ユニークかつチャレンジングなDeNAのモノづくり体制。本連載『モノづくり対談』では、その実情とビジョンに迫ります。
「インフラ・セキュリティ・品質管理部門は一般的に裏方のイメージがありますが、DeNAではモノづくりを牽引している重要なセクションです。」そう語るのは執行役員でシステム本部長のnekokakこと、小林 篤(こばやし あつし)。
連載第3回目の今回は、今から20年前にIBMからDeNAに移り、社内外でセキュリティのスペシャリストとして名高いセキュリティ部部長、茂岩 祐樹(しげいわ ゆうき)が登場します。
対談テーマは「セキュリティ業務内製化のメリットと今後のチャレンジ」。
2012年にふみきった脆弱性診断の内製化では、1億円以上の外注費減効果を実現。社内外でプレゼンスを強めていくDeNAセキュリティを牽引する茂岩が、未来と世界を見据えた今後のセキュリティ領域でのチャレンジを語ります!
株式会社ディー・エヌ・エー執行役員システム本部本部長
小林 篤(こばやし あつし) @nekokak
法学部法律学科からエンジニアへ転身し、2011年にDeNAに入社。Mobageおよび協業プラットフォームの大規模システム開発、オートモーティブ事業本部の開発責任者を歴任。2018年より執行役員としてDeNAのエンジニアリングの統括を務める。社内では通称で「ネコカクさん」「ネコさん」と呼ばれている。
株式会社ディー・エヌ・エーシステム本部セキュリティ部部長
茂岩 祐樹(しげいわ ゆうき)
1995年日本IBM入社。1999年DeNAへ。創業時から2014年までインフラ構築・運用を統括。2014年にセキュリティ部を設立し、情報セキュリティを統括。著書に『DeNAのサイバーセキュリティ Mobageを守った男の戦いの記録』(日経BP社)がある。
セキュリティ業務内製化は1人の熱意から始まった
nekokak
今回の「モノづくり対談」はセキュリティ領域ですね。茂岩さん、よろしくお願いします!
茂岩
よろしくお願いします。
nekokak
「DeNAのセキュリティはレベルが高い」。業界内ではそんな評価があるし、私もそれは実感しているところ。ですが、改めて茂岩さんとしてはどう思われますか?
茂岩
ありがたいことにそうした声をいただくことは多いですよね。私たち自身、日々レベルの高いセキュリティ施策を維持することを意識して仕事をしています。
nekokak
DeNAで特徴的なのはセキュリティ業務をほぼ完全に内製化している点ですよね。私たちのようなITベンチャーではあまりないと思います。
茂岩
ええ、珍しいと思いますね。
大変ではありますが、社内に人材をおいて自ら手がけるからこそ、セキュリティのナレッジが積み上がります。2010年前後のセキュリティ黎明期からセキュリティ業務を内製化してきたからこそ「DeNAのレベルは高い」という評価もいただけているのかと。
nekokak
もともとDeNAのセキュリティ業務内製化を提唱して推し進めたのは、茂岩さんだったんですよね?
茂岩
そうです。
そのきっかけのひとつになったのは、2010年にDeNAがアメリカのゲーム開発会社を買収したこと。
今もそうですが、やはり日本よりアメリカのほうがハッキングなどのリスクレベルも高いし攻撃の量も多いので、よりセキュリティを強めていかなければいけないと思ったんです。
もちろんDeNAは、当時からオークションやMobageなどゲームのプラットフォーマーとしてすでに多くのお客様の個人情報を扱っていたので、セキュリティ意識は強かった。
しかし、あくまで各事業部任せでしたからね。そこでセキュリティ施策を社内横断的に取り組めるような組織体が必要になるだろうと、考えたんです。
nekokak
2010年といえば、ガラケー、つまりフィーチャーフォンからスマートフォンへと市場が移行してきた時期。DeNAもスマートフォン向けサービスへと移行していくタイミングでしたしね。
茂岩
当然、その流れもセキュリティ強化に踏み切る大きな理由となりました。
ガラケー時代は、キャリアゲートウェイ以外のIPからのアクセスを絞ることで比較的安全性を確保しやすい状態でした。
ところが、スマートフォンが流通するとWi-Fi接続によるアクセスを前提とする必要があります。結果として世界中から攻撃を簡単に受けてしまうリスクが出てきて、そうも言っていられなくなったんです。
この頃私個人もセキュリティについて興味が強まり、いろいろと調べていました。すると「ハッキングってこんなに簡単にできてしまうのか」とわかり驚きましたね。
エンジニアの性分として、新しい技術を知るのは私もおもしろく、純粋に新たなフィールドが出てきた気がして、変な感動もあったくらいです。
ですが、裏返すと手立てを打たなければ簡単に攻撃されてしまう、ということがわかった。「脆弱性の芽を先につぶしていくセキュリティはより必要になるし、おもしろい仕事だ」と。ホワイトハッカーのようなことですよね。
nekokak
それまでも茂岩さんはずっとインフラエンジニアとしてキャリアを積んでいらしたわけですよね?
