データを守るだけでなく、事業を強くする。じげんの情報セキュリティチームは、そんな信念を持って日々の業務に臨んでいます。グループ全体で 70 を超えるサービスを支えるため、施策実行までをスピーディーに行う必要があります。
今回は、開発・情報セキュリティ組織を率いる永井と、その体制構築を支える日比野が対談。「リスクベース・アプローチの実践」、オフショア開発拠点との協働、“守り”を超えたチームのあり方を語ります。
オフショア開発を活かしたリスク評価の進め方から、経営層との共通言語づくりまで——“守り”を“攻め”に変える、具体的かつ実践的なアプローチを掘り下げます。

じげんのセキュリティ観——“賢い対策”のための“正しい理解”を

まずは、おふたりの役割・担当している業務について教えてください。

永井：私はじげん本体の開発組織（開発Unit.）を統括しています。
開発Unit.はじげんの事業部を支える横断組織で、①インフラ ②セキュリティ ③クリエイティブ ④データ分析 ⑤ディレクションの５つの機能を持った組織です。エンジニアやディレクター、デザイナーなどが所属しています。
その中で ②セキュリティチームは、主にランサムウェア攻撃を対象としたリスク評価プロジェクトを推進中です。私はプロジェクトマネジメントを担い、POC の実施や各子会社との連携・相談窓口も担当しています。

日比野：私は開発ユニット所属のセキュリティアーキテクトとして、事業を支えるプロダクト環境のセキュリティ対策における体制づくりや仕組みの構築を推進しています。まずは優先的に取り組むべきリスクの高いセキュリティ課題を可視化し、投資対効果が高いと思われる実装方式を模索し、じげんに適用することをミッションに活動しています。

今年度、じげんにおけるセキュリティの取り組みについて教えてください。

日比野： 「セキュリティ」と一口に言っても、対象資産はシステム・施設・金銭・個人情報など多岐にわたります。私たち開発ユニットが主に扱うのは「じげんのサービスに関わる情報セキュリティ」です。

永井： 上場企業として、事業の信頼性を守る責任があります。私たちは 70 を超えるサービスを展開しており、万が一個人情報漏えいが発生すれば被害額は甚大です。
そこでリスクを「可視化」し、投資対効果に見合うセキュリティ対応を実施できるよう、プロジェクト体制を整えました。

プロジェクトを立ち上げるにあたり、経営陣とのコミュニケーションも必要になってきますよね。どのように工夫されたのでしょうか。

永井： セキュリティの話は、エンジニアによる専門用語だけでは経営陣とうまくコミュニケーションがとれません。そこで私たちは、「サイバー攻撃によるビジネスインパクトを金額で見える化する」という方法を採用しました。
サービスごとに重要度・脅威レベル・脆弱性レベルを数値化し、さらに個人情報の保有数やシステム規模から被害想定額（直接的な費用と間接的な損失など）を算出し、経営陣と売上や利益などの金額ベースの共通認識を持つことで、対策の優先順位を明確化しています。

日比野： セキュリティはビジネス価値を最大化するために、ビジネスを支えるためのものです。
金額ベースで経営陣とコミュニケーションを取ることは当たり前にすべきことではあるものの、他社事例を見ていると、意外と実現できている企業は多くない印象を持っています。
ビジネスと技術の両面をバランス良く捉えているのは、じげんの特徴のひとつだと考えています。

３つのアプローチと、じげんの選択

具体的に、どういったステップでプロジェクトを進められたのでしょうか。

日比野： リスク評価の方法は大きく２つに分けられます。

• ベースラインアプローチ：必要最低限の基準を定め、現状との差を可視化する。
• リスクベースアプローチ：特定のリスクを想定し、最も効果的な対策を見極める。

じげんは、リソースを最大限に活かすためにリスクベースアプローチを採用しています。
過去には、網羅性の高いベースラインアプローチを採用していました。
大小さまざまなサービスがある中で、一律で同レベルのセキュリティ基準を求めた結果、影響度の少ない領域においても過剰に対策費用がかかってしまい、投資対効果が期待できない結果となった経験があります。その経験から、リスクベースアプローチに移行した経緯があります。
今のご時世言わずもがなですが、特に「IPA 情報セキュリティ 10 大脅威※」で最重要とされるランサムウェア対策を最優先に注力しました。
この対策を軸に、他の主要リスク（情報漏えい・脆弱性悪用・テレワーク環境への攻撃）にも対応可能としています。

リスクシナリオ策定には、国際的な攻撃フレームワークである MITRE ATT&CK を活用しています。攻撃者の行動パターンをもとに、侵入・拡散・目標達成の各段階で防御の優先度を設定しました。また、外部公開システムを「アタックサーフェス」として最優先に評価し、事業の現況・体制・計画を見ながら、偏りのないセキュリティを意識的に構築しています。

※［出典］ IPA 独立行政法人情報処理推進機構 情報セキュリティ10大脅威

オフショア連携で “セキュリティ人材” を育てる

ここまでは、おそらく「教科書通り」の進め方でステップをつくられている印象ですが、「じげんならでは」の取り組みはどんな特徴がありますか。

永井： 特徴的なのは、オフショア開発拠点 ZIGExN VeNtura（以下VeNtura。ベトナムに拠点を置くじげんのグループ会社） を活用したリスク評価体制です。
通常、セキュリティコンサル企業に一括委託するケースが多い中、じげんではプロジェクトを「仕組みの設計」と「評価実務」に分け、前者のみ有識者が対応しています。後者は、VeNtura のメンバーが実施しています。

日比野：これは、他社でなかなか真似できないやり方です。永井が日常的に VeNtura メンバーと密に連携し、メンバーのスキルや特性を把握していたからこそ成立しています。リスク評価の各工程ごとに必要となるスキルセットやかかる想定工数を細分化、判断基準や具体的な環境調査手順が明確に定義されたドキュメントを準備することで、どの工程を VeNtura メンバーに任せられるかを決めています。
「何をどこまで任せられるか」を理解した上でチームを動かす——それが、じげんらしい強みだといえるのではないでしょうか。

 

次のステージへー “守り” を越えて、価値を生むセキュリティへ

じげんのサービス数を考えると、今後組織を大きくされていくと思いますが、どんな方にジョインいただきたいですか。

永井： 今後は、FY27（2027年度）からリスク評価の結果に基づいた具体的な対策フェーズへと進みます。テクニカルな領域でも強化が必要で、プロダクトセキュリティにおける技術的リーダーや実装メンバーの拡充を計画しています。
同時に、プロジェクトマネジメントや開発業務を兼任しながらセキュリティ対策を推進できるハイブリッド人材の育成にも力を入れます。
セキュリティは、リスクを減らすだけでなく、事業の信頼性やスピードを高める“攻めの要素”でもあります。チーム全体で「セキュリティをコストではなく、企業の価値に変える」その文化を、次のステージでも体現していきたいと考えています。