0→1精神はここにも宿る！ DMMサービスを影で支える精鋭部隊、セキュリティ部

山本

もともとシステム本部に脆弱性診断を担当するセキュリティ部があり、それとは別にインフラ本部にもPCIDSS（Payment Card Industry Data Security Standard）を運用するセキュリティチームがあったんです。その頃自分はインフラ本部に所属していたんですが、前職で大規模障害の対応経験もあり、DMMではセキュリティインシデントにインフラが関わっていたため対応しました。その流れもあり、セキュリティ関連部門の統合時に新設する部門の部長として携わることになりました。

山本

セキュリティエンジニアとして働き始めたのはDMMからです。実は「セキュリティエンジニア」ってやることがとても幅広いんですね。僕のようにインフラからアプローチしたエンジニアもいれば、アプリケーションのプログラマ出身だった人もいる。たいていの会社には情報セキュリティ委員会が設置されているから、そういう経験から来る人もいる。そういった意味で、セキュリティエンジニアには確立されたキャリアパスのようなものはないですね。

梁

山本さんはセキュリティエンジニアとしてのキャリアはそう長くはないけれど、それまでの経験があるから深みや重みがあるんですよね。

山本

正直、課題は山積みでした。最大の課題は、明確なセキュリティポリシーが存在していなかったこと。社外に対しても社内の各組織に対しても、「セキュリティ」というキーワードで統一したコンセプトを設けることからスタートしました。

山本

何かの事業があるからこそ必要になるのがセキュリティです。事業を創出し、日々運営する人たちがいるからこそ利益が生まれる。だからこそ、僕たちセキュリティ部は事業に寄り添う存在でなければいけない。セキュリティを厳しくすることはとても簡単です。でも、開発スピードが重要視されるDMMでそれをやってしまうと、スピード感が損なわれてしまう。僕らがDMMでやらなくちゃいけないセキュリティは、事業側がやりたいことを理解しつつ、いざという時のための用意をすること。馬の疾走を妨げることなく、危ないところではブレーキをかけてあげる。そんな存在になるべく、ポリシーを考えました。

山本

「やっちゃダメ！」と無下に否定せず、どうしてその判断に行き着いたのか開発者と話をしながら進めています。こちらから話を聞くだけでは足りないのであれば、事例やわかりやすい例え話を挙げてお互いに知識や情報を補完して、理解し合うことを損なわないようにしていますね。

山本

僕は、インフラだ、システムだって、一つの組織の中で壁を作るのは好きじゃない。どこに所属していようが、僕らの目的は「サービスを提供する」ということ。だからこそ、セキュリティ部も連動性、協調性を持つべきだと考えています。

山本

すべてのセキュリティ業務を、我々の部が1から10まで担わなければいけないとも思っていません。開発者にも非開発者にもセキュリティの知識が浸透し、業務の通常工程にセキュリティが組み込まれ達成される状態をつくることが、最終的なセキュリティ部のミッションだと思っています。息を吸って吐くようにセキュリティが達成されれば本望ですね。

山本

そういう意味では、自分も梁も他のメンバーも、前職までの経験がとても役に立っていますね。DMMには金融系のサービスもあればCtoCのようなサービスもあるけれど、各分野において絶対に外せないキーポイントはこれまでのさまざまな経験である程度理解できている。とはいえ、各サービスごとに個別最適したセキュリティポリシーを作る必要はなくて、最初に作らなきゃいけないのは、会社としてのポリシーであり、ベースとなるもの。

梁

どんなジャンルにも適用できる基本的なポリシーを作って、それをベースに事業の特性に合わせた要素をアタッチしていくんです。

山本

単一サービスや類似分野で展開するような他の会社のベースに比べて、DMMのポリシーが薄くなってしまうのは、仕方のないことだと思っています。そこを補うように、各サービスに個別最適したものを肉付けしていく。

梁

ある程度まで固まったら、各事業で実地調査をして、きちんと事業側が満足する基準ができているかも振り返ります。そのため、現在は利用しているOSのセキュリティ基準を作って詳細を各事業ごとに設定していくことをやっています。初めの一歩ですよね。

山本

DMMのセキュリティポリシーをつくって運用していくのは、単一サービスを扱う他社のそれとは異なります。DMMとしてのベースにAというサービス、Bというサービスの要素を肉付けしなければ、サービスごとに適用できるポリシーになりませんから。個別最適の部分は事業側にヒアリングを重ねないと見えてこない。例えば動画事業ならコンテンツにおけるデジタルウォーターマークをどうするべきか、スマートコントラクト事業なら当然ブロックチェーン技術を踏まえて考えなきゃいけない、FX事業なら金融系の厳重なセキュリティが求められる。サービスが複数あるのは確かに大変だけど、僕らにとっても刺激的なんです。普通ならジョブチェンジしなければ経験できないことを、DMMの社内だけで当事者として経験して理解できる。キャリア的に見ても、究極の時短かもしれません。

山本

「将来のために創出する」「今を改善する」という2つの軸を持って、セキュリティというキーワードに関するすべての業務に携わっています。セキュリティという観点で今の時点で足りていない部分は常に改善して、PDCAをまわしていかなきゃいけない。とは言え、いくら「今」を改善しても、本来あるべき姿がなければ意味がない。あるべき姿を創出するために、何が足りないのか、どういった手法で埋めるとセキュリティ要件を満たすことができるのかを、各分野ごとに整備していく必要がある。