茂岩
ええ。もともと私は新卒でIBMに入り、インフラエンジニアをしていました。創業間もない頃に南場(※1)に誘われDeNAに入りまして。DeNA入社後もやはり一貫してインフラ全般を手がけるエンジニアをしていました。それからnekokakさんの前の前のシステム本部長を勤めた、という感じですね。
※1……DeNA創業者であり、現代表取締役会長の南場智子。
nekokak
そうした、モノづくりのシステム全般を見てきた中でも、セキュリティエンジニアリングは段違いで茂岩さんの興味をひいたわけですか?
茂岩
そうですね。セキュリティの大きな変化の時期に立ち会えておもしろいと思っていましたし、将来的にはセキュリティはより重要になるので片手間では難しいだろうとも感じたんです。
そこで、セキュリティに特化した部署の立ち上げに向け、まずは1人でスモールスタートしました。当時のCTOにかけあって、システム本部からスピンアウトするかたちでセキュリティに興味の高そうな人間を各部署からピックアップしたんですね。
それで、2011年に「DeNA CERT」(※2)という社内横断チームをつくりました。
※2……Computer Emergency Response Team。不正アクセスや情報漏えいなどのインシデントが発生したときに対応するための組織のこと。1988年、大規模なウイルス感染のインシデント「モーリス・ワーム事件」が発生したとこでカーネギーメロン大学内で設立されたのが最初とされる。
nekokak
いわゆる企業内CSIRT(※3)ですよね。当時、ITサービス事業者でCSIRTを組織するようなところはなかったはず。とても早い段階で踏み込みましたよね。しかも茂岩さん1人で、会社を動かしたわけだし。
※3……Computer Security Incident Response Team。前出CERTの一般名詞。そもそもCERTは米国のインターネットセキュリティを扱う研究機関であるCERT/CCの登録商標。
茂岩
これもタイミングが良かったからですね。当時は世の中の機運がセキュリティ対策に向き始め、会社を中から動かすにはやりやすかったんです。
日本でも企業がインターネット経由で個人情報を漏洩させたり、ウイルス攻撃でシステムをダウンさせたり。というニュースが流れ始めていて。
nekokak
そしてこの「DeNA CERT」の活動から、2014年のセキュリティ部の設立につながるんですよね。
茂岩
そうですね。社外の専門会社に出していた脆弱性診断までも内製化する体制をこのときつくった、というわけです。
内製化メリットはコスト減だけではない
nekokak
セキュリティ部は、大きく2つに分かれていますね。改めて茂岩さんから2つのグループの違いを伺えますか?
茂岩
はい。「セキュリティ技術グループ」と「セキュリティ推進グループ」があります。ミッションは両方とも、DeNAグループが手がけるアプリやサービスに関して、サイバー攻撃や情報漏えいのリスクに備えること。しかし、そのミッションに対し果たす役割が違うんです。
nekokak
大雑把に言うなら、技術グループが理系で、推進グループが文系のイメージでしょうか。
茂岩
そうです。
まず「技術グループ」の主な仕事は脆弱性診断です。セキュリティエンジニアが、DeNAグループが開発したゲームやアプリ、あるいはサービスやウェブサイトにセキュリティホール(※4)になりうるようなバグがないか、リリース前にチェックして、世に出る前に潰します。
※4……コンピュータのOSやソフトウェアで、プログラム不具合、設計上のミス等により発生した情報セキュリティ上の欠陥」
nekokak
DeNAのような会社だと常に大量のアプリやサービスをローンチし、それぞれのアップデートなどもとても多い。なので、ここを内製化したことはコスト面でメリットが大きいですよね。
茂岩
大きいですね。現在の脆弱性診断のボリュームをかつてのように外に出していたら、おそらく年間1億円以上の外注費は下らないはずです。
インシデントが起きないとプレゼンスを発揮しにくいセキュリティ業務において、このコスト減のインパクトは大きいと思います。
nekokak
ですが、こうした脆弱性診断だけでなく、業務を内製化するメリットは、コスト減だけではないですよね?
