組織のセキュリティレベルを底上げするために、各社のCTOは何を考え、どう取り組んでいるのか。
開発者向けのセキュリティサービスを展開する株式会社Flatt Security CTOの米内貴志が、様々な企業のCTOを歴任してきた株式会社LayerX 代表取締役CTOの松本勇気さんと、2023年1月にクックパッド株式会社のCTO兼CISOに就任した星北斗さんのお二人にお話を伺いました。
▼後編
- プロフィール
- CTOに就任して感じる「キャリアの連続的な変化」
- 会社のミッションの中でセキュリティをどう位置付けるか
- 目標は「全員セキュリティ」と言える組織
- ”やりすぎと思われるぐらい”早期から体制を強化
- 技術によるガードレールでセキュリティレベルを底上げ
- セキュアな組織づくりの第一歩は「雑に相談できる窓口を作る」
- 平時のセキュリティの肝は「基本的なことを丁寧に整理」
- お知らせ
プロフィール
株式会社LayerX 代表取締役CTO 松本勇気さん(@y_matsuwitter)
東京大学在学時にGunosy入社、CTOとして技術組織全体を統括。またLayerXの前身となるブロックチェーン研究開発チームを立ち上げる。2018年よりDMM.com CTOに就任し技術組織改革を推進。大規模Webサービスの構築をはじめ、機械学習、ブロックチェーン、マネジメント、人事、経営管理、事業改善、行政支援等広く歴任。2019年日本CTO協会理事に就任。2021年3月、LayerXに入社し代表取締役CTOに就任。
note:https://note.com/y_matsuwitter/m/mdc584510ef76
コーポレートサイト:https://layerx.co.jp/
クックパッド株式会社 CTO兼CISO 星北斗さん(@kani_b)
慶應義塾大学大学院政策・メディア研究科修了後、2013年4月クックパッド入社。セキュリティエンジニアとして活躍し、クックパッドJapan VP 兼 技術本部長、コーポレートエンジニアリング部 本部長を経て20年10月よりグローバル本社(イギリス、ブリストル)に出向。22年2月よりコーポレートエンジニアリング部 本部長 兼 ボイスサービス部 本部長を務め、2023年1月にCTO 兼 CISOに就任。
個人サイト:https://kanny.me/
コーポレートサイト:https://info.cookpad.com/
株式会社Flatt Security CTO 米内貴志(@lmt_swallow)
東京大学理学部情報科学科在学中の2019 年、Flatt Securityにセキュリティエンジニアとして入社。Web エンジニアのセキュアコーディング習得を支援するクラウド型学習プラットフォーム「KENRO」のシステム開発・コンテンツ監修に従事。2021年6月よりCTOに就任。その他、セキュリティ・キャンプでの講師や、電気通信大学ウェブシステムデザインプログラム講師等を歴任。
個人サイト:https://shift-js.info/
コーポレートサイト:https://flatt.tech/
CTOに就任して感じる「キャリアの連続的な変化」
米内:お二人の会社でのミッションやお仕事内容について教えていただいてもよろしいでしょうか?
松本:実はこれを説明するのは結構難しいんですよね(笑)。シンプルに言うと、開発部門全体に責任を持ちながら、会社の代表取締役として2つの事業を統括している、という状況です。
実際の業務内容はかなり多岐に渡っていますね。意思決定をする仕事と、みんなが気がついていない”穴”を見つけて埋めていく仕事、それらのために必要な人を連れて来るという仕事の3つがメインになってきていると感じています。例えば、担当メンバーの意見を聞いて、セキュリティに対してどのぐらい投資をしていくかという意思決定をしたり、事業部CTOの榎本さんや名村さん*1たちと議論しながらアーキテクチャのすごく大きな方針について意思決定をしたり、キーマンをひたすら採用したり、といったようなものです。
星:クックパッドは「毎日の料理を楽しみにする」というミッションを持っています。そのミッションを受けて、「テクノロジーの力で、どうやって”毎日の料理を楽しみにする”か」という方針づくりと、それをドライブしていくための組織づくりを行うのが主な仕事になっています。
今はCTOとCISOを兼任しているのですが、その2つの役職が大きく異なる役割を持っているわけではないです。どちらも会社の未来を作っていくために必要な役割という点では共通しているので、同じ線の上で物事を考えられている気がしています。
松本:星さんは今年1月にCTOに就任されました*2が、CTOになる前となった後で、「変わったな」と感じたことはありますか?
