Fenrir INSIGHT

堅牢な地盤と未来を見据える視点
──攻守一体のセキュリティを目指して

2023.12.22

情報システムは、企業の命綱とも言える領域です。
その中核を担ってきたのが、執行役員として経営戦略の策定に携わりながら、情報システム部を統括する田林と、セキュリティのプロフェッショナルである上原。
彼らが目指すのは、時代の変化に柔軟に応じる一方で、ビジネスの基盤としての堅牢性を損なわない情報システムの構築と運営。
この対談では、田林の堅実な「地盤」の構築と、上原の前衛的な「対策」の多角的な視点を、彼らの経歴から解き明かします。

原点、フェンリル入社までの軌跡

フェンリルとの出合いについて教えてください

田林:私はもともとSleipnirのユーザーだったので、フェンリルの名前は知っていました。当時はフェンリルがまだ共同開発事業を開始する前で、Sleipnirの開発を専門にしていた頃。開発者である柏木社長を中心とした「謎の技術者集団」という印象でした。私が入社した時は、社員数はまだ20名くらいでしたね。その技術的な挑戦と社会への貢献度に魅力を感じ、この会社に入社しようと決意しました。

上原:セキュリティへの強い興味と、社会的なインパクトを持つ仕事を求めて転職活動をしていた時に、フェンリルと出合いました。面接で担当者が、人事制度や今後の情報システムのあり方など、明確なビジョンを話してくれたことが入社の決め手でした。

これまでの経歴と、情報システムとの関わりを教えてください

田林:学生時代にライブ運営のアルバイトとして働き、そのまま就職しました。そこで200〜300名のスタッフのマネジメントを経験し、組織の成長や人材の育成に関心を持つようになりました。その後、大学で学んだプログラミングを生かし、アーケードゲーム機の画像処理システムの開発に携わり、エンジニアとしての経験を積みました。
フェンリルにプログラマーとして入社。これまでに培った知見を生かし、プログラミングだけではなく、共同開発事業やデザイン部門の立ち上げなど、マネジメントにも携わってきました。以前の情報システム部は管理部門の中の小さな組織でした。しかし会社の規模の拡大に伴い、情報システムの重要性を認識し、部として組織。2020年に部長に就任しました。組織や人材の成長を直接手助けできるのが最大のやりがいです。

上原:1社目はソフトウェアメーカーで、情報システム部の業務以外にもシステムエンジニアとしてサポート対応をしました。2社目は製造メーカーでインフラの刷新を担当しました。情報系の学校に通っていたことや、情報システム部で働いている知人がいたことで、仕事に関する話を聞く機会が多く、環境や周囲の人に影響されてその道を選びました。

変わりゆくセキュリティ対策のニーズ

新型コロナウイルス感染拡大を境に、セキュリティ対策はどのように変化しましたか?

田林:自然災害発生などの緊急時や家庭の事情に応じて、2019年11月に災害時のリモートワークや時差勤務の制度を作り上げました。その後、新型コロナウイルス感染拡大の影響を踏まえ、全社員(契約社員、アルバイトも含む)を対象にフルリモートワークを実施しました。

上原:セキュリティ対策のニーズが大きく変動しました。パソコンが不審な挙動をしてもリアルタイムで助言が受けられないことや、社外でパソコンを利用するケースが増えるなど、多くの課題が浮上しました。リモートワークの増加により、従来のようなオフィス内でのセキュリティ対策だけでは不十分になりました。

田林:従来の端末や社内インフラなどの物理的な対策を超えて、より高度なセキュリティ対策の強化が必要になってきました。その頃に上原さんと出会い、フェンリルにジョインしてもらいました。

上原:入社後は、ISMS(1)認証取得と維持のための取り組みや、CSIRT(2)の立ち上げ、日本シーサート協議会(3)に加盟するといったセキュリティ施策を実行しています。
インシデント発生時の迅速な対処や、対応状況の監視と管理、お客さまの情報資産のセキュリティ対策にも注力。これには、社員のセキュリティ意識を高める教育や啓蒙活動も不可欠であり、リーダーとして指導をしています。
また、田林さんの提案で、情報システム部のメンバーも社外発信や情報収集を始めました。セキュリティに関するイベントに積極的に参加し、セミナーで登壇しています。

(1) Information Security Management Systemの略。国際的に整合性のとれた情報セキュリティマネジメントシステムに対する第三者適合性評価制度のこと <参考>情報マネジメント認定センター https://isms.jp/index.html
(2) Computer Security Incident Response Teamの略。セキュリティインシデントが発生した際に対応するチームのこと
(3) 正式名称「一般社団法人 日本コンピュータセキュリティインシデント対応チーム協議会」。シーサート(CSIRT:Computer Security Incident Response Team)間の緊密な連携を図り、シーサートにおける課題解決に貢献するための組織です。 <参考>一般社団法人日本コンピュータセキュリティインシデント対応チーム協議会 https://www.nca.gr.jp/

田林:イベントで交流した他社の情報システム部の方から、フェンリルのセキュリティに関する組織的な取り組みは、同業他社の中でも標準より高いレベルだと言われることもありますね。

上原:そうですね。フェンリルのセキュリティに対する姿勢や活動を発信することで、セキュリティに対するベンチマークを示すことができればと考えています。

堅牢な「守り」と未来を予測する「攻め」の視点

情報システム部に求められることとは何ですか?

田林:情報システム部の重要な役割の一つは、組織全体をITの観点から下支えすること。業務システムや社内インフラを整備して、安定した業務環境を提供しています。一方で、情報セキュリティの強化、つまり「攻め」の側面も非常に重要です。特に現在、インシデントの発生が経営の脅威となるため、リスクを最小限に抑える取り組みが求められています。

上原:セキュリティ対策は売り上げに直結しません。ISMSの取得など、審査機関とのやり取りやセキュリティ要件を満たすにはコストがかかります。これには情報セキュリティの方針の策定や、社員教育も含まれます。ISMS認証を取得すれば、情報セキュリティの要件を満たす企業としての信頼性を示すことができ、顧客や取引先からの信頼を得られます。

企業によっては、経営層がそういった「今後のための対策」にコストを払うことに理解がない場合があります。フェンリルはセキュリティというものに対して理解が進んでいると感じます。

田林:ISMS認証の取得プロセスを通じて、社内でのセキュリティ意識が高まる。それによって情報をさらに慎重に取り扱うようになり、全体的なリスクが低減します。
「守り」としての業務システムや通信インフラ、社内システムの運用保守管理、そして「攻め」のセキュリティ対策。これらを組み合わせ、情報システム部はフェンリルをITの観点から全方位でサポートしています。

今後の展望について教えてください

上原:フェンリルのセキュリティ面の強化と、その取り組みを社外にも伝えていきたいと思っています。セキュリティやマネジメントに関する日々の社内教育や啓蒙、社内のメンバーの協力があって、より理解を深めることに貢献したいと考えています。お客さまや社員が安心して仕事を進められる環境を提供することが、最も重要だと考えています。

田林:私はミッションの一つとしてフェンリルの採用強化にも関わっています。そのために、新しい支社の設立や、地方の採用戦略に取り組んでいます。私のキャリアは少し特殊かもしれません。プログラマーだけではなく、自身の経験を生かしさまざまなことに取り組むことができたからこそ、今のような環境があるのだと思います。これからも、上原のようにプロフェッショナルなメンバーと共に、新たな挑戦をしていきたいですね。

上原 純 Jun Uehara / 田林 徹也 Tetsuya Tabayashi