カミナシ エンジニアブログ

株式会社カミナシのエンジニアが色々書くブログです

トップ > Security > カミナシが顧客に向き合い続けていくためのセキュリティ戦略の考え方

カミナシが顧客に向き合い続けていくためのセキュリティ戦略の考え方

Security

どうもセキュリティエンジニアリングの西川です。 暖かい日と寒い日の寒暖差が激しく体がおかしくなりそうですが今のところ健康を維持しております。体もセキュアでありたいものです。

今期のセキュリティ施策の検討

新年を迎え、この半期セキュリティエンジニアリングとして何をやっていくか?を「セキュリティ戦略会議」と銘打ってオフサイトで話し合いました。

そんな目的で始まった話し合いですが、結果的には時間が足りず、どういう方向性でカミナシのセキュリティを高めて行くかというところにとどまりましたが、良い話し合いができたので共有したいと思います。

この話し合いは、CTOのトリ、それからコーポレートITのメンバーと、業務委託としてセキュリティエンジニアリングを支えてくれる濱野さん、そしてこの記事を書いている西川の4名で行いました。

未来からの逆算

今期のセキュリティ施策を考えていく時に、まずは未来にどういう状態になっていたいかという理想像を描いていきました。そうすることによって未来から逆算して今やるべきことを明確化していくことができます。今回は今やるべきことまで明確化する時間が取れなかったので、未来にどういう状態になっていたいかをブレーンストーミングで出していきました。

その未来っていつなの?っていうところで、組織によっては3年だったり、5年だったりあると思いますが、私たちカミナシには事業上の目標の一つとしてIPOを掲げていますので、時期は未定ですが、IPOを迎える時に私たちの組織はどうなっていたいのか、ということをみんなで話し合いました。なぜIPOのタイミングを選んだのかというと、スタートアップ企業にとってのIPOというイベントが、特にセキュリティやガバナンスという文脈において想像以上に急激な変化を組織に要求するものになりうるからです。

Miroを使って実際に話し合った図

では、どのような理想像が出てきたのか紹介していきたいと思います。 ぼかしを入れてしまっていますが「リスクを開発者自身が見積もれる状態」や「社員がセキュリティについて相互にアドバイスしあえている状態」などが出てきました。こういう組織は客観的に見て良いですよね。

未来を描く時に大切なこと

未来を描くときに大切なことはただ、ひたすら理想を描くということで、現在の課題は一旦置いておきます。現在の課題に意識が向いてしまうと、「そうはいってもね」というところに引っ張られてしまうので、人が足りないとか、予算がないとかは一旦完全に忘れます。

しかしながら未来から描くだけでは、足りない部分も当然あるので、現在の課題にも意識を向けますが、それは後の話です。こうして、未来からの視点(どうなりたいか)と、現在の課題(何を解決するか)の両面からアプローチしていきます。

少し話は逸れますが、特にスタートアップ企業のような環境では、現在の課題のところに注目しがちで、次々に発生する現在の課題ばかりに注力して未来が見えていないと、組織が大きくなったり、プロダクトが増えたりすると、セキュリティ対策が追いつかなくなったりすることがあります。そのため、必ず未来を想像し、組織がこうなっていっているならこれぐらいのセキュリティレベルが必要だよねと考えておかなければいけません。 これをやっておかないといざとなったときに、そもそもセキュリティの予算が足りない、人が足りない、とセキュリティが後手後手になっていってしまうことがあります。

N-1という重要マイルストーン

話を元に戻して、先ほどIPOと書いたようにIPOに向けてどういう状態になっていくかという話をしたのですが、実はセキュリティ戦略上最も重要なのは、IPOのタイミングその時点ではなく、その1年前(N-1)にIPO Readyな組織状態になっていることであると今回は私たちは定義しました。

なぜN-1なのか? 結論から書くと、IPO前後のタイミングにおいても、それまでと変わらず顧客に向き合い続けたいからです。

これまでIPO前後の企業に在籍したことがある方は、IPOに向けて急激に組織のセキュリティやガバナンスポリシーが厳しくなり、仕事もままならないし組織のモチベーションは下がるしといった体験をしたり、景色を見てきたりしたのではないかと思います。

これは、公開会社(≒上場企業)に求められるレベルのセキュリティやガバナンスをまったく満たせていない状態から短期間でIPO Readyな状態を無理やり作り出そうとすることで発生するハレーションのようなものと言えます。

このような半ば混乱した組織状態においては、組織の目標や意識、あるいは時間はすべてIPO準備に向けられてしまいます。組織のマインドシェアがすべてIPOそのものに向いてしまった結果として置き去りにされるのは、本来は最も意識が向けられているべき自分たちの「顧客」です。

顧客が置き去りにされた具体例を挙げるなら、「IPO直前の1年間はプロダクト群にログを仕込みまくったり内部向けの監査プロセスを作り込んだりすることにほとんどの時間を使ってしまい、お客様への直接的な価値提供はすべて後回しでした」のようなものが分かりやすいかもしれません。

カミナシは、現在からIPOまでの期間、安定的に、継続的にお客様に向き合っていける組織でありたいという想いがあります。(画像では「この一年もプロダクト開発を普通にできている組織にする(この期間もちゃんとお客さんに向き合いたい)」と表現しています)IPOを「組織の強烈な変化を強制する特大イベント」にせず、IPOに向けて緩やかにIPO Readyな組織文化を醸成していく。これが、N-1を最重要マイルストーンと定義した背景です。

終わりに

すごく真面目な内容を書いてはいるのですが、実際は和気藹々(わきあいあい)とくだらない話も交えながらやっていくのがカミナシのセキュリティエンジニアリングスタイルだったりします。とはいえ、すごい濃い話ができたという自負もあります。

あらためて今後やっていくことを明確化していくのですが、この話し合いをしたことによってすでに何をやっていく必要があるかの解像度が上がり、今後やる施策について、なぜそれをやるかというセキュリティをやる目的が説明できるようになった気がします。

ということで、この数年もそうですし、半期が非常に楽しみで仕方がないです。そんな状況ですが、セキュリティエンジニアリングの求人を公開しました。 herp.careers

このような環境でともに働いてくださる方を大募集していますので、よろしくお願いいたします!