茂岩
ええ。業務の内製化は、コスト減だけでなく、対応スピードが出せること、ナレッジを社内に積み上げられることの2点にも大きくメリットがありますね。
対応スピード面から言うと、特にDeNAはイノベーティブな新作ゲームやオリジナルアプリサービスをスピード感持ってリリースしています。
こうしたゲームやアプリはゲームのルールやシステムの中身、アプリの動き方を理解した上でないと「どこにリスクが潜んでいるか」「どのあたりが危ないか」が判断しづらいんですね。
外部に発注すると、これを毎回説明してすり合わせる必要があるので、これだけで相当な時間がとられてしまいます。
nekokak
外部発注だとそれが工数を増やすことに直結して、コスト高にまたつながりますよね。それに、どうしても開発のスケジュールは流動的になりがちなことも、外注する際のネックですよね。
茂岩
そうなんです。診断会社だと「○月○日から診断をお願いします。納期は10日後で」という発注になる。
ところが、その期日までに開発が終わるかというと、そうもいかないことが多いですからね。内製であれば「ならばこちらの診断を先に」と調整の判断も圧倒的にしやすい。
逆に「明日までにはなんとか!」という要望も他案件の重要度などを共有できていれば対応しやすいですよね。
nekokak
そうですよね。
茂岩
それから「社内にナレッジを積み上げられる」という点。
特にDeNAはゲーム、アプリはもちろん、オートモーティブなどのIoT領域や、AI創薬などのヘルスケア、さらに横浜ベイスターズなどの球団経営に至るまで、本当に幅広い業務を手がけています。
それぞれに潜むセキュリティリスクに社内のセキュリティ部が対応しているので、広範囲に重層的な知見を溜めていける。
nekokak
それはもう1つの部署「セキュリティ推進グループ」も同じですよね。
茂岩
もちろんです。推進グループの主な仕事は、DeNAグループの各事業部がセキュリティに関するリスクを自律的にヘッジできるように、教育や啓蒙活動をすること。
現場レベルから各事業部の執行役員に至るまで、直接、もしくはe-ラーニングなどを使ってセキュリティの情報を伝えるのが仕事です。
彼らも当然、オセロニアの制作チームから横浜スタジアムに至るまでのDeNAの多彩な「現場」でコミュニケーションをとっていますからね。
nekokak
なるほど。こうしたDeNAにしかないセキュリティに関するナレッジが積み重なっていくのは我が社の強みですね。
茂岩
と同時に、そのままセキュリティに携わる人材にとっても、極めて魅力的だと思うんですよね。
「幸せなセキュリティエンジニア」になってほしい
nekokak
つまり、どういうことかと言うと?
茂岩
DeNAでのセキュリティの仕事は、間口がとても広いので活躍の場が見つけやすい上に、更に自分のスキルが磨ける、ということですね。
セキュリティエンジニアと一言でいっても、たとえばウェブ系とネイティブアプリ系では求められる資質が全く違います。
あるいは脆弱性診断でいえば、JavaScriptの領域が得意な人とメモリの改ざんポイント発見が得意な人がいたりする。こうした異なるスキルを持った方々に、広く活躍の場があるんです。
nekokak
そして、幅広い領域で活躍するレベルの高いセキュリティエンジニアが既に中にいますしね。彼らと切磋琢磨できることも、エンジニアとしてはポイントが高い。
茂岩
そうだと思います。セキュリティエンジニアって純粋に自分のスキルや知識をアップデートさせることにモチベーションを抱く人間が多いし、実際にDeNAにはそういう人間が揃っていますからね。私自身も含めて。
nekokak
Linuxのエンジニアが「新しいカーネルをつくった!」ということそのものに極めて喜びを感じるのに近い気がしますね。そのカーネルを誰かが使うという以前の、ピュアな「モノづくり」を楽しむエンジニアの姿がある気がします。
茂岩
近いかもしれないですね。そういった尖った得意領域、関心分野があって、それを磨き上げたいというエンジニアの方には満足してもらえると思います。
あとはこれは私のモットーでもあるのですが、セキュリティエンジニアの業務設計を「1つの領域だけではなく、なるべくたくさんの仕事を手がけられる」ようにしています。
nekokak
たとえばウェブ系の診断が得意な方が、アプリ系を手がけたり…と横断的に仕事に携わるということですよね。
茂岩
はい。会社によってはセキュリティエンジニアを「あなたはアプリ担当」「あなたはウェブ担当」と厳密に分けて配置するところもありますよね。
