「全社員でユーザーの安全を守る」CISO仲原が目指す、LINEヤフーのセキュリティ

リーダーズ
仲原がオフィスの廊下で腕を組み、微笑んでいます。背景にはガラスの扉や明るい照明が見え、洗練された雰囲気です。

LINEヤフーのCISO(最高情報セキュリティ責任者)仲原英之は、「セキュリティはユーザーを守るためのもの」と語り、全社員が当事者意識を持って取り組む文化の推進に力を注いでいます。
より安全で信頼されるサービスを届けるために。
LINEヤフーが描く、これからのセキュリティの姿について話を聞きました。

仲原の写真
仲原英之(なかはらひでゆき)
上級執行役員 CISO
半導体会社でキャリアをスタートし、マイクロコンピューターを用いた製品開発ツールを開発。その後、よりユーザーに近い製品開発を目指してパソコン通信のニフティ株式会社に転職。インターネットが普及し始めた時期にパソコン通信からインターネットへの移行を経験した。
その後、2003年ヤフー株式会社入社。R&D統括本部フロントエンド開発本部長、スマートデバイス戦略スマートデバイス開発本部長などを歴任し、2014年4月より執行役員 システム統括本部長に就任。2023年10月よりLINEヤフー株式会社上級執行役員EVPoE サービスインフラグループ長、2024年1月よりCISOに就任。

合併後のセキュリティ強化と再構築

――2023年、LINEとヤフーの合併直後に大きなインシデント(※1)がありました。
長年ヤフーでインフラやセキュリティの責任を担ってきた仲原さんは、LINEヤフーとしてどのような課題に直面し、どう改善を進めてきたのでしょうか?

2023年に発生したインシデントは、NAVERと旧LINEのシステムが直接接続されており、セキュリティ上のリスクが顕在化しました。
両社が同じ業務委託先を利用しており、その委託先のPCがウイルスに感染したことを発端に侵入を許してしまったのです。

この事態を受けて、社内外から「通常ではあってはならないことだ」と厳しい指摘を受けました。これを教訓に、他社のセキュリティリスクに依存しない、より堅牢で独立性の高いシステムへの移行に取り組んでいます。

もちろん、セキュリティの観点から、脆弱(ぜいじゃく)な部分を改善すべきです。
しかし、なぜそうなっていたのかを理解するには、NAVERとの資本関係やこれまでの支援体制、それぞれの会社の歴史や文化といった背景にも目を向ける必要がありました。単純に「あってはならないこと」と片付けられる話ではなかったのです。

LINEヤフーとして堅牢で信頼性の高いシステムに変えていくためには、どこをどう改善すべきかを丁寧に見極め、どこに影響が出るのかを考慮しながら進める必要がありました。
たとえば、NAVERとの接続を一部切るとなると、グローバル事業に影響が出る可能性がありますし、開発や運用にも支障が出るかもしれません。こういった影響をしっかりと考慮しながら、全社を挙げて改善に取り組んでいるところです。

今では、旧LINEや旧ヤフーという枠を超え、「良くないものは改善し変えていこう」という共通認識が形成されつつあります。その結果、LINEヤフーが目指すセキュリティの方向性も明確になってきました。

※1 不正アクセスによる、情報漏えいに関するお知らせとお詫び

男性がテーブルに座り、真剣な表情で話しています。背景の温かみのある壁が落ち着いた印象を与えます。

――インシデントが発生した際、エンジニア体制や情報のエスカレーションに時間がかかることがあります。その点については、どうお考えでしょうか。

LINEヤフーでは、事故発生時の報告や管理の仕組みが整っており、再発防止まで含めて実施しています。また、サービスが正常に動いていない場合には、即座にアラートが上がる仕組みも構築しています。

ただし、セキュリティインシデントのように気付きにくいケースでは、発見までに時間がかかることがあります。実際、2023年のインシデントでは9月に侵入が発生し、それが判明したのは11月でした。これは、詳細なログ解析に時間を要したためです。

