです。
 まずルールをつくる。ルールがなければ、システムを入れても仕方がありません。そのルールを守るためにシステムを入れるわけで、ルールに従った運用のあり方を決めて、それをきちんと行うことが重要なのです。システムはそのためにあるわけです。
 そこで次に「例外処理」の問題が出てきます。ルールには例外がつきものですから、例外が生じたときにどうするのか、それを誰がどう判断するのかを決めておく。さらに言うと、次に来るのが監査です。
 ルールを決める。そのルールを守るためにシステムを使う。そのシステムをしっかりと動かす。例外が出たときにはきちんと判断を行い、それらがすべて守られているかを第三者が確認する。そうした構造がきちっとできていないと、セキュリティは守れないと思います。

   貴社では監査部門を監査する仕組みはどうなっているのですか?

丸山
 ベネッセインフォシェルの監査がちゃんと動いているかは、ベネッセホールディングスが見ています。業務委託をしている親会社が監査を行う仕組みです。

基本に忠実に対処し、矛盾を減らしていく

   お話しいただいた課題に対し、企業はどのように対処していけばよいのでしょうか。丸山さんの考え方と貴社の取組みの例を教えていただけますか?

丸山
 原則は基本に忠実であること。そして矛盾を減らしていくことだと思っています。つまり、現場でセキュリティ施策を実施する人たちに対して、「こう決まったのだからやれ」と無理強いをするのではなく、本当にできるようにするにはどうすればよいか、適切な手段を一緒になって考えていく。そして、それを行うよう誘導をしていく。できなかったら、こうしなさいという代替手段を考えてあげて、それでもできなかったら禁止する。このプロセスをやり続けていくわけです。
 しかし、どうしてもルールには矛盾が出てきます。例えば、「機密情報の一切持出し禁止」というルールをつくると同時に、それは完璧ではないわけです。そこをどのように解決していくかを現場に委ねるのではなく、矛盾が見つかったら、ルールを決めた側が「では、こうしよう」と決めてあげなければならない。矛盾が生じるかどうかは、やってみなければわからない。それを一つずつ吸収していくしかないのかなと思っています。これが根本的な原則です。

   矛盾がどこにあるかを見つけていくのですね。

丸山
 どのような矛盾があるかを見つけ、それをなくしていく。それが現実的な運用だと思います。実行するには金もかかるし、時間もかかります。そのためのロードマップを数年計画でつくり、矛盾をどう減らしていくかを考え続けていかなければなりません。そもそもICT自体がレベルアップしていきます。かつては思いもよらなかったことですが、スマートフォンで企業の仕事ができるというようなことが普通に起こってくる。そのことによって生まれる新たなリスクをどのように吸収するかは現場で考えてくしかないですよね。そうしたことをやり続けなければ駄目かなと思っています。
 攻撃の高度化に対して、当社はラックというセキュリティの専門会社との協業という解を求めました。それによって、例えば私のようなセキュリティ分野に人的ネットワークを持っている人間が来ることになりますので、当然これまで以上に情報が入るようになります。このように、セキュリティベンダーと協業をするというようなことを具体的にやってしまう方が現実的なのではないかと思うのです。日本の企業ではしばしば「情報共有を図る」と言う言い回しを使いますが、この言葉はうさんくさいと思っています。というのは「共有」というのは方法に過ぎず、どのような情報をどうやって集めるかが重要だと思いますので、最新の情報を採り続けるためには人間関係を作っていくことが必要なのかなと思います。

   日本企業のIT人材のレベルは今の水準のままでは駄目ですか?

丸山
 駄目だと思います。ただ、最近はセキュリティ技術者がユーザー企業に転職するケースが増えています。技術者の側にもニーズが出てきているんです。
ユーザーの側に技術が分かる人がいて、その人がユーザーの言葉を翻訳して仕事を出す、あるいは目利きができるようにならないとスムーズな会話になりません。しかし、日本もこれからそうなっていくのではないでしょうか。

   中途採用で採るわけですね。社内で育てようという発想はない?

丸山
 中途採用です。残念ながら育てられる人がユーザー側にはいません。そもそも先生がいませんので、そういう人たちを外から採ってくるということですね。
 なお、「セキュリティ技術者育成」という言い方がしばしばなされますが、実はセキュリティ技術の専門家を育成しても駄目で、セキュリティと業務とが分かるIT技術者をユーザー企業の中で育てていくということが重要だと思います。

   両方が分からないと回らないのですね。

丸山
 システムだけ語れても駄目なんです。業務が分かり、それを基に何をどう守るのかというルールとシステムと運用と、それら全部を考えられないと守るべきものを守れません。