梁

脆弱性診断は欠かせない業務ですが、これだけのサービス数で僕たちが依頼を受けてすべて事細かに対応するとスピード感を損なってしまうから、開発者にオフロードできるようツールを導入して効率化しているんです。

山本

そうすることで、僕らには将来のためのポリシーを考える時間ができるし、開発者にとっては依頼してから結果が出るまでのリードタイム短縮になる。さらに、開発者にとってもセキュリティを自分ごととして捉える機会にもなる。理解が深まるにつれて、開発者も息を吐くようにセキュリティを考える状況に少しずつ近付いていくんじゃないかと思っています。

山本

今はほとんどの人がスマホにアプリをインストールして、いろいろなサービスを使っていますよね。セキュリティはそんな普段の生活にも還元することができるんです。僕らがセキュリティポリシーを社内教育の場で話す時は、訪れる脅威を体感してもらうために目の前でデモを見せたり、身近な例に例えたりします。それから、盗まれたものの区分けについても話をします。もしもパスワードを盗まれたとしたら、その「盗まれたもの」はどんなものなのか。生死に関わるようなものなのかそうではないのか。そういった知識があれば、個人情報が盗まれた時の影響も想像できる。身近な例で「危ない」と感じたことを、開発者はサービスの実装に活かせばいい。セキュリティ部はそのお手伝いをする部署だと思っています。

梁

確かに技術は進歩し続けていますが、根幹の部分は変わらない。つまり、インターネットです。新しいデバイスもブロックチェーンのような新しい技術も、インターネットの上に成り立っている。まずは、その入口と出口になるインターネットを理解して安全対策を立てることが基本になります。

山本

もちろん、技術やデバイスの進歩に合わせて、セキュリティも考えていくべきです。新しい技術やデバイスには素晴らしい恩恵がたくさんあって、その半面、リスクも存在する。開発スピードを損なわず、安全を守りながらサービスに適用するにはどうするべきか。常日頃から新しい情報をキャッチアップして、自分で考えたうえで、開発現場に結論を下ろす使命があると思っています。

山本

僕は「シフトレフト」を推奨しているんです。例えば、サービスのアイディアが出たその段階でセキュリティ部と話をしてもらいたい。何も考えずにサービスの企画開発を進めて、後からセキュリティ対策を導入したり火消しコストを考えたりするのと、初期段階でセキュリティエッセンスが入っている状況とでは、障害発生の規模に大きな違いがある。ただ、開発者やビジネスサイドのメンバーがいつもセキュリティを考えるのはわからないことも多くて面倒だろうから、そのためにいるセキュリティ部をいつでも呼んでほしい。

梁

その時は呼ぶのが煩わしいかもしれないけど、何か起こったらその対処をするほうがよっぽど面倒ですから！　先々のことを考えると、一緒に進めたほうが楽なんです。要件定義の段階から入るだけでも全然違いますし、事業部内だけでは気がつけないことにも責任持って答えを出せますから。

山本

そうですね。開発者と同様、企画の段階から呼ばれるようになりたい。そうすることで問題発生を避けて、例え発生したとしても被害を最小限に抑えることができますから。

山本

僕たちが求めているのは、今までセキュリティを運用してきた人ではなく、これからベースを作っていく、0→1を生み出すモチベーションのあるセキュリティエンジニアです。今いるメンバーもそうですが、バックグラウンドはさまざまでいい。これまでの経験を持って、セキュリティエンジニアとして挑戦したいという気概のある人を求めています。これだけサービスがあれば、積める経験も大きい。他の会社だと10年かかることも、DMMなら5年で習得できるかもしれない。刺激的な環境の中で新しい価値を生み出す。そのために何をすべきか自分で考えてアクションを取れる方に来ていただけたら、僕らはもっと加速できると思っています！

梁

僕が大事だと思っているのは、成果が出ない時も、我慢して粘り強くできる人。

山本

そうだね。どんな時でもセキュリティを楽しめる共通価値観。

山本

気付く、そして守る。ほとんどの人が意識しない状態で、普通の生活が守られている。「今日も平和！」っていう状態の気持ち良さかな。

梁

守りと攻め、どちらもあるんですよ！　僕は攻撃が成功するとすごく嬉しいですよ（笑）。攻撃することで守りにつながるシーンもある。

山本

ドSな人もいえればドMな人もいるからね（笑）。常に防御するスタイルのエンジニアもいるし。

梁

プログラマなら、難しいアルゴリズムを実装してバグなしに動かすことができたら、すごく気持ちがいいと思うんです。今日も守られた状態を保てた！　っていう喜びは、おそらくその気持ちとすごく似ていますね。

山本

僕らからは何も生まれないし、僕らはともすればただのコストになってしまう。会社にとっては情報を守るための投資の部署になる。だからこそ、会社のために貢献したいという気持ちを持って常に寄り添うことがミッションだと思っている。自分でアクションを起こして、それが奏功して機能したり効果を発揮したりする喜び。それがセキュリティを楽しむっていうことかな。