【パーソルHD×パーソルキャリア 特別対談】巧妙化するサイバー攻撃――人と組織にまつわる大切な情報を持つ私たちだからこそ徹底している対策とは

【パーソルHD×パーソルキャリア 特別対談】巧妙化するサイバー攻撃――人と組織にまつわる大切な情報を持つ私たちだからこそ徹底している対策とは

昨今、被害が後を絶たないサイバー攻撃。標的型メール攻撃や不正アクセス、ランサムウェア、DDoS攻撃などその種類は増加しており、また手口も巧妙化してきています。

私たちパーソルグループでは、人と組織にまつわる大切な情報をお預かりしています。これまでも厳格なセキュリティ基準をもとに事業運営を進めてきましたが、昨今の高度化するサイバー攻撃に備え、私たちもさらにセキュリティ対策のレベルを引き上げていかなくてはなりません。

そこで今回は、パーソルグループ全体のサイバーセキュリティ対策を担う吉田・会田・宮下と、パーソルキャリアで開発環境を対象としたゼロトラストの実現に取り組む廣・柿田の5名で、「あるべきセキュリティ対策」をテーマにディスカッションを実施。大切なポイントはグループビジョン「はたらいて、笑おう。」にありました――

 

※撮影時のみマスクを外しています。

 

多様化・巧妙化するサイバー攻撃への備えとして求められること

 

――まずは、それぞれの組織が担うお役割からお聞かせいただけますか。

会田:パーソルホールディングスのグループIT本部では、個社どうしのシナジーの強化や “グループ全体最適” を意識しながら、パーソルグループ全体のセキュリティレベルの底上げに取り組んでいます。

パーソルホールディングス株式会社 グループIT本部 セキュアアクセスインフラ部 セキュアネットワーク室 室長 会田 志津

パーソルホールディングス株式会社 グループIT本部 セキュアアクセスインフラ部 セキュアネットワーク室 室長 会田 志津

中でも「ルールやポリシーの策定を担う」機能とそれらに則って「セキュリティ対策を実装する」機能があり、私と宮下が所属するセキュアアクセスインフラ部は後者の役割を担う部署です。現在は、インフラ組織と協働してセキュリティ施策を進めながら、セキュリティ強化と利便性の向上に努めています。

 

廣:私たちテクノロジー企画部 ITセキュリティ企画推進グループは、パーソルHD側で進めてくださるグループ全体としての取り組みに加え、パーソルキャリアのプロダクトやテクノロジー活用に応じた取り組みを推進していく、専門のIT組織という位置付けになります。

BITA統括部 テクノロジー企画部 ゼネラルマネジャー 廣 泰介

BITA統括部 テクノロジー企画部 ゼネラルマネジャー 廣 泰介

自社プロダクトのセキュリティ向上に向けて、技術的な観点を持ってもう一歩踏み込んだ施策を打っていくことで、よりユーザー様に安心してサービスを使っていただける状態を目指しています。

 

――サイバーセキュリティを取り巻く昨今の状況について、教えてください。

宮下:以前は、情報を持ち出すことで金銭を入手するタイプのサイバー攻撃が多く見られましたが、最近では「ランサムウェア」と呼ばれるような、情報をブロックして利用不可能にした上で身代金を要求するタイプの攻撃が増えてきた印象です。

パーソルホールディングス株式会社 グループIT本部 セキュアアクセスインフラ部 セキュアネットワーク室 宮下 海里

パーソルホールディングス株式会社 グループIT本部 セキュアアクセスインフラ部 セキュアネットワーク室 宮下 海里

またウクライナ侵攻と連動する形で発生している「DDoS(Distributed Denial of Service )攻撃」も、昨今多く見られるサイバー攻撃の一種です。官公庁などのサーバに大量のデータが送りつけられ、アクセスの集中によってパンクするといった被害が出ています。

 

――サイバー攻撃による被害が後を絶たず、攻撃の種類も多様になっている中で、社会的な課題となっているのは、どのような点でしょうか。

パーソルホールディングス株式会社 グループIT本部 セキュアアクセスインフラ部 部長 吉田 俊介

パーソルホールディングス株式会社 グループIT本部 セキュアアクセスインフラ部 部長 吉田 俊介

吉田:課題となることの一つには、これまで以上にいろいろな「モノ」がネットワークにつながるようになってきているので、社会的な影響や被害の範囲が変わってきているということではないでしょうか。

車や医療機器など物理的なモノも、ネットワークを介してつながる世の中ですので、これらも攻撃の対象になってしまうと、一瞬でインフラが止まってしまうので、さまざまな業態の企業がこういったサイバー攻撃を考えていかなくてはいけないですよね。

 

