Sansan-CSIRT CISO補佐の河村です。
今回は、Sansan で実施しているセキュリティー教育について書きたいと思います。
当たり前の教育は、全社員の当たり前に
新入社員全員に実施している研修の様子。
Sansanでは、新卒・中途入社問わずに、全ての新入社員を対象として情報セキュリティーの研修を行っています。
研修では、よくニュースになったり、頻繁に確認されている攻撃手法を紹介したりすることで、それらから社員自身や会社を守るにはどうしたらよいか? という受講者それぞれにセキュリティーについて考えてもらう形式を取って、研修を行っています。
そういった導入を設けて興味・関心を高めた上で、最後に会社として取り組んでいるシステム的なセキュリティーの話をし、「不安に思ったときの相談先として、SansanにはCSIRTという組織がいるんだよ」ということを伝えています。
また、研修以外の取り組みとして、毎週行われる全社朝会(全社員が参加)で前週に起きたセキュリティーに関わるインシデントの内容を共有する時間を設ける、各部門で過去のインシデントやヒヤリ・ハットの事例を共有する会議の実施など、さまざまな取り組みを定期的に行っています。
こうした取り組みを通じて、企業が当たり前に行うべき教育を続け、セキュリティーに対する「全社員の当たり前」を高いレベルに導いています。
ユニークな内部監査体制
前出の新入社員研修は、多くの企業が実施していると思います。
それを踏まえて、Sansanのユニークな点を挙げるとすれば、内部監査を中途、新卒問わず新入社員が2人1組(エンジニアと営業メンバー)のペアになって、新入社員が監査人となり監査を実施するようにしていることだと思います。
この取り組みには、新入社員に一般的な知識やSansan独自のセキュリティーについての理解を深めてもらうという狙いもあります。
内部監査は全エンジニアが対象
内部監査を受ける対象は、Sansanで働く全エンジニアです。
実施に当たっては、かなり工数がかかりますが、内部犯行や悪意を持った攻撃者に攻撃され、作り上げてきたものが無に帰してしまうよりも、Sansanのメンバーにそれぞれ工数を割いてもらい内部で弱いところを先んじて見つけ出して、そのポイントをいち早く是正したいという思いから実施しています。
どうしても部門管理者だけを対象にして監査を実施すると、「自部門はちゃんと出来ているんだ」というバイアスがかかり「問題ない」と答えてしまいがちです。しかし、エンジニア一人一人に監査を実施すると、部門管理者に確認しただけでは分からないような細かなセキュリティー上の問題や課題を発見することもあります。
このように 「Sansan Security Scrum (S3)」という取り組みの改善に向けて行動できる環境が整っているため、Sansanではセキュリティーと利便性のバランスを取りながら改善していくことができています。
text: Sansan-CSIRT CISO補佐 河村辰也