JUASライブラリー

ちょっと先回りして工夫を埋め込んでおく

●ITとの出会いは？

――もともとコンピューターに自信があったわけではないんです。でもこれからはITの時代が来る、その内側を見てみたいなと思ってSEの道に足を踏み入れました。

富士通ではまずソフトウェアファクトリーという部署に配属になりました。一般のSEでは対応できない特殊な案件の対応部署です。何でも作るし、事業部の側面もあって。メインフレーム、アセンブラ、オフコン、Unixマシン、C言語、データベース…何でもやりました（笑）。知らないことがわかるようになるのは楽しかったですね。各社のハードウェアに対応したソフトウェアのリバースエンジニアリングの仕事を担当したことで、文字コードやデータベースなど「データをどう表現するか」に興味がわいて、専門に対応していました。それからソフトウェアの品質保証に取り組み、テスト技法などの技術支援を兼務しました。オフショア開発を模索して海外のIT企業と共同作業をしたり。最終的には3部署を兼務して、一生分シゴトしたなというくらい（笑）、がむしゃらに取り組みました。いろいろ経験させてもらいましたね。

●思い出深いお仕事は何でしょうか？
――他社のシステムのソフトウェアの移行作業を担当している時のことです。コンピューターの中での日本語の扱いは各社違います。そこで自分たちの作業用にコンバージョンソフトを作っていましたが、それを製品化することになって。
販売するとなると、当たり前ですが自分たちの作業用とは訳が違う。出荷後に障害が見つかれば、たくさんのお客様へ迷惑をかけてしまいます。ソフトウェアファクトリー部で学んだノウハウを生かして、品質にこだわった製品開発を突き詰めていきました。

でもどんなに品質を高めても100％はありません。一番大変だったのはお客様先でトラブルが起こってしまった時。事前にトラブル発生に備えて、調査用のログ出力機能を埋め込んでいました。また、動作を制御するパラメータはバイナリコードの外に置いて変更しやすくする、逆にバイナリコードに製品バージョンがわかるようにテキストコードを埋め込んでおく、とか。万一障害が起こっても影響を最小限にするにはどうしたらいいかを想像して、いざというときにスピーディに対処できる工夫をあらかじめ埋め込んでおくのです。それによって、せめてお客様の困りごとを最小限にしたい。ちょっとした工夫ではあるけれど、実際に功を奏したときは嬉しかったですね。

見えているものはその延長線上を考える、見えないものは見えるようにする

●リスクマネジメントとの出会いは？
――鹿島建設に転職した後、2015年から情報セキュリティを本格的に担当することになりました。それまでセキュリティに関しては製品開発時の脆弱性テストくらいでした。とにかく知見を得たいと考えて、JUASの企業リスクマネジメント研究会に参加しました。一から勉強したいと思ったんです。

私たちの会社では、従来からセキュリティ確保 の風土はありましたが、今後は外部からの脅威に備えて組織的にセキュリティ強化をしていく必要を感じていましたので、まずCSIRTやSOCを立ち上げました。当時IT部門でセキュリティ担当は2名。ほぼ一人CSIRTのような状態から出発しました。

――私がセキュリティ担当になって、まず取り組んだことは、検知できているものは何か、そして検知できないもの、見えていないものは何かをすべてチェックすること。今でも毎日ログやアラートをチェックしています。

大きなインシデントの前には、大抵小さいインシデントが起きている。さらにはその小さいインシデントになる前の、小さなアラートが見えていることが多いんです。その小さなことから、「こういうことが起きているのだから、こんなことがあり得るよね」と、延長線上の想定をしていく。それでも予知できないものも当然ありますが、見えているものに関していえば、その 延長線上に何かが起きるというのは事実だと思うので、そこから先を考える。

では、見えていないものはどうするかですが、まず見えないものを見えるようにするにはどうしたらよいかを、考えていくのが最初のステップですね。併せてセキュリティの場合、誰かが利益を得ようと 攻撃をしてくるので、攻撃者の動向に関する情報を集めてくることも大事ですね。