たとえば、「メッセンジャーサービスでメッセージを送れない」といった明確な問題はすぐに気付けますが、侵入による異常なログや不自然な挙動は、後からの解析でようやく見えてくることも多いのです。
そのため、専門知識の有無にかかわらず、誰でも異変に気付ける仕組みを整えることが重要だと考えています。

また、当時はすべてのログがそろっているわけではなかったこと、NAVERとの関係やコミュニケーションの問題も影響していました。これらを踏まえて振り返りを行い、「なぜそのときに気付けなかったのか」徹底的に検証し、再発防止に向けた対策を進めています。

さらに、セキュリティにおける組織的な対応を強化するため、CEOの出澤をリーダーとする「セキュリティガバナンス委員会」を立ち上げました。
この委員会では、セキュリティに関する戦略的な意思決定を行い、組織全体でのセキュリティ意識の向上を図っています。専門家の意見を取り入れ、インシデントの分析や再発防止策の策定、および決定事項や方針について社内外に発信しています。

こうした取り組みを通じて、社内外からの信頼回復と、より堅牢なセキュリティ体制の構築を目指しています。

――AIはセキュリティ対策にどのように活用されているのでしょうか?

AIは、セキュリティ製品に活用される一方で、攻撃者によっても悪用されています。
攻撃も多様かつ高度化しているため、守る側も相当の対応が求められますが、人間の力だけで全てを検知するのは限界があります。だからこそ、私たちもAIの力を取り入れながら、防御力を高めていく必要があります。
攻める側も守る側も、AIの進化がカギを握る時代に入ったと感じています。

――人間とAIの役割分担についてはいかがでしょうか。

AIによるものだけでなく、アラートは膨大に存在しますが、それが本当に重要かどうかを見極めるのは、今も人間の役割です。とはいえ、その全てを人間が判断するのは現実的ではありません。AIが危険なアラートに絞り込むことで、人間は本当に対応すべき問題に集中できるようになります。
AIと人間、それぞれの強みを活かして協働することで、より効率的で効果的なセキュリティ対策が可能になると考えています。

テーブルに座った男性が、手を使って説明をしています。背後には「LINEヤフー」のロゴがあり、オフィスの一角が見えます。

社員の意識改革とセキュリティ文化の醸成

――インシデントを経て、社員のセキュリティ意識はどのように変化しましたか?

社員のセキュリティ意識は、明らかに高まっています。
今では「これは安全か?」という視点で、日々の業務の中で考えることが多くなっています。たとえば「セキュリティダイアログ(※2)」の場では、社員からの質問や提案を通じて、その意識の高さを実感しています。

※2 セキュリティダイアログ
LINEヤフーとしての統一的なセキュリティ意識を醸成するために実施している、経営陣と社員の対話の場。インシデント以降、これまでに4回開催し、現在も継続中。社員の提案が実際のサービス改善に反映された事例もある。

また、定期的に実施しているセキュリティ教育の受講率は現在ほぼ100%に達しています。
これだけの規模の企業でオンライン教育を実施し、ここまで高い受講率を維持できているのは非常に珍しいことだと思います。

社員一人ひとりが、「自分はきちんとできているだろうか」と自発的に確認し、ルールやリスクを見直す姿勢を持っているからこそ、この結果につながっていると感じています。
このような意識の変化が、セキュリティの重要性を理解し、積極的に受講に取り組む姿勢につながっているのだと思います。

――このようなセキュリティ意識を持続的に高めていくためには、どんな施策が必要でしょうか。

過去には、セキュリティに対する疑問や気づきがあっても、声を上げにくかった社員もいたのではないでしょうか。必ずしも現状に納得していたわけではなく、やり方や状況に疑問や違和感を抱いていた人もいたと思います。「言っても変わらない」「これが当たり前」といった空気が、それを表に出しにくくしていたのかもしれません。

私たちが目指しているのは、そうした現場の声を経営陣がしっかり受け止め、問題があれば迅速かつ適切に対応する企業文化を築くことです。
「言っても無駄だ」「みんな黙っているから自分も...」といった考えをなくし、疑問や問題意識があれば気軽に提案できる組織にしていきたいと考えています。