データガバナンス準備部 シニアエンジニア 柿田 一

データガバナンス準備部 シニアエンジニア 柿田 一

柿田:本当にそうですね。どの業界の企業においても大切なのは、攻撃者に「容易く攻撃できる」と思わせないこと。そのために、特別で複雑な “サイバーセキュリティ” が求められるのではなく、新たなセキュリティ更新が出たらアップデートする・2要素認証を設定する・パスワード管理を徹底する、といった簡単なことからも対策は始められます。

 

宮下:家の鍵を閉めなかったりカーテンを閉めていなかったりしたら、空き巣に入られやすい、というのと同じことですよね。もちろん新しい手法で攻撃を仕掛けてくる可能性がないとは言えませんが、基本的な対策をしっかりと取り続けることで、攻撃対象として狙われにくい一定の信頼性がある状態を作ることは可能なのだと思っています。

 

「サイバーレジリエンスの向上」と「ゼロトラストの実現」の2軸で、取り組みをさらに強化

 

――そのような昨今の情勢や課題感をふまえ、パーソルグループのセキュリティ対策の「これまでと現在」についてお聞かせください。

吉田:私が入社した際に、サイバーセキュリティを取り扱うチームが新規にでき、直後に「セキュリティ中期経営計画」を作成し、セキュリティの方針を提示しました。

いきなりすべてをカバーすることは難しいので、守るべきポイントを決めて、しっかりとリスク対策できるような体制を整え、施策を実行してきましたね。

パーソルグループは、多くの事業会社でも個人情報や機密情報を取り扱うため、それを守るためにまずは対策強化しようという形で、事業会社の基幹システムやネットワーク、体制などの支援なども実施してきました。

【パーソルHD×パーソルキャリア 特別対談】巧妙化するサイバー攻撃――人と組織にまつわる大切な情報を持つ私たちだからこそ徹底している対策とは

会田:現在では、中期経営計画で前回掲げたITセキュリティ関連の施策はほとんど完了しており、土台となる基本的なサイバーセキュリティを築くことができています。

具体的な取り組みの一例として、日々受ける攻撃をモニタリングして数値化し、セキュリティレポートという形でまとめて経営層〜グループ全体へのレポーティングを定期的に行っています。しっかりと情報共有をすることで、個人だけでなく各個社、さらにグループ全体で「こういった脅威への対策をしていこう」といった意識を高め、セキュリティ施策への協力をいただける状況が作れてきました。

セキュリティのさらなる強化や、利便性の向上に向けた取り組みにシフトしている状況です。

 

――現在課題と捉えていることや、今後取り組もうとしていることなどはありますか?

廣:セキュリティの運用において、徹底レベルをいかに高めるかが一つ課題になると思っています。

【パーソルHD×パーソルキャリア 特別対談】巧妙化するサイバー攻撃――人と組織にまつわる大切な情報を持つ私たちだからこそ徹底している対策とは

例えば、仮に「doda」がサイバー攻撃を受けた場合、インシデント対応部隊「CSIRT(Computer Security Incident Response Team)」を立ち上げて対応・報告を進めることになりますが、実際に大事故が発生したことがない現段階では、それらを迅速にやり切れるかどうかについては見通しきれない部分があると思っていて。

 

会田:グループ全体では定期的にCSIRTを立ち上げて一連の対応を行う訓練を重ねていますが、全ての個社やユニットで実施できている訳ではないですからね。

インシデントが発生してしまった際に、いかに迅速に「どのような事象が起きたのか」を調査・分析して復旧させ、報告できるか。つまり、どれだけ “回復力=サイバーレジリエンス” を強化できるかが大切になると捉えています。

またもう一つの軸として、人々の働き方が変わりクラウドサービスが普及する中で、セキュリティも次世代のあり方へ変化する必要がありますから、SASE(Secure Access Service Edge)を活用しながら「ゼロトラスト(※)」の実現にも取り組んでいきたいですね。

 

宮下:その他、まだ企画段階ではありますが、セキュリティに興味があるエンジニアの方々を募って「CTF(Capture The Flag)」という情報セキュリティのスキルを競うゲームを実施しようと考えています。

【パーソルHD×パーソルキャリア 特別対談】巧妙化するサイバー攻撃――人と組織にまつわる大切な情報を持つ私たちだからこそ徹底している対策とは

パーソルHD側が主体となって進める中で、セキュリティへの興味を高めてもらったり、セキュリティ関係者と興味がある方々の間で交流が生まれたりするきっかけになれば嬉しいですね。

※ゼロトラスト:社内・社外といった境界の概念をなくし、情報資産にアクセスするものは全て信頼せずに安全性を検証する、新たなセキュリティの考え方

 

パーソルグループが目指すべきセキュリティ対策とは

 

