withが実施する、マッチングアプリ業界特化のセキュリティ戦略とは
株式会社withは、ユーザーの皆さんがより安心・安全にマッチングアプリ「with」を活用できるよう、コーポレートセキュリティの強化に注力しています。では、具体的にセキュリティエンジニアのポジションはどのような業務を手掛け、どのような戦略を遂行していくことになるのでしょうか。withでセキュリティに携わる面白さや魅力についても、併せてご紹介いたします。
セキュリティエンジニアが手掛ける5つの業務
withのセキュリティエンジニアのメイン業務は、大きく5つです。それぞれどのような内容を実施しているのか、簡単にご紹介します。
1.脆弱性診断のハンドリング
Web、アプリを問わず、顧客に提供するサービス上の脆弱性を定期的にチェックし、情報漏洩やサービス停止などのインシデントを防止します。社内のみならず、外部のベンダーとも協働しながら診断・修正を進める業務です。
2.インシデント発生を想定した訓練
実際にインシデントが起きた際に適切な対応ができるよう、訓練も実施しています。例えばAWSから情報漏洩があった場合、顧客からの問い合わせにどのように対処するのか、初期消火の流れをシミュレーションしています。
3.セキュリティガイドライン策定から実際の統制
グローバルで活用されているNISTといった基準や、経済産業省が提示しているガイドラインに則り、with専用のセキュリティガイドラインを策定・統制しています。
ガイドライン上でポリシーを定めたら、個人情報保護法などをはじめとした実際の法律、ルールに基づき、具体的にどんなセキュリティ対策を実施するのかまで落とし込んでおります。
4.セキュリティ体制及びプロセスの構築と実行
セキュリティガイドラインの策定と関連して行っているのが、セキュリティ体制及びプロセスの構築・実行です。CTOやCSO、CFOを含めたセキュリティチームによる定例ミーティングを実施し、策定したガイドラインに則ったツールの導入・運用、セキュリティ施策の実施を推進しています。
セキュリティチームは他業務を兼任したメンバーによって構成されたバーチャルチームで、現在はwithの企業規模を鑑み、7名で運営されています。
5.社内向けセキュリティトレーニングの立案と実行
社内向けには、現在セキュリティ面でどのようなことを重要視すべきなのか、年に1回メンバーに対して解説・確認テストを実施。セキュリティに対する理解度を深めてもらっています。
上記の5つのうち、メインとなるのは3、4の業務です。脆弱性診断や社内向けのセキュリティトレーニングなど定期的に行うものも含め、スケジュール管理などのプロジェクトマネジメントも一部担当しています。
ゼロトラストとNISTに準拠したセキュリティ戦略
withのセキュリティ戦略の土台にあるのは、”ゼロトラスト” の考え方です。特に社内向けのセキュリティ対策では、リモート環境でも安心安全に働けるようにすることを大目的に、ゼロトラストの仕組みを取り入れました。具体的には、ID/パスワードの認証強化やPC端末・ネットワークの安全性強化などを、製品ベースで実行してきました。
社外向けには、前述したグローバルセキュリティ基準のNISTに従った戦略を立案しています。脆弱性診断やインシデントトレーニング、セキュリティ教育のほか、クラウドのセキュリティ強化に関しても、基本的にNISTに従って実践してきました。
これらの取り組みは同時並行で実施しており、セキュリティの土台や骨組みが構築できた状態であり、今後はいかにスムーズな運用をするのかが課題です。
ポジションにおける業務課題と解決までのアプローチ方法
セキュリティ環境の構築に際して、withは外部からコンサルティングを受け、社内のセキュリティをより強固にできる部分を重要度順に高・中・低でアドバイスしていただきました。これらに対してまずは高・中の内容を改善していくために実施したのが、前項のゼロトラストやグローバルセキュリティ基準の導入です。
当社のような100名前後の規模の企業が、外部からのアセスメントを受けた上でセキュリティ対策に取り組むのは、非常に珍しいケースです。セキュリティの重要性に関して経営層が理解し、取り組みへのモチベーションも高かったからこそ、実現できた内容だと自負しています。
withにおけるセキュリティの重要性
いわゆる「出会い系」のイメージが残っている部分も少なからずあるため、事業拡大を図るには、当社が安心安全な企業であると市場に提示し、ステークホルダーがサービスを利用しやすい環境を整える必要がありました。その観点で2022年8月に取得したのが、「インターネット型 結婚相手紹介サービス業認証制度」において、適正な事業者であると証明する「IMS認証マーク」です。認証取得のためにも、セキュリティ強化は必須項目でした。
withのセキュリティエンジニアとして働く魅力
セキュリティ対策にスピード感を持って積極的に取り組める
一般的なコーポレートセキュリティはどちらかというと社内向けに実施するケースが多い一方、withではセキュリティエンジニア自身がやりたいこと、思い描くビジョンを提案すれば、社外に対しても積極的にアクションが可能です。
また、前述したようにセキュリティに対して会社自体が前向きである点も、魅力の一つです。通常、セキュリティに対しては後ろ向きな姿勢を取る企業も少なくありません。しかしwithは、スピード感を持ってセキュリティ対策を推進できる環境を構築しています。
「スピード感がある」というのは、施策ドリブンという意味ではありません。ジャストアイデアを推進するのではなく、ゼロトラストやNIST基準に紐付いた、論理的で地に足のついたアクションになっているのが、特色の一つでしょう。
マッチングアプリ業界で「新しい」セキュリティにチャレンジできる
セキュリティエンジニアにとって、マッチングアプリ業界は新しいセキュリティ領域へのチャレンジにつながる側面もあります。マッチングアプリで取り扱われるデータは氏名や住所、年齢といった個人情報のほかにも、その人の趣味嗜好など、センシティブな情報も多く含まれるため、ある意味では金融機関と同等、もしくはそれ以上に取り扱いに注意が必要です。
これらの情報をどんな基準に基づいて、どのように守るのか。これまでのセキュリティ領域では得られなかった新しい知見、経験が獲得できるでしょう。
ユーザーシナリオを念頭に技術を考える
ユーザーシナリオを常に念頭において、「ユーザーのペインポイントを解消するためにどういった技術を活用するべきか」という本質を考えることが自然にできる人だと、withの考え方とマッチすると思います。
テクノロジードリブンの考え方がベースになっていると手段が中心になり本質からずれて来てしまうことが往々にして起こるので、その時々でサービスドリブンでユーザーシナリオに適した技術を考えられるような、ものづくりが好きな人に入ってもらえたらと思っています。
withではこれからの成長に向けた新しい仲間を募集中です。
ぜひ求人をご確認ください。