星:CTOに就任する前も、前CTOの成田*3と一緒に、エンジニア全体の組織づくりやプロダクトの全体を見ていく役割を持っていたので、仕事の内容や考えていることが大きく変わったという感覚はないですね。強いて言えば、「自分がその責任者になった」という点が一番大きいですね。
CTOに就任してからは、日本の組織をディープに見ていくことになりました。僕はイギリスに来てちょうど2年ぐらいになるのですが、「リモートで理解できることの限界」は感じていました。今は日本に来る機会を増やしながら、日本にいなかった2年分のキャッチアップを進めているところです。
松本:「仕事の幅が広がった」という感じなんですね。
星:CTOになったからといって、日々やることが急に変わるわけではなく、これまでの仕事と連続していると感じています。「ある日突然白羽の矢が立ってCTOになる」という人はいないと思うんですよね(笑)。
「仕事の幅の変化と、連続性」に関して、松本さんはどう感じていますか?CTOになったのは松本さんの方がはるかに早いし、CTO歴が長いので、ぜひ聞いてみたいです。
松本:もはや遠い記憶になってしまっていますね……。キャリアを振り返ると、CTOじゃなかった期間が1年ちょっとしかないという状態なので(笑)。そんな生き方をしてきたので、どちらかというと「会社の規模やフェーズによる仕事の変化」を強く感じてきたように思います。
会社が小規模の時はテックリード的な役割でもCTOという肩書きを名乗れます。しかし、会社が100人規模まで成長するとエンジニア全体で30人ぐらいの規模になってきて、マネージメントとしての役割が強く求められるようになり、プレイヤーから脱皮しなければいけない場面が出てきます。さらに、エンジニアが数十人、100人単位で在籍する組織になってくると、だんだんと現場のメンバーが遠くなってくるので、「戦略を決めていく仕事」に変質していくのを感じました。
DMM時代には1000人規模のエンジニア組織を経験しました。1000人が所属する組織となってくると、もはや村長さんになったような気分でした(笑)。村を作っているような感覚。みんなが描く理想のあり方を社内制度や色々な情報発信に込めていって、組織全体の「考え方」をどうマネージしていくか考えていました。
星:会社の規模やフェーズの変化も、基本的には連続して起きていくものですよね。
松本:そう思いますが、DMMでいきなり1000人規模のエンジニア組織を見ていくことになったのは転職がきっかけですので「断絶があった」と言えるかもしれないですね。
会社のミッションの中でセキュリティをどう位置付けるか
米内:色々なフェーズの組織をご経験されてきたお二人だからこそ、「セキュリティと組織」というテーマに関する取り組みについても、大小さまざま試行されてきたものと思います。これまでの取り組みを振り返りながら、お二人が今考える「組織にセキュリティを浸透させるための取り組みや工夫」について教えていただけないでしょうか?