ゾーニングで誰もが分かる環境を作る

丸山
 現実とあるべき姿とのギャップを埋めるために、当社でどのように対処しているのかについてお話をしてみたいと思います。
 まず、ユーザーが現実と理論とのギャップをどう理解するかが最初の問題だとすると、人が見てすぐに分かるようにしなければいけません。当社では、ベネッセグループの基準に沿って、エリアを物理的にゾーニングしています。詳細はお話しできませんが、お客様とビジネスの打ち合わせをするエリア、外部の人は入れない一般執務エリア、お客様情報データベースを操作するエリアです。例えば、お客様情報データベースを操作するエリアには、あらかじめアカウントを付与された一部の社員しか入れません。ゾーン内には一切の物品の持ち込み、持ち出しすることができません。食品工場などのクリーンルームをイメージしていただけるとわかりやすいと思いますが、その中でしかお客様の個人情報を取り扱う作業はできません。このクリーンルームを実現するために、ミリ波ボディスキャナなどのセキュリティ施策をいくつか導入しています。
 こうした色分けで、どこで何をやってよいのか、よくないのかを目で見て分かるようにしています。物理的に分かりやすく区切って、そこにルールを合わせるようにすると、ここでやるのはまずいということがすぐに理解できるようになります。使う側にすぐに分かるようなゾーニングは大事だと思います。

   ミリ波ボディスキャナというのは何ですか?

丸山
 3Dボディスキャナとも言いますが、米国の空港などで金属探知ではない探知機が導入されているのをご存知でしょうか。それと同じものです。物を身につけていると、金属ではなくてもそれを探知できるんです。

   空港でチェックインをするのと同じようなチェックをしている。

丸山
 空港より断然厳しいです。空港は私どものチェックに比べたらかなり緩いです(笑)。おまけに24時間、警備会社の警備員が有人で監視をしていますから、普通の会社に比べると格段に厳しいです。

   警備員が24時間詰めているのですか?

丸山
 そうです。作業指示書などどうしても持ち込まなければならないものがあれば、警備員がすべてを確認します。

   おそらく、そこまでしているのを見せるところに意味がありますね。

丸山
 そう思います。やっている方が見られているのが分かっていますから、悪いことをしようという気が起きません。

運用ルールを実現可能なものにし、状況に応じて見直す

丸山
 次にやっているのが、運用ルールを熟考して実現可能なものとし、状況に応じて見直すということです。運用ルールを本当に考えなければいけないと思います。サンプルポリシーをただ単に持ってくるというのではなく、この会社ではどこまでやればいいのかを考えなければいけません。
 例えば、ノートPCのワイヤーロックはどの会社でもしますよね。うちも最初のうちはワイヤーロックを必須にしました。社内であっても持ち運び禁止にしたんです。しかし、それだと実運用上仕事になりません。会議の席にPCを持っていけないし、もちろん自宅にも持ち帰れません。そこで社内では持ち運んでもよい、ただし、自席に座ったときにはワイヤーロックをしなさいというルールに変えたんです。こうすれば、課長が目で見てチェックができますし、監査チームが週に1回はチェックをしていますから、できていなければ課長が叱られるわけです。
 ところが、これをいくらやってもワイヤーロックのし忘れやうっかりして持ち帰りが出てくる。それではまずいので、仮想化端末を導入して持ち帰りも許可できるようにする。
 つまり、最初はガッチリと固めてしまうのですが、それを運用ルールで現場に合わせていくということをやっています。

ルールを守る意味を理解してもらい、本気で監査し、都度指摘する

丸山
 研修はどこの企業でもやっているとは思うのですが、当社ではテストで100点が取れるまでやり続けるということを徹底しています。研修をしたらOKなのではなく、理解したらOKなのです。監査チームでは「社員が自覚するまでやらせます」と言っています。「やってはいけないんだ」と本人が自覚することが必要なんです。
 それでも人間ですから、失敗することはあります。ですから、その時も「再度やったら始末書だよ」といったようなルールを作って自覚をさせるということをやっています。
 あと、監査チームではメールは全部チェックをしています。

   メールの何をチェックするのですか?

丸山
 一つの例としては、添付ファイルをすべてチェックしています。外部アドレスにはファイルを添付したメールを送ってはいけないという基本ルールがあります。その他にもいくつかのルールがあり、システム上もチェックができるようになっています。引っかかったものを監査部がすべて目視する。やむを得ずファイルを添付して送る際の暗号化は送信者が勝手にしてはならず、サーバ側で自動的に暗号化をして相手に届けます。サーバ側ではそのキーを送信者に渡し、それを送信者に改めて送らせる。これをすることによって、誤送信を防げますし、暗号化のし忘れも防ぐことができます。さらに送られたファイルは監査部が目でチェックをします。

   それは最もセキュリティの強度が厳しい第3のゾーンの中だけではなくて、すべての社員に適用されるのですか

丸山
 はい、全社員に適用しています。そしてもう少し補足すると、第3のゾーンからメールは使えません。お客様の個人情報をメールで外に出すこと自体を例外なく禁止しているのです。

