セキュリティ組織のマネジメントとアップデート / Management-and-updating-of-security-organisations

Transcript

1. 　 セキュリティ組織のマネジメントとアップデート freee株式会社 CISO 茂岩 祐樹

2. 2 ⽬次 • ⾃⼰紹介‧会社紹介 • freeeセキュリティチーム概要 • セキュリティ組織マネジメント＆アップデート • まとめ

3. 　 3 茂岩 祐樹 CISO • 職務経歴 ◦ 1995〜1999：⽇本IBM ◦

   1999〜2022：DeNA ▪ 1999〜2014：インフラ部⾨を統括 ▪ 2011〜2022：セキュリティ部⾨を統括 ◦ 2022/4〜 CISO@freee • 著書 ◦ DeNAのサイバーセキュリティ(⽇経BP社、2016年) • 対外活動 ◦ CySecPro スレットハンターコース講師(2019年) ◦ NCAログ分析WG主査(2016年〜) Yuki Shigeiwa プロフィール画像の トリミング⽅法

4. 4 会社概要 会社名 freee株式会社（本社：東京） 設⽴年⽉⽇ 2012年7⽉9⽇ freee会計※リリース年⽉⽇ 2013年3⽉19⽇ CEO 佐々⽊

   ⼤輔 証券コード：4478（市場区分：グロース市場） 事業内容 「freee会計」 「freee⼈事労務」などの開発‧販売 本社住所 〒141-0032 東京都品川区⼤崎⼀丁⽬2番2号 アートヴィレッジ⼤崎セントラルタワー21F 中部⽀社 〒453-0801 愛知県名古屋市中村区太閤三丁⽬7番76号 ジユウノハコ2階 関⻄⽀社 〒534-0024 ⼤阪府⼤阪市都島区東野⽥町⼀丁⽬5番14号 京橋フロントビル4F 九州⽀社 〒810-0001 福岡県福岡市中央区天神2丁⽬11-1 福岡PARCO新館5F The Company 沖縄⽀社 〒901-2225 沖縄県宜野湾市⼤謝名90-3 Link58 401 札幌⽀社 〒060-0001 北海道札幌市中央区北⼀条⻄3-3 billage SAPPOROばらと北⼀条ビル10F

5. 5 　 freeeは「スモールビジネスを、世界の主役に。」をミッションに掲げ、 統合型経営プラットフォームを開発‧提供し、 だれもが⾃由に⾃然体で経営できる環境をつくっていきます。 起業やビジネスを育てていくことを、もっと魅⼒的で気軽な⾏為に。 個⼈事業や中⼩企業などのスモールビジネスに携わるすべての⼈が、 じぶんらしく⾃信をもって経営できるように。 ⼤胆にスピード感をもってアイデアを具現化できるスモールビジネスは、 今までにない多様な価値観や⽣き⽅、

   新しいイノベーションを⽣み出す起爆剤だと私たちは考えています。 スモールビジネスが⼤企業を刺激し、社会をさらにオモシロク、 世の中全体をより良くする流れを後押ししていきます。 Misson スモールビジネスを、世界の主役に。

6. 6 スモールビジネス向けに統合型クラウド(1)ERPを提供 統合型クラウド会計ソフト 統合型クラウド人事労務ソフト 請求書 | 経費精算 | 決算書 |

   予実管理 ワークフロー | 内部統制 2013年3月～ 日本のクラウド会計ソフト市場 シェアNo.1 (2) 勤怠管理 | 入退社管理 | 給与計算 | 年末調整 マイナンバー管理 2014年10月～ スモールビジネスの 人事管理市場において 売上金額シェアNo.1(3) その他サービス 会社設立 開業 税務申告 受発注 クレジットカード 工数管理 電子契約 注: 1. クラウドサービス：ソフトウェアやハードウェアを所有することなく、ユーザーがインターネットを経由して ITシステムにアクセスを行えるサービス 2. リードプラス「キーワードからひも解く業界分析シリーズ：クラウド会計ソフト編」（ 2022年8月） 3. 「freee人事労務」は ITRが今年調査発行した「 ITR MARKET VIEW：人事・給与・就業管理市場 2022」の人事管理市場において、従業員 100人未満および従業員 100~300人未満の企業で売上金額シェア No.1（2020年度）を獲得しています。 勤怠管理 （中堅企業向け） 経費精算 販売管理 福利厚生

7. 7 2019年 6月期 2020年 6月期 2017年 6月期 2018年 6月期 2021年

   6月期 有料課⾦ユーザー 企業数（件） ユーザー基盤拡⼤に向けた取り組み 有料課⾦ユーザー企業数(1)は 約 46万 事業所 8.3万 12.1万 22.4万 29.3万 16万 2022年 6月期 2023年 6月期 37.9万 46.4万

8. 　 freeeセキュリティチーム概要

9. 9 freeeセキュリティチーム沿⾰ 2012 創業 2015 2022 2017 2020 2019 CSIRT設立

   CISO任命 PSIRT(*1)設立 IPO SOC1 認証取得 法律 ガバナンス 技術 倫理 • 宣言・発信 • 業界リーダーシップ • ESG経営指標 etc (*1)PSIRT = Product Security Incident Response Team