星:僕は2010年にアルバイトのセキュリティエンジニアとして、クックパッドに入社しました。もうその時には、セキュリティの重要性に関して経営陣との共通認識ができていたように思います。
セキュリティをどう浸透させるか、というところで言うと、大事だと考えていることが2つあります。1つは、「会社のミッションの中でセキュリティがどう位置付けられるか」をセキュリティをリードする立場の人が理解して、それを心の中に持っておくということ。
例えば、私たちの場合、「レシピサイトにセキュリティって必要なんですか?」と聞かれることがよくありました。でも、食事というのは人間の生活と密接に結びついていて、例えば「その人がダイエットなどに興味を持っているか」や「特定の病気に気をつかっているか」といったプライバシーに関わる情報も時に読み取れるものなんですよね。
「毎日の料理を楽しみにする」ためには、サービスを身近な存在として使っていただく必要があります。そのためにもユーザーさんからお預かりした情報をしっかり守って、安心して使い続けられる状態を保つことは非常に重要だと考えています。この考えをベースとして、これまでずっと仕事をしてきたので、「セキュリティに投資すべきか否か」という軸で悩むことはあまりなかったですね。
組織にセキュリティを浸透させる上で、大事だと考えているもう1つの考え方は「組織やプロセスにセキュリティをどうインストールしていくか」です。日々の開発や日常業務の中でセキュリティについて考えたり、セキュリティに触れることが自然な状態を作っていくのが重要だと思っています。開発プロセスの中にセキュリティを組み込むのはもちろんですが、セキュリティに関する情報発信を日常的に行ったり、セキュリティに関する相談を日々受け付けていたりしています。
目標は「全員セキュリティ」と言える組織
松本:費用対効果が見えにくいものって色々あるじゃないですか。今でこそエンジニア採用にコストをかけることが正当化されているし、「デザイン経営」という考え方も広まりつつありますが、一昔前は違いました。僕は効果が見えづらいが経営上の優位性を作るものは総じて経営的意思決定が必要だと思っていますし、直接は見えづらい価値にどれだけ投資できるかが経営者の仕事だと思っているんですね。
なので、セキュリティに関しても、経営陣がセキュリティに投資することに対して事業上の意義をきちんと唱えられているかどうかが一番重要だと思っています。私たちは「すべての経済活動を、デジタル化する。」というミッションのもと、「安心できるサービス」を提供しなければいけないという考えを持っています。ここで言う「安心」には「利用しやすい」という意味合いもありますし、「データが守られている」というセキュリティ的な意味合いも含まれています。その前提のもと、「僕らが事業でどのようなリスクを抱えているのか」「それをどう守らなければいけないか」「どう取り組んでいくか」という事業上のストーリーをまず作って、そこから権限設定のあり方などの細かい議論を進めていきます。
ただ、それ以降のセキュリティ対策の実行に関しては、セキュリティの専門家である研吾さん*4を中心として進めています。僕は彼を権限的にアシストしてあげることで、組織に浸透するよう後押しする役割です。会社が進めるセキュリティ対策について社内に広く伝える際は、「何をやるのか」だけでなく、事業ストーリーに絡めながら実施の意義を伝えていくように心がけています。
”やりすぎと思われるぐらい”早期から体制を強化
米内:松本さんは採用にも積極的にコミットされていますが、研吾さんのようなセキュリティの専門家を採用する場合はどのように採用活動を進められているのでしょうか?
松本:研吾さんが入社した段階では、自分はLayerXに入社しておらず採用に直接関わっていなかったのですが、ブロックチェーン関連事業を展開していく中でセキュリティの重要性は社内で共通認識が取れていたと思います。
経営陣が「セキュリティに投資しよう」という意思決定を割と早い段階でしていくのは大事だと思いましたね。ソフトウェア開発と同じで、セキュリティのインストールは後になればなるほど大変になってきます。ゼロから作るよりリファクタリングの方が大変なのと同じですよね。
エンジニア組織が数十人規模ぐらいの、早期のタイミングからセキュリティエンジニアの採用活動を進めてきました。研吾さんの他にもセキュリティ担当を置いて投資してきていて、「やりすぎじゃないか」と思われるぐらいには強化を進めています。
米内:エンジニア組織が数十人規模の早期フェーズでは、セキュリティエンジニア不在のケースの方が多いと思います。LayerXではかなり早期から採用に力を入れてきたんですね。
松本:トップダウン的に経営メッセージとして「セキュリティをやるぞ」という姿勢を出していくことが一番重要なポイントじゃないかと思っています。LayerXの羅針盤*5に「全員○○」というキーワードがあるのですが、ある種「全員セキュリティ」と言えるような体制を作っていくことはやっていますね。セキュリティインシデントの振り返りも非エンジニア職も含めた全社でやっています。事例の解説だけでなく、再発防止策のモニタリングまでやるようにしています。
米内:お二人とも、会社のビジョン・ミッションと紐付ける形でセキュリティの位置付けを明確化し、それを組織に落とし込んでいく形で組織づくりを進めてこられたということがよくわかりました。強い一貫性を感じました。
技術によるガードレールでセキュリティレベルを底上げ
米内:セキュリティ分野で、お二人が最近気になっていることはありますか?折角の機会ですので、お互いに質問したいことがあればぜひお願いします。
松本:僕らはまだ成長期の会社なので、「やりたい理想形は見えてきたけど、理想に至るにはまだまだやるべきことはあるよね」という認識で、やるべきことを一つ一つクリアしていっているような状況です。最近だと、パスワードをなくす動きがありますよね?僕らが提供するサービスにおいても、「どうすればパスワードレスを導入できるのか」「その監査ログをどうやって収集・保管していくか」ということを考えています。クックパッドさんぐらいの規模ではおそらく当たり前にやっているだろうことを、今まさに詰めているような感じです。
また、最近は新しいパターンの攻撃が増え、ツールチェーンに潜んでいた脆弱性が表出してきているように感じていて、これにどう向き合うか議論しています。会社としてもセキュリティのレベルを一段上げていくつもりですが、これをどう社員に伝えていくべきなのか考えているところです。セキュリティに関する、社員の「当たり前」のレベルを上げていくのは永遠の課題だと思っているのですが、星さんはどのような取り組みをしていますか?