――人や組織にまつわる大切な情報をお預かりするパーソルグループにおいて、「あるべきセキュリティ対策」とはどのようなものなのでしょうか。お考えをお聞かせください。

会田:私たちには「はたらいて、笑おう。」というグループビジョンを掲げていますので、サイバー攻撃に怯えることなく自分らしく働けるような、安心安全な環境を整えていくことが “あるべき姿” であると思っています。

だからこそ、セキュリティ強化はもちろんのこと、利便性の向上もセットで考えていく必要があるのではないでしょうか。

 

【パーソルHD×パーソルキャリア 特別対談】巧妙化するサイバー攻撃――人と組織にまつわる大切な情報を持つ私たちだからこそ徹底している対策とは

吉田:そうですね。この領域において次々と攻撃の手段が変わってしまうことから、どんな攻撃にも対応できるベストプラクティスはないと思っているので、常に冷静に世間の新しい攻撃の情報やソリューションなどを見極めながら、対策をしていくことが重要ですよね。そして私たち自身の働き方も変化しているので、時間や場所にとらわれない働き方でもセキュリティが一定レベルで保たれるようにしたいと思っています。

 

柿田:セキュリティ強化は “目的” ではなく、あくまで事業貢献のための “手段” であり、一人ひとりが心理的安全性を持ちながら最大のパフォーマンスを発揮できる環境を作るための “方法論” であることを意識したいですよね。

【パーソルHD×パーソルキャリア 特別対談】巧妙化するサイバー攻撃――人と組織にまつわる大切な情報を持つ私たちだからこそ徹底している対策とは

今までのセキュリティはどちらかというと締め付ける形のものでしたが、今後は防波堤として守るべきラインはしっかりと守りながらも、業務のスピードを落とすことなくセキュリティを確保していく姿が求められていくのだと思います。

 

――それらを実現するために、どのようなことが必要になるとお考えですか?

廣:セキュリティの専門人材を社内に増やしていくことが必要だと思っています。

プロダクトやシステム開発に携わる人のセキュリティレベルを高め、リスクを理解し気づける状態を作るのはもちろんのこと、セキュリティ企画自体を増やしたり、診断などを外注ではなく内部で行ったりするためにも、社内の体制を強化していきたいですね。

 

柿田:DXの文脈でセキュリティの強化が不可避と捉えている企業も多く、セキュリティエンジニアの確保はどの企業にとっても課題として取り組んでいると思いますが、そういった中での外部からの採用や内部でのメンバー育成もしていく必要がありますよね。セキュリティエンジニアの地位向上が一つの課題だと思います。

 

――日本においてはセキュリティ人材が不足しているとも言われますが、今求められる人材像とはどのようなものでしょうか。

柿田:セキュリティはどこまでいっても、「新たな攻撃が出てきたことを受け、それを防ぐ術が生まれる」「その対策をかいくぐる新たな攻撃が出てきて、またそれを防ぐ…」というイタチごっこです。このことを前提に置いて、常にアンテナを張ってトレンドをキャッチアップする志向の方がマッチすると考えています。

 

廣:セキュリティエンジニアというと、難しく感じてしまう方が多いものですが……。もちろん多様な知識を総動員するという意味で難しさもありますが、元を正せば、ネットワークとサーバーとパソコンと、とさまざまな技術が集まっているだけなんですよね。ですから、インフラが強ければやれるはずだと思っています。

 

会田:リモートワークの普及をはじめとした環境の変化に合わせて、新しいことにどんどん取り組んでいけるような方であれば、飛び込んでやっていけると思っています。

【パーソルHD×パーソルキャリア 特別対談】巧妙化するサイバー攻撃――人と組織にまつわる大切な情報を持つ私たちだからこそ徹底している対策とは

私も元々アプリケーションエンジニアの出身ですが、未経験から業務の中で知識を身につけ、セキュリティを担当できるようになりましたから。新しいことにチャレンジしようという意識をお持ちの方を、歓迎する気持ちでいっぱいです。

 

――ありがとうございました。それでは最後に、今後チャレンジしたいことをお聞かせください。

吉田:まずは現在、グループのインフラをゼロトラスト型に切り替えることを進めているので、これらをしっかりと遂行したいと思っています。グループの規模を考えるとそう簡単に進まないことも多いかと思っていますが、個社の皆さんにもご協力いただきながら進めていきたいですね。

また、もう一つは先ほどのCTFの話もそうですが、グループ内にいるセキュリティを担うメンバーの成長を支援する場や、成長したいと思えるような環境を創っていきたいです。セキュリティに関するスキルや知見を身に着けるきっかけを作ることで、メンバーがより自分のスキルを高められるようにしていきたいですね。