   貴社の場合、機能子会社の立場だから、そこまで厳密にできるのではないでしょうか。営業マンがたくさんいる大きい会社で全員の添付ールを読むのは難しいように思います。

丸山
 確かに当社では業務が明確に定義されていますし、やっていいことといけないことが明確に決められています。ですから、もし営業には営業ならではの業務が必要だとしたら、そのためのゾーンを設定して、そこで行う業務を定義すればよいと思います。場所とルールとを合わせ、何をしてよいか、よくないのかを決めていくわけです。それを考え続けることが重要で、この機能について、この業務をこういう風にやっているから、これをここまで制限をして、こうやって運用するんだ、こうやってチェックするんだというのがすべてセットなんです。全部がセットになっていないと、抜け道がたくさん出てきます。

   ほとんどの組織にはどこかに抜け道がありそうですけれど。

丸山
 そこで大事になってくるのが、現場からフィードバックをもらい、気づかない弱点の補強とダブルスタンダードをなくす努力を続けることです。百点満点の仕組みはありえないので、弱点を見つけたら皆から言ってもらうし、そもそもルールと運用にギャップがある部分はありますから、それも言ってもらって、次のルールに取り込むことが重要で、その努力を続けています。年に2度ぐらいはそうした見直しをしています。

   毎回新しい気づきがあるのですか?

丸山
 システムが新しくなりますから、そこに脆弱性が出てきますし、新しい課題が見つかります。システムが更新される限りはなくならないと思います。

施策を本当に考えられるのは現場だけ

丸山
 次にベンダーへの対応ですが、売る方はこれを入れれば大丈夫ですと言ってくるわけですが、それはありえません。運用ルールを考え、システムで制限をし、監査でチェックをするということを繰り返していくことしかないと思います。
 当社では監査チームがどうやったら守れるのかを考え続けているのですが、そういう人材がいないと守れるものが守れなくなります。外部のコンサルタントは現場の仕事を知らないので、この仕事はできません。

   得てしてコンサルタントは報告書の見せ方は上手ですが、現場の業務はまるで分かっていませんからね。

丸山
 考えた策が本当にできるかどうかを判断できるのも現場だけだと思います。コンサルタントは厳しいルールは考えつくかもしれませんし、案はたくさん出せるかもしれません。しかし、考えたルールが実務的に業務時間内でできるかだとか、私たちの能力で処理できるかを判断できるのは当事者である現場だけなのです。
 私どもは機能子会社ですから、そうしたことを理解している社員を増やして、本社の必要な部署に送るといったことも重要な役割になってきます。まだ、そこまでは手が回りませんが、当社の機能の一つとして位置づけて、将来は推進していきたいと考えています。

   人を育成するのが重要だと。

丸山
 守らせるのも、守るのも人ですから。最後は人だと思います。

   貴社の収入は親会社からの委託費でしょうから、そこのコックを親会社に閉められてしまうと、やろうと思っても、やるべきことができなくなる。企業は慣れてくると、得てして掛けているコストが惜しくなる傾向があります(笑)。リーズナブルな対価をもらわないといけないですね。

丸山
 幸いなことに、ベネッセの場合、実運用の中に仕組みが根付いてきていますので、現状では大きなコストがかからなくなっていますし、如何にコストを下げるかを考えるようにもなってきていますので、今後は大きな投資がなくてもやっていけるようになりつつあるように思います。そこは私どもの強みなのかもしれませんね。

   企業にとってリスクを把握し対処を考えることがますます重要になってきます

丸山
 サイバーセキュリティ基本法が定められ、経済産業省のサイバーセキュリティ経営ガイドラインが出て、今春には改正個人情報保護法の完全施行が迫っています。それに伴ってセキュリティに対する世論が高まっています。私はかつての公害問題と似た部分があるんじゃないかと思っています。
 公害問題も当初はだれも気にかけていなかったわけです。それが、社会問題化することによって法律ができ、皆がそれを守らなければならないと認識するようになりました。セキュリティもそれと同じで、これから数年はかかっても、ある水準まではやらなければならないのは常識だよねという風になってくる、その過程にあるのではないかと思います。
 加えて思うのは、「自分の身は自分で守る」ということです。皆さん、何かあったときに国が守ってくれるとか、保険が守ってくれるんじゃないかとか、なんとなく思ってしまっているところがあるのではないかと思います。しかし、実際には誰も助けてはくれません。そうした環境の中で事業活動を行っているわけですから、お客様を守る、事業を守る、そのためにセキュリティレベルを上げていくということを他人に頼らずにやっていくことこそ求められているのではないでしょうか。

(初出:機関誌『日本データ通信』第214号(2017年3月発行))