昨今、被害が後を絶たないサイバー攻撃。標的型メール攻撃や不正アクセス、ランサムウェア、DDoS攻撃などその種類は増加しており、また手口も巧妙化してきています。

私たちパーソルグループでは、人と組織にまつわる大切な情報をお預かりしています。これまでも厳格なセキュリティ基準をもとに事業運営を進めてきましたが、昨今の高度化するサイバー攻撃に備え、私たちもさらにセキュリティ対策のレベルを引き上げていかなくてはなりません。

そこで今回は、パーソルグループ全体のサイバーセキュリティ対策を担う吉田・会田・宮下と、パーソルキャリアで開発環境を対象としたゼロトラストの実現に取り組む廣・柿田の5名で、「あるべきセキュリティ対策」をテーマにディスカッションを実施。大切なポイントはグループビジョン「はたらいて、笑おう。」にありました――

• 多様化・巧妙化するサイバー攻撃への備えとして求められること
• 「サイバーレジリエンスの向上」と「ゼロトラストの実現」の2軸で、取り組みをさらに強化
• パーソルグループが目指すべきセキュリティ対策とは

 

※撮影時のみマスクを外しています。

 

多様化・巧妙化するサイバー攻撃への備えとして求められること

 

――まずは、それぞれの組織が担うお役割からお聞かせいただけますか。

会田：パーソルホールディングスのグループIT本部では、個社どうしのシナジーの強化や “グループ全体最適” を意識しながら、パーソルグループ全体のセキュリティレベルの底上げに取り組んでいます。

中でも「ルールやポリシーの策定を担う」機能とそれらに則って「セキュリティ対策を実装する」機能があり、私と宮下が所属するセキュアアクセスインフラ部は後者の役割を担う部署です。現在は、インフラ組織と協働してセキュリティ施策を進めながら、セキュリティ強化と利便性の向上に努めています。

 

廣：私たちテクノロジー企画部 ITセキュリティ企画推進グループは、パーソルHD側で進めてくださるグループ全体としての取り組みに加え、パーソルキャリアのプロダクトやテクノロジー活用に応じた取り組みを推進していく、専門のIT組織という位置付けになります。

自社プロダクトのセキュリティ向上に向けて、技術的な観点を持ってもう一歩踏み込んだ施策を打っていくことで、よりユーザー様に安心してサービスを使っていただける状態を目指しています。

 

――サイバーセキュリティを取り巻く昨今の状況について、教えてください。

宮下：以前は、情報を持ち出すことで金銭を入手するタイプのサイバー攻撃が多く見られましたが、最近では「ランサムウェア」と呼ばれるような、情報をブロックして利用不可能にした上で身代金を要求するタイプの攻撃が増えてきた印象です。

またウクライナ侵攻と連動する形で発生している「DDoS（Distributed Denial of Service ）攻撃」も、昨今多く見られるサイバー攻撃の一種です。官公庁などのサーバに大量のデータが送りつけられ、アクセスの集中によってパンクするといった被害が出ています。

 

――サイバー攻撃による被害が後を絶たず、攻撃の種類も多様になっている中で、社会的な課題となっているのは、どのような点でしょうか。

吉田：課題となることの一つには、これまで以上にいろいろな「モノ」がネットワークにつながるようになってきているので、社会的な影響や被害の範囲が変わってきているということではないでしょうか。

車や医療機器など物理的なモノも、ネットワークを介してつながる世の中ですので、これらも攻撃の対象になってしまうと、一瞬でインフラが止まってしまうので、さまざまな業態の企業がこういったサイバー攻撃を考えていかなくてはいけないですよね。

 

柿田：本当にそうですね。どの業界の企業においても大切なのは、攻撃者に「容易く攻撃できる」と思わせないこと。そのために、特別で複雑な “サイバーセキュリティ” が求められるのではなく、新たなセキュリティ更新が出たらアップデートする・2要素認証を設定する・パスワード管理を徹底する、といった簡単なことからも対策は始められます。

 

宮下：家の鍵を閉めなかったりカーテンを閉めていなかったりしたら、空き巣に入られやすい、というのと同じことですよね。もちろん新しい手法で攻撃を仕掛けてくる可能性がないとは言えませんが、基本的な対策をしっかりと取り続けることで、攻撃対象として狙われにくい一定の信頼性がある状態を作ることは可能なのだと思っています。

 

「サイバーレジリエンスの向上」と「ゼロトラストの実現」の2軸で、取り組みをさらに強化

 