【パーソルHD×パーソルキャリア 特別対談】巧妙化するサイバー攻撃――人と組織にまつわる大切な情報を持つ私たちだからこそ徹底している対策とは

宮下:世界中のCSIRTによる情報交換や関係構築の場として設けられた「FIRST」というフォーラムに、今後パーソルのCSIRTとして参加できたら良いなと思っています。最先端の技術について情報を交換しあい、多様な知見を得られる機会にしたいですね。

 

会田:新たなセキュリティの考え方や課題の解決策が次々生まれてきているので、それに合わせて、次世代のセキュリティに対応できるようチャレンジを続けていきたいと思っています。

また先ほどの会話にもありましたように、情報がどんどん増えていく中でセキュリティ人材を増やすことの難易度は増してきているため、セキュリティ運用業務の自動化もさらに進めて行きたいと思います。

 

――ありがとうございます。柿田さん、廣さんからもお願いいたします。

柿田:草の根的に、現場から周知活動に取り組みたいと思っています。やはり難しい技術の話をするのではなく、自分ゴト化を促すような形で発信をしていきたいなと。そしてパーソルキャリアには私たちITセキュリティ企画推進グループがいて、“ルールの番人” ではなくITで事業を下支えする存在なんだ、という認知活動を進めていきたいなと思います。

【パーソルHD×パーソルキャリア 特別対談】巧妙化するサイバー攻撃――人と組織にまつわる大切な情報を持つ私たちだからこそ徹底している対策とは

廣:現在ITセキュリティ企画推進グループは4名で、ほとんどが兼務のメンバーですが、今後はより組織体制を強化し「セキュリティによる企業価値の創造」をやりきり、実績を積み重ねたいと思っています。

またその取り組み事例をグループ全体に対して共有していくことで、他の個社にも同様の組織が生まれるなど、影響を波及させていけたらいいなと思います。

 

――本日はありがとうございました!

 

(取材=伊藤秋廣(エーアイプロダクション)/文=永田遥奈/撮影=古宮こうき)

パーソルホールディングス株式会社 グループIT本部 セキュアアクセスインフラ部 部長 吉田 俊介

吉田 俊介 Shunsuke Yoshida

パーソルホールディングス株式会社 グループIT本部 セキュアアクセスインフラ部 部長

2017年にパーソルホールディングス(旧テンプホールディングス)に中途入社。パーソルグループ全体のセキュリティ対策の立案・推進や、グループ共通NWのセキュリティ施策の導入・運用等、セキュリティインシデント時の対応を行うCSRITのリーダーを担当。現在は、グループ共通NWをクラウド・モバイル利用に適したアーキの検討、ゼロトラスト化の推進などを担当。

 

パーソルホールディングス株式会社 グループIT本部 セキュアアクセスインフラ部 セキュアネットワーク室 室長 会田 志津

会田 志津 Shizu Aida

パーソルホールディングス株式会社 グループIT本部 セキュアアクセスインフラ部 セキュアネットワーク室 室長

2018年入社。金融系のSIerでシステムエンジニアとしてキャリアをスタートし、2社目のパーソルテンプスタッフでSESとしてWeb開発に従事後、インターネットサイトのIT企画を担当。グループのキャリアチャレンジ制度を活用し、パーソルホールディングス(旧サイバーセキュリティ部)へ転籍。2021年より室長に着任。

 

パーソルホールディングス株式会社 グループIT本部 セキュアアクセスインフラ部 セキュアネットワーク室 宮下 海里

宮下 海里 Kairi Miyashita

パーソルホールディングス株式会社 グループIT本部 セキュアアクセスインフラ部 セキュアネットワーク室

2017年にパーソルホールディングス(旧テンプホールディングス)の新卒採用一期生として入社。セキュリティサービスに関連する企画/導入/運用業務およびインシデントレスポンス全般を担当。CISSP、CISA、情報処理安全確保支援士(RISS)を保持。

 

BITA統括部 テクノロジー企画部 ゼネラルマネジャー 廣 泰介

廣 泰介 Taisuke Hiro

BITA統括部 テクノロジー企画部 ゼネラルマネジャー

2006年にパーソルキャリア(旧:インテリジェンス)に新卒入社。キャリアアドバイザー、営業企画部門を経て、2012年よりシステム(BITA)部門へ配属。2015年にマネジャー着任。2020年より現任。

 

データガバナンス準備部 シニアエンジニア 柿田 一

柿田 一 Hajime Kakita

データガバナンス準備部  シニアエンジニア

2020年6月入社。金融系のシステム保守からキャリアをスタートさせ、2社目の金融系シンクタンクではシンガポール駐在含めPMとしてITインフラ開発に関わる案件全般やチームマネジメントに従事。パーソルキャリア入社後はエンジニアが働きやすい環境作りに従事しており、それに伴う社内ルール、プロセス、体制の見直し等に至るまで幅広く取り組み中。

※2022年12月現在の情報です。