そのためには、社員が安心して発言できる心理的安全性の確保や、情報漏えいリスクへの配慮といった課題をクリアしながら、誰もが声を上げられる環境を整えていくことが大切です。

その一つとして実施したセキュリティダイアログでは、総務省や個人情報保護委員会に対する報告、セキュリティの取り組みなどの進捗を報告し、その都度決まったことを社員に伝えてきました。
今後も、「対話」を通じて現場の不安や課題をすくい上げ、それに真摯に応えていく。
そうした地道な取り組みを継続していくことで、持続的なセキュリティ意識の向上につなげていきたいと考えています。

男性がテーブルに座り、手を広げて話している様子です。背景には観葉植物があり、リラックスした雰囲気が感じられます。

CISO仲原のキャリアとリーダーシップ

――仲原さんのこれまでのキャリアは、CISOとしての現在の役割にどのようにつながっているのでしょうか?

私のキャリアは、半導体業界でのマイクロコンピューター開発からスタートしました。ただ、ユーザーに直接利用してもらうサービスを作りたいという思いが強くなり、パソコン通信サービスの開発へ挑戦を経て、インターネットサービスの開発にシフトしました。

その後、ヤフーではメディアなどのサービス開発から始まり、スマートデバイス開発、インフラ、セキュリティ領域へと幅広い経験を積んできました。これらの経験すべてが、今CISOとしてLINEヤフーのセキュリティ体制を強化する上で、役立っていると感じています。

セキュリティというのは、あくまで「ユーザーを守るため」の取り組みです。セキュリティ部門だけがわかっていればいいという話ではありません。
サービス開発のプロセスにセキュリティをしっかり取り込んで、全社員が関与することが大切です。

社員一人ひとりが「自分にも関係のあること」としてセキュリティに対する問題意識を持って、改善点や新たな対策についてどんどん提案できる環境を、これからも作っていきたいと思っています。

――インシデント発生時はプレッシャーがかかる状況が続くと思います。体制づくりやメンバーのサポートはどのように行っていますか?

大きなインシデントが起きた際には、状況によっては一部のメンバーに無理をお願いせざるを得ないこともあります。ただ、それは「他に代われる人がいない」ときだけで、基本的には交代しながら、体調に配慮して進めるようにしています。
対応が長期化しそうな場合は、無理が出ないように体制そのものを見直して、持続可能な形で運用することを重視しています。

あとは、「声をかける」ことも大事ですね。自分が十分にできていたかはわかりませんが、メンバーは本当に頑張ってくれました。
彼らの努力と支えがあったからこそ、厳しい局面を乗り越えることができたと思っています。

――課題に直面したときは、どのように解決に取り組んでいますか?

まず、自分で課題を整理して、どうやって解決するかを考えます。でも、やはり専門的な知見を持つメンバーの意見が欠かせないので、メンバーにもどんどん意見を出してもらいます。
1人で決断することはほとんどなく、チームで話し合って「これが正しいよね」という方向に自然とまとまっていくことが多いですね。

メンバーはどちらかというと短期・中期の視点からアイデアを出してくれますが、私は中長期的な視点を持つよう意識しています。短期的に収束させても、根本が変わっていなければまた同じ問題が起きてしまうからです。
「次の世代に同じ問題を残さない」ための根本的な解決策を考えることが大事だと思っています。

男性が横向きに座り、穏やかな笑顔で話しています。背景には温かみのある壁と照明が見え、落ち着いた雰囲気です。

ほっとできる時間はいつですか?
「夜、お酒を飲む時間が好きなんです。その日の出来事や今抱えている課題を、ゆっくり振り返る時間にしています。そうしているうちに自然と改善のヒントが浮かんできて、ふっと気持ちが落ち着く瞬間があるんですよね。不安が和らいで、翌日も前向きに仕事に向かえるようになります」

技術と分析力で未来を守る セキュリティエンジニアリングの魅力

――セキュリティエンジニアには、どのようなスキルやマインドが必要なのでしょうか。

まず、分析力が非常に重要です。
システム内で何が起きているのかを正しく把握するには、ログや事実を丁寧に分析することが出発点です。そのためには、必要な情報を徹底的に収集し、いつ・どこで・どのようなアクセスや動きがあったのかを総合的に確認する必要があります。こうした分析を通じて、侵入の有無や相手の行動、さらには閲覧・取得された可能性のあるデータの範囲を見極めていきます。

