サイバーセキュリティエキスパートの仕事とは?安心・安全なサービスと開発環境を提供【サイゲームス仕事百科】
情報セキュリティを確保することは、現代の企業の必須事項の1つ。ユーザーのみなさんがゲームを安全に楽しめ、開発陣も安心してゲームづくりに専念できる環境の構築が不可欠です。サイゲームスでは、会社の命綱とも言える情報セキュリティを「サイバーセキュリティエキスパート(以下、CSE)」という部署が担っています。今回は、CSEの仕事について、マネージャーへの取材を基に解説します。
▼安心・安全なものづくりのためのセキュリティ確保
▼サイバーセキュリティエキスパートの主な仕事内容
▼サイバーセキュリティエキスパートの業務フロー
▼求められるスキル・マインド
▼仕事のやりがいとは?
▼サイバーセキュリティエキスパートのキャリアパス
▼サイバーセキュリティエキスパートを目指す人へのアドバイス
安心・安全にものづくりができるよう
セキュリティを確保するのが使命
CSEは、「社員が最高のコンテンツを安全に、安心して作ることができる環境を提供する」というミッションステートメントを掲げています。これは、情報セキュリティに関する一般的な考え方を、「最高のコンテンツを作る会社」というサイゲームスのビジョンに合わせたものです。良いコンテンツを作るには、ものづくりに専念できる安心・安全な環境が必要です。その環境を実現するために、CSEという部署が存在します。
業務としては、情報セキュリティの全体設計をし、安全性の確保のためのガイドラインを策定しています。その指針に基づき、外部からのサイバー攻撃への対応と、自社が提供するコンテンツが安全なものになっているかの検証を行います。
セキュリティを考えるにあたっては、「人の面」と「技術の面」の両面で考えています。人の面とは、社内スタッフの全員がセキュリティ意識を高く持ち、個人レベルでセキュリティを担保することです。そのために、相談を受けるだけでなく、CSE側からも積極的に情報を発信し、スタッフの意識を高める施策に取り組んでいます。もう1つの技術面とは、不便なく使えることです。セキュリティを高めると、どうしても手間が増えたりスピードが落ちたりといったトレードオフが発生しますが、極力不便を発生させないようにしています。
サイバーセキュリティエキスパートの
主な仕事内容
CSE業務は、下記の4つのカテゴリーに大別されます。ただし、人員をカテゴリーで分けることはせず、その場の状況や各自の得意分野によって、最適なメンバーが対応する方式を取っています。
■社内システム分野
社内の情報セキュリティに関する業務です。アンチウイルスソフトなどのセキュリティ製品/サービスの管理のほか、脆弱性情報のチェック、セキュリティログの管理・異常監視、外部からの侵入やウイルス感染への対処なども担当します。この他、社内の各部署からの相談に応じるヘルプデスクの役割も果たしています。例えば、個人情報に関する相談といったものです。このあたりの業務はハードウェア/ソフトウェアの管理担当部署である「システム管理チーム」と連携して業務にあたっています。
■ガバナンス分野
個人情報の扱いを含む情報セキュリティに関する方針を決め、統制をとる業務です。ルールやガイドラインを策定したり、研修や啓蒙活動を行ったりしています。なお、サイゲームスでは個人情報管理委員会を設置しており、個人情報を扱う案件はすべて委員会で審議の上、実施・導入しています。
■事業分野
ゲームアプリやWebサイトの脆弱性診断などを担当します。また、例えばゲームタイトルで「セキュアコーディング(※1)を導入したい」という相談があった際に、事例や対応製品、国内外のガイドラインを調べる、勉強会を開くといったことも行います。
■リサーチ
情報セキュリティに関する技術や製品・サービスを調査する仕事です。既存の製品やサービスについては、広く知られている不具合の情報を共有しつつ、新しく報告された脆弱性情報を日々チェックして、自社で対応すべきものを抽出しています。また、新しく出てきた技術や製品、サービスについても情報を収集し、有用と思われるものを押さえておきます。セキュリティに関する技術は日々進歩しているので、常にアンテナを張っておくことが求められます。
※1 セキュアコーディング……要件定義、設計、コーディングの段階で脆弱性を作り込まないようにし、サイバー攻撃に耐え得る堅牢なプログラムを書くこと
サイバーセキュリティエキスパートの
業務フロー
続いてCSEの業務フローをご紹介します。ここでは代表的な例として、社内システム分野の業務の流れを簡単にご説明します。
1.情報収集
サービスや製品、新技術の動向、攻撃のトレンド、法規制の変化といった、セキュリティに関する情報を収集します。
2.脅威の予測・必要な施策の検討
収集した情報に基づいて今後脅威となりそうなポイントを予測し、その脅威に対して必要となる対策を検討します。脅威をどのようにして防ぐか、また脅威にさらされた際にどのように対処するかを決めておきます。
3.検証・運用設計
予防策・対応策が機能するかをツールや外部サービスなどを用いて検証し、機能する目途がついたら実際の運用設計に落とし込みます。
4.導入・運用
運用設計に基づき、関係各所にセキュリティ対策を導入し、運用を開始します。必要に応じてCSEが導入のサポートも行います。
5.効果測定・見直し
運用状況を日々チェックし、対策が機能しているかどうかを測定します。測定結果に基づき、改善が必要な箇所があれば運用に反映します。また、施策が効果的に機能していないことが判明した場合は、施策そのものを見直します。
我々CSEでは、施策の実行プロセスを上記のようにデザインし、OODA(※2)ループを回すことで素早い意思決定と変化への対応ができる体制をとっています。運用の上で気を付けているのは、下記の3点です。