僕はあまりそれを良しとしていないんです。セキュリティ診断にも多彩な領域があるし、診断以外にも解析などセキュリティの仕事は数多ある。
それらを横断的に手がけたほうがキャリアのリスクヘッジになるし、視野広くセキュリティと向き合ったほうが、自分の専門分野がむしろ磨かれるという側面もあると思うんです。
nekokak
セキュリティにおけるオールラウンドプレイヤーを目指すことが、実は得意分野の知見を磨くことになると。
茂岩
ええ。さらにいえば開発もインフラも、コンピュータサイエンスのあらゆる分野を経験してやる、くらいでちょうどいい。実際に開発部門から異動してくる人や、逆にセキュリティ部門から開発部隊に異動した人もいますからね。
nekokak
セキュリティってシステムのことを知らないと本当の診断なんてできませんからね。アプリ開発エンジニアと同等の知識を持っているようなセキュリティエンジニアはバリューが発揮できる。
茂岩
まさに。そうして幅広い知見を持って強くなったほうがエンジニアは幸せになれると思うんです。
ここで言うのも何ですが「会社を飛び出してでも生きていける!」という状況がスペシャリティを持つ人間としてはベストなわけですからね。私自身がそのつもりで仕事しているし、それくらいの意気込みを持った方にはぜひジョインしてほしいと思っています。
nekokak
セキュリティ推進グループのほうも横断的な取り組みをしていますよね?
茂岩
彼らこそ活発です。先ほど言ったように、推進グループは文系というかエンジニアじゃない人間で構成されていますが、システムの設計やネットワークの勉強を日々しています。
彼らはネットワーク構成を見ただけで「どのあたりに脅威がありそうか」見つけられるトレーニングを積んでいます。いちいちエンジニアの知見を借りないと動けないようではスピード感は出せない。それは事業やサービスのスピードを殺すことにもつながりますからね。
nekokak
とくにDeNAはオートモーティブでは自動車メーカー、AI創薬では製薬会社と言ったように、多くのアライアンスを組んで事業を進める機会が増えました。こうした中でセキュリティの統制を真に組織横断的に実施していくのは、まさに推進グループの役割ですからね。
より磨き上げたスキルが必要になるし、やはり知見もアップデートしていかないと。
茂岩
ですね。セキュリティは事業会社のブレーキではない。アクセルの役目を果たすべきだと思うんです。
業界全体をリードした後、世界へ
nekokak
セキュリティ部は、今、SOC(※5)をつくる取り組みもしていますね。
※5……Security Operation Center。インシデントが起こった場合に、アラートを受けて対応する、というオペレーションシステム、あるいはサービス。
茂岩
はい。これまでは十分なリソースを投入できていなかったのですがこれから本格的に内製化します。
これにより、さらにスピーディーに正確なセキュリティヘッジができるようになることを期待して、ですね。
セキュリティ領域でもチャレンジングなことをし続けられるのも、他社ではなかなか無いDeNAの良さではないでしょうか。
nekokak
そういう意味では、DeNAは今後もさらに事業領域を狭めずに挑戦していきます。今まではゲームのイメージが強い会社でしたが、オートモーティブが存在感を出し始めているように。
これは、セキュリティ分野でも振り幅広くチャレンジができる、ということにもほかなりませんね。
それがまた学びの場となり、幸せなエンジニアとなる機会にもなります。さらに言うなら業界全体のセキュリティを底上げすることにつながると思う。その先にはDeNAのセキュリティは、グローバルレベルでもプレゼンスを発揮できることを目指していきます。
茂岩
同意です。DeNAのプレゼンスを上げるというよりも、業界全体のセキュリティ水準を上げていくのは、先行してきた私たちの使命かなと考えています。
2020年の東京オリンピックの頃はサイバー攻撃がバシバシくると言われているし、その後、日本のセキュリティに関する意識もガラリと変わるでしょう。リスクに備えるのが、私たちセキュリティ部の基本ですしね。
nekokak
ええ。世界に向けて一緒にアクセルを踏み込んでいける方々に、ぜひジョインしてもらいたいですよね! 本日はありがとうございました。
DeNA の最新情報は、公式Twitterアカウント(@DeNAxTech)にて確認いただけます。ぜひフォローをお願いします!
執筆:箱田 高樹 編集:榮田 佳織 撮影:小堀 将生