星:先程の「組織やプロセスにセキュリティをどうインストールしていくか」という話に近いかもしれませんね。基本的に、セキュリティに関する新しいルールを作って、それを周知するというやり方だけでは、組織にセキュリティが定着しないと考えています。技術によって「ガードレール」を作ってあげる方に注力しているんですよね。
組織全体のセキュリティレベルの底上げには2方面あると思っています。組織のメンバーが特に何も意識していなくても技術や仕組みの力でセキュリティが保たれている状態を作るために、そのような技術に投資するという方法が1つ。もう1つは、組織のメンバーがサービス開発などの日常業務の中で、セキュリティに関わる領域に自然と目を向けるようになるために、様々なトピックを発信したり、セキュリティに専門的に取り組んでいるチームから様々なチームに話しかけに行ったりしています。部門横断でセキュリティについて考える機会を増やすことで、地道な意識づけをしています。
松本:とても納得感がありました。「Bet Technology」というキーワードで、我々も同じことをやろうとしています*6。「意識せずにベストプラクティスが適用されている」という環境を作っていくことがまず第一歩だなと感じています。
セキュアな組織づくりの第一歩は「雑に相談できる窓口を作る」
松本:コミュニケーションプロセスの設計にも取り組んでいきたいです。今は、毎月担当を各チームから出してもらう委員会方式でインシデントに関する情報共有の場を設けているのですが、クックパッドさんではセキュリティに関するコミュニケーションの仕組みづくりをどのように行っていますか?
星:インシデントが起きた時より、もっと前の段階でコミュニケーションを取るようにしていますね。例えば、新機能開発の構想段階で相談を受けた場合は、サービス開発を担当するチームと一緒にセキュリティについて確認するというのが大事かなと思っています。「これってどういう機能なの?」と話を聞いて、その中でセキュリティ面で気をつけなければいけないことがあれば、それを一緒に解決しにいくような形ですね。サービス開発の現場で起きていることをセキュリティチームが情報収集して、接触しに行くパターンが結構多いです。
インシデントに関しては、関係するエンジニアやディレクターなどと一緒に解決や振り返りを行っていくような体制を作っているので、おそらくLayerXさんと同じ動きをしているのではないかと思います。平時にどうセキュリティを意識づけていくか、というところに力を入れています。
松本:セキュリティチーム主導で、かなり積極的に進めているんですね。
星:そうですね。最近ではセキュリティチームが開発チームに「何か困ってることない?」みたいな感じで話しかけに行くことも多いですね。
松本:そういう動きをもっとアクティブにできるように、うちもチームをどんどん大きくしていきたいですね。
星:「セキュリティは大事」ということはわかっていても、「何に気をつければ良いか」や「どうしたら良いか」がわからないという人が多いと思うんですよね。そういう人たちのためにも、雑でもいいからとにかく聞きやすい環境を作ることが必要です。そのような環境を実現するためには、「僕たちは、あなたたちから聞かれたことを止めるためのセキュリティではなく、一緒にプッシュしていくためのセキュリティをやっているんですよ」ということを発信して、みんなに理解してもらうことが大事になってきます。「雑に相談できる窓口を作る」ことが、セキュアな組織づくりの第一歩だと思っています。セキュリティ担当者の場合は「雑に相談できる窓口になる」ですね。
松本:コミュニケーションのまろやかさや優しさは確かに大事ですね。セキュリティにしっかり取り組むことで、どのようなメリットがあるかというイメージの周知もやるべきかと思っています。これはセキュリティに限らず、コンプライアンス担当にも言える話ですよね。「攻めの法務を作っていく」という思想とすごく似ている気がしました。
星:力加減が一番難しいところでもありますね。止めるべきところはきちんと止めなければいけないし、やるべきところは一緒にどう進めていくか考えていかないといけないので、そこはセキュリティ担当の腕の見せ所だと思っています。
米内:「雑に相談できる」文化が定着するまでどのぐらいの期間かかりましたか?