――そのような昨今の情勢や課題感をふまえ、パーソルグループのセキュリティ対策の「これまでと現在」についてお聞かせください。

吉田：私が入社した際に、サイバーセキュリティを取り扱うチームが新規にでき、直後に「セキュリティ中期経営計画」を作成し、セキュリティの方針を提示しました。

いきなりすべてをカバーすることは難しいので、守るべきポイントを決めて、しっかりとリスク対策できるような体制を整え、施策を実行してきましたね。

パーソルグループは、多くの事業会社でも個人情報や機密情報を取り扱うため、それを守るためにまずは対策強化しようという形で、事業会社の基幹システムやネットワーク、体制などの支援なども実施してきました。

会田：現在では、中期経営計画で前回掲げたITセキュリティ関連の施策はほとんど完了しており、土台となる基本的なサイバーセキュリティを築くことができています。

具体的な取り組みの一例として、日々受ける攻撃をモニタリングして数値化し、セキュリティレポートという形でまとめて経営層〜グループ全体へのレポーティングを定期的に行っています。しっかりと情報共有をすることで、個人だけでなく各個社、さらにグループ全体で「こういった脅威への対策をしていこう」といった意識を高め、セキュリティ施策への協力をいただける状況が作れてきました。

セキュリティのさらなる強化や、利便性の向上に向けた取り組みにシフトしている状況です。

 

――現在課題と捉えていることや、今後取り組もうとしていることなどはありますか？

廣：セキュリティの運用において、徹底レベルをいかに高めるかが一つ課題になると思っています。

例えば、仮に「doda」がサイバー攻撃を受けた場合、インシデント対応部隊「CSIRT（Computer Security Incident Response Team）」を立ち上げて対応・報告を進めることになりますが、実際に大事故が発生したことがない現段階では、それらを迅速にやり切れるかどうかについては見通しきれない部分があると思っていて。

 

会田：グループ全体では定期的にCSIRTを立ち上げて一連の対応を行う訓練を重ねていますが、全ての個社やユニットで実施できている訳ではないですからね。

インシデントが発生してしまった際に、いかに迅速に「どのような事象が起きたのか」を調査・分析して復旧させ、報告できるか。つまり、どれだけ “回復力＝サイバーレジリエンス” を強化できるかが大切になると捉えています。

またもう一つの軸として、人々の働き方が変わりクラウドサービスが普及する中で、セキュリティも次世代のあり方へ変化する必要がありますから、SASE（Secure Access Service Edge）を活用しながら「ゼロトラスト（※）」の実現にも取り組んでいきたいですね。

 

宮下：その他、まだ企画段階ではありますが、セキュリティに興味があるエンジニアの方々を募って「CTF（Capture The Flag）」という情報セキュリティのスキルを競うゲームを実施しようと考えています。

パーソルHD側が主体となって進める中で、セキュリティへの興味を高めてもらったり、セキュリティ関係者と興味がある方々の間で交流が生まれたりするきっかけになれば嬉しいですね。

※ゼロトラスト：社内・社外といった境界の概念をなくし、情報資産にアクセスするものは全て信頼せずに安全性を検証する、新たなセキュリティの考え方

 

パーソルグループが目指すべきセキュリティ対策とは

 

――人や組織にまつわる大切な情報をお預かりするパーソルグループにおいて、「あるべきセキュリティ対策」とはどのようなものなのでしょうか。お考えをお聞かせください。

会田：私たちには「はたらいて、笑おう。」というグループビジョンを掲げていますので、サイバー攻撃に怯えることなく自分らしく働けるような、安心安全な環境を整えていくことが “あるべき姿” であると思っています。

だからこそ、セキュリティ強化はもちろんのこと、利便性の向上もセットで考えていく必要があるのではないでしょうか。

 

吉田：そうですね。この領域において次々と攻撃の手段が変わってしまうことから、どんな攻撃にも対応できるベストプラクティスはないと思っているので、常に冷静に世間の新しい攻撃の情報やソリューションなどを見極めながら、対策をしていくことが重要ですよね。そして私たち自身の働き方も変化しているので、時間や場所にとらわれない働き方でもセキュリティが一定レベルで保たれるようにしたいと思っています。

 

柿田：セキュリティ強化は “目的” ではなく、あくまで事業貢献のための “手段” であり、一人ひとりが心理的安全性を持ちながら最大のパフォーマンスを発揮できる環境を作るための “方法論” であることを意識したいですよね。

今までのセキュリティはどちらかというと締め付ける形のものでしたが、今後は防波堤として守るべきラインはしっかりと守りながらも、業務のスピードを落とすことなくセキュリティを確保していく姿が求められていくのだと思います。

