リクルート社のCSIRT構成に関するスピーチ公開 企業組織でのセキュリティに必要なのは「判断基準」

リクルートグループのITインフラである「リクルートテクノロジーズ」のサイバーセキュリティ部専門役員「鴨志田昭輝」氏は、ガートナー ジャパンが主催する、「ガートナー セキュリティ&リスク・マネジメントサミット2019」において、リクルートでのCSIRT結成に関するスピーチ内容が公開されました。

リクルートでのCSIRT指針3項

鴨志田は、リクルートテクノロジーズ入社当時の、社内セキュリティ環境作りにおいて、「ガバナンス(統治)はやらず、現場のユーザーを支援する。楽しみながらCSIRT業務にあたる」ことを重要視して、組織構成を行いました。
その中で、CSIRT業務を進める上での3つの指針を以下のとおり設定し、合わせてそれらの理由も説明しました。

①Reality(現実性)
セキュリティへの投資額とリスクの、ちょうどいい“あんばい”を決めることが専門家の仕事し、リスクがあればためらわず禁止を奨めることが必要とのこと。セキュリティ部門に関わる可能性がある責任から、逃れようとすることは論外。

②Responsibility(責任感)
各社に対して感謝の気持ちを持ち、「やらせる」立場ではなく「支援する」立場だということを忘れないことが大切。統制はせず、各社にお願いしての支援をして、組織一丸となって対応する

③Specialty(専門性)
身に付けている技術は、磨き続けないと陳腐化する

セキュリティに必要なのは、バランスではなく明確な「判断基準」

鴨志田は、今回のスピーチまとめとして、
セキュリティと利便性のバランスという言葉が大嫌い。
バランスは思考停止の用語。
判断基準こそがセキュリティのファンダメンタル(原理原則)だ
としており、
バランスを保つことが重要ではなく、企業組織内でどこをどれだけ守るのかという「判断基準」を設けることが必要だと主張しました。
 

【参考URL】
セキュリティエンジニアの幸せを重視する–リクルートのCSIRT構築