星: 僕は2010年にアルバイトのセキュリティエンジニアで入社してから今に至るまで、社内のセキュリティに関することにはなんでも首を突っ込むようにしていましたし、「セキュリティに関することで困っていることがあればいつでも相談してください」と社内に呼びかけてきました。1年ぐらいでキャラ作りはできていたんじゃないかなと思います(笑)。
米内:星さんの入社直後から、自然と「雑に相談できる」空気感が出来上がっていった、ということですね。
星:セキュリティ担当者が不在で、そのような文化がないところからのスタートでしたが、社内のみんなは「なんとなくセキュリティは大事と思っているけど、どうすればいいかわからない」という状態でした。そこから「セキュリティ担当者に聞ける」という状態に持っていくにはそこまで時間がかからなかった印象です。
平時のセキュリティの肝は「基本的なことを丁寧に整理」
星:サービス開発を進める際、脆弱性のようなわかりやすいセキュリティだけでなく、平時から取り組むセキュリティがあると思います。プライバシー保護や、システムデザインの中にセキュリティを組み込んでいく、といったようなものです。松本さんはこの領域で何か取り組まれていることはありますか?
松本:弊社は個人情報や機微情報を取り扱うPrivacyTech事業*7や金融事業を展開しているため、情報の取り扱いに関しては比較的意識の高い組織なのではないかと思っています。
常に「情報のファイアウォールをどこに置くのか」と「それにより業務が遅くならないためにどう工夫するか」という両面を意識しています。突拍子のないことをやっているわけではなく、サービス開発時から「どういう情報を誰からお預かりしているのか」「その情報に対して誰が何をしてはいけないのか」という基本的なことを丁寧に整理するようにしています。このような「基本的な整理からきちんとコミュニケーションしていこう」という姿勢を組織に定着させることが、今後も大事になってくるのではないかと考えています。
米内:ちなみに、そういったセキュリティ周りの取り組みは、セキュリティチームが全事業横断的に取り組んでいるのでしょうか?LayerXさんのような事業をアーリーフェーズから複数持っているタイプの組織が、どのような体制で取り組まれているのか気になっています。
松本:組織規模が小さい時は中央集権的な形でやっていましたが、今は権限を分散させるような組織づくりを進めています。プロダクト数も社員数も増え続けているので、ちょうど良い塩梅の権限委譲の形を模索しているところです。
(文・取材/寺山ひかり)
▼後編
お知らせ
LayerX、クックパッド、Flatt Securityでは、事業拡大をともに支える新しいメンバーを募集しています。 応募ポジション、応募条件等は各社採用ページをご覧ください。
LayerX
クックパッド
Flatt Security
*1:LayerX執行役員で、イネーブルメントを担当している名村卓さん。 flatt.tech
*3:CTO交代の背景については以下の記事をご参照ください。 type.jp
*4:LayerXのセキュリティエンジニア、鈴木研吾さん(@ken5scal)。#FlattSecurityMagazineでは、2022年のセキュリティに関する取り組みの解説と2023年のセキュリティトレンドの予想をしていただきました。 flatt.tech
*5:LayerXが大切にする価値観をまとめた全58ページの社内資料。Webで全編公開されています。