相談者さまの想いを支えるSmart相談室の情報セキュリティー
今日は、エンジニアの長濱さんにSmart相談室のセキュリティーについて話を聞いたものをお届けします。
お陰様で社員数も利用企業さま数も増えて、これまで以上に情報資産の取り扱いに気をつけるようになって来ました。長濱さんは、そんなSmart相談室の情報セキュリティーの責任者です。
現在のSmart相談室におけるセキュリティーの考え方についてお話いただきます。聞き手は私、藤田が担当させていただきます。
Smart相談室は安心して相談できるサービス、その安心を担保している
(藤田)何から始めますか?
(長濱さん)何から始めましょうか?僕は聞かれる側かと思っております!
(藤田)(笑)セキュリティって重要ですか?(笑)
(長濱さん)(笑)それ重要ですね。一般的に今、情報資産の価値が高まっているので、その取り扱いには注意が必要です。
更に、Smart相談室が預かっている情報っていうのが非常に資産価値の高いものであるということを認識しないとダメですね。今後は、事業規模が大きくなっていくので今のうちに情報資産の取り扱いについてしっかりとしたガイドラインの準備(追加)と社員の意識を高めた方が良いですね。
仮に、セキュリティ事故に発展した時に、顧客からの信用を失ってしまいますからね。
(藤田)そうですね。相談者さまの個人属性の情報もそうなんですけど、個人情報と紐付くと更に価値の高い情報がたくさんありますからね。
(長濱さん)相談とかって、基本的には他の方に知られたくない情報です。そういう情報っていうのは資産価値が非常に高いんですね。
藤田さんが筋トレしてますよっていう話であれば、別にもう周知の事実なんで良い気もするんですが・・・。そんな情報が外に漏れたら、安心して相談できないですよね。
セキュリティーとスピードのバランスを取ることが大切
(藤田)具体的にどのように考えて対策を打っているのですか?
(長濱さん)技術的な個別具体の内容は今回は割愛しますね。まず「情報を外に出さない」と言う意識を強く持っていて、その状況を担保するためにどうすれば良いか、を考えています。同時に、セキュリティを高めると効率は落ちますから、そのスピードを天秤にかけていますね。
どういうことかと言うと、例えば、メンバーが全員が機密性の高い情報にアクセスするのは良くないとした場合、閲覧制限をします。その上で、閲覧の必要がある場合は、しかるべきコミュニケーションパスで承認のステップを経てから閲覧することになります。
このステップがややこしかったり、多かったりするとめちゃめちゃ機会コストがかかりますよね。だけど、全員がオーケーを出さなきゃいけないので全員が見る必要がある。一方で、効率は落ちてしまいます。
当然、決裁者を減らしたり、ガイドラインを増やせば良いんですが、それでもスピードが落ちる可能性はあります。これがセキュリティとスピードのバランスをとるということですね。
あとは、暗号化について、どの範囲で行うかの検討ですね。暗号化については、事業全体のオペレーションやユーザーへの直接的な価値提供にも繋がるので、事業成長の観点も入ってきます。
そう考えると、かなり広い範囲で試行錯誤している感じですね。
(藤田)確かに・・・。ありがとうございます!妄想が広がるね。
(長濱さん)そうなんですよね、一見セキュリティーではないですが、例えば、相談者さまの情報をいろいろと機械学習データに入れて、このカウンセラーがマッチしそう、とかマッチング精度を上げる仕組みも作れるんじゃないかな?とか考えたり・・・。その一方で、どこまでの情報をデータとして投入するか?どこまでマスキングするのか?を同時に考えたりもします・・。
セキュリティーがビジネス上での勝敗を決める
(藤田)サービスを作っている!
(長濱さん)そうですね。話をセキュリティーに戻すと、他企業さまでも同じような問題とか課題を抱えている人がいると思うんです。そういうのをクリアすることがビジネスで勝っていくことみたいなイメージなのかなと思うんですね。
でも、やり方は企業によって違うと思うんです。企業規模、提供しているサービス、歴史などが影響を及ぼして、それぞれ固有の思想、運用をしている。
(藤田)Smart相談室では、どうですか?
(長濱さん)当社では、マネージャーがメンバー一人一人を見られるくらいの規模ではあるので、いきなり悪いことが発生するということはないと思うんですが、これからはしっかりと管理していかないとダメです。
今だから成り立ってるんですよ。なので、変化する前提で、組織の状況、事業の状況を見ながら、先回りして情報セキュリティー上のリスクを潰していくスタンスで作業を進めています。
(藤田)そのスタンスが組織全体、事業全体、を俯瞰する思考につながるでしょうね。
(長濱さん)そうですね、プロダクト自体の安全性、それを運営する際の安全性、蓄積されるデータの安全性、それぞれの視点でセキュリティ強化の施策を考えていますね。
(藤田)話を聞いていて、システム上の課題と使う人間側の課題があるように感じました。
(長濱さん)そうですね。システム上の課題は、エンジニアチームが開発していてロードマップぎっしりですね。使う人間側の課題は、文化として情報セキュリティーに敏感である組織を作りたいと考えています。
入社した時点でその大切さを理解してもらい、その後の活動で体に染み込ませてもらうイメージです。入社時に情報セキュリティーのオリエンテーションを行って、それ以後は要所要所で私が情報発信することで、重要性を再認識してもらう流れになっています。
セキュリティー対策も次のフェーズへ
(藤田)なるほど、今後もしばらく、その流れですか?
(長濱さん)いいえ、活動自体は、もっとしっかりやっていった方が良いと思います。できればセキュリティーエンジニアの方に専門性の高い対策を講じてもらって、より専門的に活躍してもらうのが良いと思っています。
私に限らず、今のSmart相談室は急成長を担保するために領域を兼務しているメンバーも多いので、これからは各領域に特化していくフェーズに入っていきますね。
◼️Smart相談室へのお問い合わせ・取材依頼は以下よりご連絡ください。
・お問い合わせフォーム:https://smart-sou.co.jp/contact
・メールアドレス:pr@smart-sou.co.jp