いかに先を読み、できることを増やしておけるか

――セキュリティにしてもBCPにしても、リスクに対して完璧な防御はでき ません。災害なんてその最たるもの。じゃあ有事の際に、その場でできることは何だろうか 。それ を日頃から想定し 、考えて、いざことが起こったときの選択肢 を増やしておく。それが備えとしてできる精一杯のことなのだと思います。
その一丁目一番地として、リスクをきちんと定義できるか、想定できるかが重要なんです。それと同時に、インシデントが発生したときに何が起こるのか、最悪の状態を想定できること。悪い方に悪い方に考えて対策を検討しておくと慌てないですよね。

――リスクが複雑化、多様化する一方、企業としては利便性が重視され、リモートワークも常態化しているので、リスクを減らすことが正直難しい時代になってきたなと感じています。いわゆるDXの時代に入って、従来のセキュリティ対策がリセットされている 。リモートワークで 仕事をして、データもクラウド中心になっている。その中で攻撃者は何をしてくるのか。まだそこに対する考え方や手法が確立していないのが今だと思います。新たな脅威への対策を考えないと…。大変ではありますが、いかに先を読んでいくかは、ある意味この仕事の醍醐味でもありますね。

例外ばかりだからこそ、本質を伝えられるように準備がいる

――でも、セキュリティの場合、専門の人だけの頑張りでセキュリティが確保されることはまずないです。社員の一人一人がリスクに気づいて、こうしなきゃと行動していくこと に依存しています。ですから、企業全体という「チーム」の中で、社員という 「選手」 が誰でも的確に動けるように、セキュリティを担当する私たちがしっかり計画を練って、準備をしていくことが大事だなと思います。そうすることで社員一人一人の力を最大限に引き出され、組織として強くなる。そんな状態を目指したいですね。

ですから逆にセキュリティ部門が制限を設けすぎてもうまく回らない。抜け道を探して、そこでインシデントが起こってしまう可能性もある。ダメなことだけ伝えていても、新しい脅威には対応できないんですね。インシデントってほとんど例外のことばかり。だからこそ、本質的なノウハウを伝えていかなければいけないと思っています。あとは、仕組みづくりがとても重要。例えば変かな？と思うメールが来たらすぐ誰かに聞けるとか。一般の社員の方、ITに関連している部署の方など、ITのスキルレベルに応じて、リスクをわかりやすく説明しながら、問い合わせやインシデントに対応していくことが重要ですね。

何をやるにも作業品質

●伊藤さんが人生の中で大切にしていることは何でしょうか。
――自分はできていないので大切にしたいことは、継続することですね。基本的に私は、飽きっぽい、記憶力がない（笑）。積み上げていかないといけないなあと考えています。

また、問い合わせ対応でも、インシデント対応でも、常に作業品質は大切にしています。何をやるにも品質重視、とでもいいましょうか。提供するものが例えばソフトウェアであっても、質問への回答であっても、先方が満足する、期待に応えられるものを返せるようにしています。仕事が増えて効率が悪いともいわれますが、能天気なほうなので、作業が増えても、面倒くさいとか感じることがないんです（笑）。

●何をやるにも品質重視。まさに相手の期待の延長線に真摯に向き合っていらっしゃる伊藤さんならではのお話のような気がします。最後に、そんな伊藤さんにとってJUASの企業リスクマネジメント研究会はどのような場でしょうか？
――今年で参加して8年ほどになります。今は部会長をさせていただいていますが、一言でいえば研究会は「新たな気づきが得られる場」。セキュリティ、リスクマネジメントというテーマのもと、専門家から素人に近い人までいるし、企業も、業種も違います。その立場の違いによる発言から新たな気づきがあります。
セキュリティやリスクマネジメントは競争する領域ではなくて、お互いに情報交換をして、自社のセキュリティ環境をいい状態にするものです。とにかくリスクが無限にあるので、お互いの経験を共有することが次に活きるんです。そしてセキュリティ、リスクマネジメントには正解がない。業種や担当によって悩みも違います。違うのに、みなさんが同じ話題で熱く語りあうことができる。そこが面白いですね。

参加した当初から、オープンですごく良い会だと思いましたし、今はコロナ禍でお休みしていますが、合宿や情報交換会でお互いの距離が縮まると、ますます話がしやすくなる。コロナ禍ではオンライン中心で活動し、その運営もこなれてきました。今後もリアルの良さ、オンラインの良さをミックスさせながら、みんなでいいアイディアを持ち寄って活動していきたいですね。

※掲載内容は2022年9月取材時のものです。
※インタビューはJUAS・五十井、鈴木が担当しました（ライター：平山貴子）