10. 10 役割‧価値 再現性のある平和 たまたまの平和 vs ミッション

11. 11 • 内製化を重視 ◦ スピード‧柔軟性に対する要求 • 内製⼤規模訓練、ハードニングなどを通じて、従業員に擬似体験を提供 ◦ (参考)本当に怖い障害訓練、犯⼈はfreeeの中にいる！？ •

    セキュリティの⽂系‧理系を同じ組織(部レベル)に⼊れ、シナジーを⽣み出す ◦ 現場で発⽣したテクニカルな事象を、ポリシーやルールに迅速にフィードバックさせる 組織の特徴 法令・技術等 ポリシー セキュリティ 活動 事業活動 反映 根拠 参照 フィードバック

12. 12 今後⽬指す⽅向性 HUB-Spoke型から 自律型組織へ プライバシー＆ デジタルガバナンス プロダクトに付加価値を • セキュリティは専門性が高いと思われがちなので、各部門がセキュリティチームに問い合わ せることで問題解決を行うのが一般的

    • ビジネスのスピードを上げていくためには現場で判断できることを増やしていく必要がある • DXが進むと世の中的に情報をどのように取り扱うか関心が高まる • 消費者が情報を預ける上で、信頼に足る取り組みが求められる • ESG評価の一分野として、サイバーセキュリティは投資先の選択に使われ始めている • セキュリティがプロダクトの価値を高める世界観を実現していく • 単に安全安心ということでない、新しい価値を届けたい

13. 　 セキュリティ組織 マネジメント＆アップデート

14. 14 • 最終的にはCSIRT(*1)を構築を⽬指すのがオススメ ◦ スモールスタートが基本 ◦ コアとなる⼈材をアサインして検討する(検討〜CSIRT構築まで1年程度を⾒込む) ◦ CSIRTをゼロから構築して⼀定の成果が出てくるまで3年ぐらいかかるのではないか ◦

    法律‧システム等の知識も必要となるため、CSIRTは仮想的なチームとして動くこととなる • コアコンピタンスを決めて強みとする ◦ 全て外注ではダメ。特にポリシー策定は社内⽂化を知る⼈材が責任を持つべし ◦ 専⾨領域を補うためのアウトソースは⼀般的 • DX推進により組織の情報管理能⼒が問われる時代に⼊っている ◦ クラウド上を⾶び交う情報をコントロールできるか？ ◦ 法律、プライバシー、デジタルガバナンス、倫理 ◦ 縦割りでない柔軟で有機的な組織間連携が求められる セキュリティ組織の編成 (*1)CSIRT = Computer Security Incident Response Team

15. 15 (例)ランサムウェア対応には技術領域以外の⼒が必要 • 業務が⽌まることによる機会損失‧契約不履⾏ • 機密データが盗まれることによる機密保持契約違反 • 顧客情報の漏洩による個⼈情報保護委員会への報告義務 ◦ 欧州ならGDPR規制など海外事業展開がある場合はさらに複雑に

    • ⾝代⾦⽀払いに関するレピュテーションリスクと法的な問題 • 事業が⽌まるか⾝代⾦か。そして⾝代⾦に耐えうる財務基盤か(ギリギリの意思決定) 広い専⾨領域 技術的問題 法律的問題 財務的問題 経営全体の問題 ＋ ＋ →

16. 16 専⾨性以外で⼤事なもの • 社内⼈脈 • 事業理解‧⽂化理解 →チームメンバーに⻑く努めてもらうことのメリットは⼤きい 飽きないための⼯夫 • ⼀つの業務で時間を埋め尽くさない(マンネリ化防⽌)

    • 外の刺激：コミュニティ、勉強会、カンファレンス etc • 成⻑機会の提供(資格取得⽀援、ジョブローテーションなど) とはいえ⼈の⼊れ替わりはある • ⼀定の新陳代謝は良いことと捉える • 外部発信により⼈材フローを確⽴できれば望ましい マネジメント上の⼯夫

17. 17 ポリシーも体制も整った！これでしばらくは楽ができるぞ！ ‧‧‧残念ながらそうはいかないのです アップデートをし続けなければならないものたち • セキュリティポリシー • 攻撃トレンドに合わせたセキュリティ対策の修正 • 事業環境および事業⾃体の変化への適応(例：海外展開、新規事業)

    • 技術パラダイムシフト合わせたスキル更新(例：クラウド、IoT、Generative AI) アップデートの必要性

18. 18 3〜5年に1回はミッションを⾒直してみましょう 例えば‧‧‧       中⻑期視点でのアップデート わかりやすいセキュリティの提供 再現性のある平和の実現 初年度〜5年間 6年目〜

19. 　 まとめ

20. 20 • freeeのセキュリティチームの概要、事業スピードとセキュリティが両⽅求めら れている中での⼯夫‧特徴などをご紹介 • セキュリティ組織のマネジメントについては、コアコンピタンスの決定、飽きに くい業務設計が重要 • 組織運営中も常時アップデートが必要になる。環境や組織成熟度に合わせて アップデートしていきましょう

    まとめ

21. ご清聴ありがとうございました