- 利用者が不便と感じないセキュリティ対策を考える
- 効率の良い運用を考える
- 対策は慎重かつ迅速に、段階を分けて行う
※2 OODAループ……Observe(観察)、Orient(方向づけ)、Decide(意思決定)、Act(行動)の頭文字をとったもので、意思決定をするための考え方。変化する状況に対して迅速・柔軟に対応できるのが特徴
安全性を高めつつも、利用者の業務や事業に悪影響を与えないことも重要です。そこで、リスク評価を適切に行うことで、なるべく負担の少ないやり方を考えています。
それでも、利用者にどうしても手間をかけてしまうこともありますが、その場合は別の面で負担を減らすなどにして、バランスをとるように心掛けています。
サイバーセキュリティエキスパートに
必要なスキルとマインド
ここでは、CSEスタッフに求められるスキルやマインドについてご紹介します。
■現場の意見に耳を傾ける柔軟性
優れた施策も、押し付けになってしまっては効果が見込めません。ときには現場とCSEで相反する意見が出ることもありますが、それでくじけることなく、「それでは既存のルールの中でこんなやり方はどうですか?」と相手に寄り添って現実的な案を考える柔軟性が必要です。
■自発的に動く積極性
情報セキュリティの状況は時々刻々と変化するため、後々問題になりそうなポイントを先読みしておかないと対応速度が遅れてしまいかねません。従って、CSEは「待ち」の姿勢では務まらない部署と言えます。利用者からの相談に応じるだけでなく、自ら問題を積極的に探して対策を講じる積極性も求められます。
■セキュリティに関する幅広い知識
各業界には特有の事情があるため、求められるセキュリティの知識も業界や分野ごとに異なります。サイゲームスはゲーム以外のコンテンツも扱っているため、ゲーム業界の知識はもちろん、マンガやEC業界についての知見も必要ですし、PCやサーバー、ネットワーク、セキュリティ規格などの知見も必要になります。得意分野が複数あると視野が広がるため、色々な分野のセキュリティを知っていることが理想です。その意味で、さまざまな知識を吸収することが楽しいと思えるマインドが重要と言えます。
サイバーセキュリティエキスパートの
やりがいとは?
サイゲームスがやっている事業が好きで、その運営を支援できていることがうれしいと感じます。ゲームは人々に楽しんでもらったり、感動してもらったり、良い影響をたくさん与えています。そんな会社で、コンテンツを安心・安全に作れる環境を実現できているのは、我々の密かな喜びです。
正直に言って、セキュリティ担当者は安全性のために色々なことを禁止する立場なため、ときには社内の人たちに疎まれてしまうこともあります。だからこそ、みんなの仲間だと信用され、協力を得られるような部署を目指してCSEを運営してきました。
例えば、堅いイメージのあるセキュリティの知識を楽しく吸収してもらえるように、ネコが会話をしている形式の読み物「にゃんともセキュリティな日々」を社内で定期的に発信しているのも、そうした取り組みの一環です。
我々は会社を取り締まる「警察」ではなく、トラブルを未然に防いだりケアしたりする「医師」のような立場であることが、社内で段々と理解してもらえるようになってきたと感じています。
また、セキュリティの仕事は、事前に事故を食い止め何も起こらない状態にするのがベストです。「何も起きていない=何も仕事をしてない」と捉えられてしまうようなこともありますが、サイゲームスの場合は会社の上層部がセキュリティに理解があり、きちんと評価してもらえる点もやりがいに繋がっています。
サイバーセキュリティエキスパートの
キャリアパス
現状ではCSEのメンバーは全員中途入社で、情報セキュリティ関連の企業やシステムインテグレーターのセキュリティ部門で働いていた人たちです。業務の性質上、ネットワークからアプリケーションまで幅広い知識が求められるため、現在は新卒で入ったスタッフはいません。とはいえ、部署としてもさらに拡大する必要があるため、若手を育成する準備も進めているところです。
キャリアパスとしては、セキュリティのスペシャリストとして各種施策に取り組むのがメインになるでしょう。将来的には、組織の拡大とともにマネジメントや人材育成といった方向性も出てくると思います。
サイゲームスのサイバーセキュリティエキスパートを
目指す人へのアドバイス
面接では、過去の業務でお客様との折衝経験があるかどうか、物事を前向きに捉えられる人かどうか、能動的に仕事を作っていった経験があるかといった質問をすることが多いです。
CSEに限らず、サイゲームスには新しい取り組みにも「やってみたら?」と挑戦させてくれる文化があります。だから、自分からいくらでも仕事を作れますし、逆に言えば型通りの解決方法はあまり通用せず、常に最適な方法を考えていく必要があります。新しいことに挑戦し続けるので退屈しませんし、挑戦した結果、問題解決力や交渉力を高めていくことができます。情報セキュリティに関して、そのような仕事に魅力を感じる人には、ぜひ応募してほしいと思います。
もちろん、ゲームが好きであることや、エンターテインメント関連の事業に理解があることは重要視します。あとは、「求められるスキルやマインド」でも述べたように、複数の分野の経験がある人、自己研鑽を欠かさない人に来てほしいと考えています。
以上、サイバーセキュリティエキスパートの仕事についての解説でした。
現在サイゲームスでは、一緒に働く仲間を募集しています。この記事で興味を持った方は、ぜひ一度こちらをチェックしてみてください。
★あわせて読みたいエンジニアにまつわる記事