 

――それらを実現するために、どのようなことが必要になるとお考えですか？

廣：セキュリティの専門人材を社内に増やしていくことが必要だと思っています。

プロダクトやシステム開発に携わる人のセキュリティレベルを高め、リスクを理解し気づける状態を作るのはもちろんのこと、セキュリティ企画自体を増やしたり、診断などを外注ではなく内部で行ったりするためにも、社内の体制を強化していきたいですね。

 

柿田：DXの文脈でセキュリティの強化が不可避と捉えている企業も多く、セキュリティエンジニアの確保はどの企業にとっても課題として取り組んでいると思いますが、そういった中での外部からの採用や内部でのメンバー育成もしていく必要がありますよね。セキュリティエンジニアの地位向上が一つの課題だと思います。

 

――日本においてはセキュリティ人材が不足しているとも言われますが、今求められる人材像とはどのようなものでしょうか。

柿田：セキュリティはどこまでいっても、「新たな攻撃が出てきたことを受け、それを防ぐ術が生まれる」「その対策をかいくぐる新たな攻撃が出てきて、またそれを防ぐ…」というイタチごっこです。このことを前提に置いて、常にアンテナを張ってトレンドをキャッチアップする志向の方がマッチすると考えています。

 

廣：セキュリティエンジニアというと、難しく感じてしまう方が多いものですが……。もちろん多様な知識を総動員するという意味で難しさもありますが、元を正せば、ネットワークとサーバーとパソコンと、とさまざまな技術が集まっているだけなんですよね。ですから、インフラが強ければやれるはずだと思っています。

 

会田：リモートワークの普及をはじめとした環境の変化に合わせて、新しいことにどんどん取り組んでいけるような方であれば、飛び込んでやっていけると思っています。

私も元々アプリケーションエンジニアの出身ですが、未経験から業務の中で知識を身につけ、セキュリティを担当できるようになりましたから。新しいことにチャレンジしようという意識をお持ちの方を、歓迎する気持ちでいっぱいです。

 

――ありがとうございました。それでは最後に、今後チャレンジしたいことをお聞かせください。

吉田：まずは現在、グループのインフラをゼロトラスト型に切り替えることを進めているので、これらをしっかりと遂行したいと思っています。グループの規模を考えるとそう簡単に進まないことも多いかと思っていますが、個社の皆さんにもご協力いただきながら進めていきたいですね。

また、もう一つは先ほどのCTFの話もそうですが、グループ内にいるセキュリティを担うメンバーの成長を支援する場や、成長したいと思えるような環境を創っていきたいです。セキュリティに関するスキルや知見を身に着けるきっかけを作ることで、メンバーがより自分のスキルを高められるようにしていきたいですね。

宮下：世界中のCSIRTによる情報交換や関係構築の場として設けられた「FIRST」というフォーラムに、今後パーソルのCSIRTとして参加できたら良いなと思っています。最先端の技術について情報を交換しあい、多様な知見を得られる機会にしたいですね。

 

会田：新たなセキュリティの考え方や課題の解決策が次々生まれてきているので、それに合わせて、次世代のセキュリティに対応できるようチャレンジを続けていきたいと思っています。

また先ほどの会話にもありましたように、情報がどんどん増えていく中でセキュリティ人材を増やすことの難易度は増してきているため、セキュリティ運用業務の自動化もさらに進めて行きたいと思います。

 

――ありがとうございます。柿田さん、廣さんからもお願いいたします。

柿田：草の根的に、現場から周知活動に取り組みたいと思っています。やはり難しい技術の話をするのではなく、自分ゴト化を促すような形で発信をしていきたいなと。そしてパーソルキャリアには私たちITセキュリティ企画推進グループがいて、“ルールの番人” ではなくITで事業を下支えする存在なんだ、という認知活動を進めていきたいなと思います。

廣：現在ITセキュリティ企画推進グループは4名で、ほとんどが兼務のメンバーですが、今後はより組織体制を強化し「セキュリティによる企業価値の創造」をやりきり、実績を積み重ねたいと思っています。

またその取り組み事例をグループ全体に対して共有していくことで、他の個社にも同様の組織が生まれるなど、影響を波及させていけたらいいなと思います。

 

――本日はありがとうございました！

 

（取材＝伊藤秋廣（エーアイプロダクション）／文＝永田遥奈／撮影＝古宮こうき）

 

 

 

 

※2022年12月現在の情報です。