こうした判断には、やはり経験の積み重ねが欠かせません。日頃からログを確認し、異常の兆候に気づく力や、それがシステム全体にどう影響するかを見通す視点が求められます。実践の中で養われる感覚も、セキュリティ対応の精度を左右すると感じています。

しかし、すべてを完全に明確にするのは難しいため、推定に基づいて判断することもあります。
過去のインシデントにおいても「どこまで影響が及んだか」は、すべてのログがそろっていなければ判断が難しい場面もありました。長期保存できないログも多いため、日常的な訓練と技術の底上げが不可欠です。

「セキュリティ対策」というと特別なもののように思えるかもしれませんが、実際には、サービス運用においてシステムが停止した原因を突き止める時とプロセスは似ています。
ウェブアクセスやエラーログ、データベース接続の失敗などを分析して原因を特定し、対策を考える。これはセキュリティだけでなく、サービス全般に共通する基本的なプロセスです。

――セキュリティは幅広い知識や経験が求められる分野だと思います。そうした領域で働くなかで、どのようなやりがいを感じていますか?

私はこれまでサービス開発からインフラ・セキュリティまで幅広く関わってきましたが、セキュリティはとても奥深く、幅広い知識が求められる分野だと実感しています。

たとえば、リスティング系や広告系、入力が多いメッセンジャーなど、それぞれのサービスごとに異なるセキュリティチェックが求められます。セキュリティアセスメント(※3)を行うためには、そのサービスの仕組みやデータの流れ、リスクが生じやすいポイントを総合的に理解している必要があります。

※3 セキュリティアセスメント
組織の情報システムやネットワークのセキュリティ状況を評価し、脆弱性やリスクを特定するプロセスのこと

また、最新技術へのキャッチアップと深い理解も不可欠です。
現在使われている技術の中で、どこがセキュリティの問題になり得るのかを理解しておく必要があるからです。
たとえば、クロスサイトスクリプティング(※4)やSQLインジェクション(※5)といった有名な攻撃手法を知っているだけでは不十分です。攻撃者はデータを大量に投入してアプリケーションをダウンさせたり、異なる動作をさせたりすることもあるからです。
どの技術にどんなリスクがあるのか、どこでどのような攻撃が発生する可能性があるのかを理解していないと、攻撃が予想される特定のシステムやデータの脆弱なポイントをチェックできません。

※4 クロスサイトスクリプティング : 悪意のあるスクリプトをウェブサイトに仕込み、ユーザーのブラウザで実行させて情報を盗む攻撃。
※5 SQLインジェクション: データベースとやり取りするウェブサイトに不正なコードを入力し、データを盗んだり改ざんしたりする攻撃。

LINEヤフーのような大規模な環境でのセキュリティ対策は難しさもありますが、攻撃を未然に防ぎ、適切に対応できれば、安全で信頼されるサービス開発につながります。問題を乗り越え、サービスの安全性に貢献できたと実感できたときには、達成感がありますね。

サイバー攻撃の高度化や社会全体のデジタル化が進むなかで、セキュリティ対策の重要性はますます高まっています。
個人的には、社会的に必要とされるエンジニアの領域の一つだと思っています。私たちの生活やビジネスを守るために、セキュリティエンジニアの役割は今後さらに大きなものになっていくでしょう。

男性が真剣な表情で前方を見つめています。背景には「LINEヤフー」のロゴがぼんやりと映り、オフィスの一角が見えます。

関連リンク

取材日:2024年6月4日
文:LINEヤフーストーリー編集部
撮影:猪又 直之
※本記事の内容は取材日時点のものです

「LINEヤフー ストーリー」のロゴ
LINEヤフーストーリーについて
みなさんの日常を、もっと便利でワクワクするものに。
コーポレートブログ「LINEヤフーストーリー」では、WOWや!を生み出すためのたくさんの挑戦と、その背景にある想いを届けていきます。
一覧に戻る
Page top