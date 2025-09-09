

MIXIのCISO（写真：MIXI）

【画像を見る】MIXIで行われている新卒エンジニア研修の、「DAY1」における1日のタイムスケジュール

「CISO（Chief Information Security Officer）＝﻿“最高情報セキュリティ責任者”」とは、企業や組織の情報セキュリティ戦略を統括する極めて重要な存在だ。日々サイバー攻撃や情報漏洩の脅威に晒される中で、どのように情報資産を守り抜いているのか。

多種多様な業界のCISOに、独自の事情を踏まえた課題と工夫を尋ねる本連載。組織の数だけセキュリティの難しさがあるーー。同じ「資産を守る者」として、きっとためになる発見があるはずだ。

今回は、SNS「mixi」や「家族アルバムみてね」、ゲーム「モンスターストライク」など、コミュニケーションを基軸としたサービスを提供する「MIXI」のCISO セキュリティ室室長の亀山直生氏に、MIXIのセキュリティ体制と戦略について話を聞いた。

【MIXI】“コミュニケーション”を事業ドメインに、「デジタルエンターテインメント」（ゲームの開発・提供、アニメの制作を含む）、「スポーツ」（公営競技関連事業や千葉ジェッツふなばしなどプロスポーツ運営を含む）、「ライフスタイル」（生活に密着したサービスの開発・提供を含む）の3つのセグメントで事業を推進する企業。現在13のグループ会社がある。

セキュリティ室のミッションに立ちはだかる｢3つの障壁｣

亀山直生氏は、2023年4月にMIXIが創設したCISOに就任した人物だ。前職で脆弱性診断サービスの実務に従事したのち、2015年にミクシィ（現MIXI）に中途入社。以来、ゼロトラスト、脆弱性診断、IaaS監視、CSIRT、教育研修、啓発活動など、全社セキュリティの支援や戦略に携わってきた。現在はCISOとしての業務はもちろん、セキュリティ対策の実務も兼任している。



CISO就任について亀山氏は、「セキュリティ対策の実務を10年近く担当する中で、MIXIのセキュリティ対策の流れや背景、ルールの状況などを把握できる立場になっていました。セキュリティ実務だけでなく、社内外へのレポーティングや戦略立案も担当しなければと思い、CISOに就任しました」と話す。

MIXIの「セキュリティ室」は現在8名が所属し、2つのグループに分かれている。1つは開発やシステムの情報セキュリティなど技術的な対応を中心に行う「セキュリティ技術グループ」、もう1つは2024年4月に新設した「セキュリティ管理推進グループ」だ。後者は組織対策やグループ会社のPMI（Post Merger Integration）、各案件の全体管理推進をはじめとする技術以外の対応を主に担っている。

セキュリティ管理推進グループを新設した理由について、亀山氏はこう説明する。



亀山 直生（かめやま・なおき）／MIXI CISO セキュリティ室 室長（画像は本人提供）

「MIXIは元々エンジニアから始まった組織なので、システム面の対策には強いのですが、一方で文書整備やメンテナンス、グループ会社のセキュリティ対策といった話となると領域が異なります。人材確保の面でも、スコープを限定して採用活動を進めることでセキュリティ室の体制を強化できると考え、専門の部署を設置しました」

セキュリティ室のミッションは、「情報セキュリティ事故の防止」と「事故時の被害最小化」。これらのミッションを達成するにあたり、亀山氏は現在“3つの障壁がある”と述べる。

1つ目は、情報セキュリティの領域には脅威や対策が多いため、何から対応すべきかわからなくなってしまうこと。2つ目は、既存のフレームワークや認証基準などの抽象度が高いため、自社の業務や運用において具体的に何をすべきかわかりにくいこと。3つ目は、自身の事業のセキュリティ対策には取り組めても、新入社員の教育などの対策が疎かになりやすいことだ。

そこでMIXIでは、それぞれの社員がセキュリティ対策を行うだけでなく、セキュリティ室が横軸として介入して対応にあたっているそうだ。さらに新卒エンジニア研修では、開発の専門的分野に関する300ページにもわたる資料を共有しており、その内容は実は一般にも公開されている。



新卒エンジニア研修は「DAY1」のほか、終日セキュアコーディングのハンズオンを実施する「DAY2」（詳細非公開）も存在する（画像：MIXI提供）

“気づける状況”を作ることをとにかく意識

亀山氏は、セキュリティ体制で大事なことを4つ挙げる。

・「トリアージ」

・現場にわかりやすく伝えて「抽象度を下げる」

・他部署も含めた「課題の拾い上げ」

・「事故の早期ケア」

「トリアージは、ポリシーとしてセキュリティが弱い部分から対策を行い、全体的にバランスよく防壁を重ねるようにしています。障壁の1つである『何から対応すべきか』という疑問には、セキュリティ室でトリアージを行い部門横断で対策をしてもらっています」



亀山直生氏が作成した資料より（出所：「MIXIセキュリティ室の戦略と施策〜 開発にセキュリティを組み込むために 〜」）

具体的な課題解決としては、アタックサーフェスを「自社サービス（アプリ、インフラ、関連ツールなど）」、「社内システム（端末、全社ツール、社内ネットワーク、オフィス設備など）」、「人間（アカウント、運用、脳内の情報など）」に切り分け、個別に戦略を練るという。

「自社サービス」は、ユーザーに提供する部分は非公開にできないため、公開範囲を最小限にしつつ攻撃や脆弱性全般の対策を優先している。例えば、AWSやGCPのアカウント漏洩や設定ミスによって重要なデータが露呈することがないようIaaS監視を行ったり、ゼロトラストの構成を参考に認証を行って関係者以外のアクセスをはじくなどの対策を取っているそうだ。

「社内システム」は、社員や業務に従事する人のみがアクセスするため、対象者だけを認証してそれ以外の人を弾き、PCセキュリティも併せて強化している。またMIXIでは、リモートワークとオフィスワークを融合させた「マーブルワークスタイル」での働き方を採用しており、フルリモートを含めた最適な出社日数を部署ごとに選択できる。当然、リモートワークのセキュリティ対策が重要となるが、MIXIは早い段階からEDR （Endpoint Detection and Response）を導入して監視しており、重大な問題と思われる場合は社内IT部門やセキュリティ室に連絡が届く環境を整えている。

その他、PCへの通信の制御を行うパーソナルファイアウォールの設定の見直し、ユーザーの認証情報を保存管理するIdP（Identity Provider）の共同運用、パスワードマネージャーの導入も行っている。

「人間」に関しては、研修や注意喚起など教育啓発に力を入れており、IPAの10大脅威を参考に、フィッシング対策などの護身術やSNSのモラルについて伝えている。

年1回のeラーニング啓発のほか、毎週実施している全社員に向けた朝会の中でも社内のデザイン本部の協力によって制作されたセキュリティ啓発の動画コンテンツを視聴してもらい、社員の意識醸成に繋げている。動画コンテンツは非常に親しみやすい雰囲気で、フィッシングの見分け方やパスワード管理法・パスワードマネージャーの利用法・エレベーター内の雑談の注意など様々な呼びかけが可能だという。また委託先企業に対しても、リーフレットを提供するなど各従業員への教育を依頼している。

「教育啓発にはかなり力を入れていて、基本的なことでもしっかり口に出して呼びかけ合うことが大事だと話しています。また、そもそも問題に気づけなければその後の対処の精度が低くなってしまいます。万が一問題が起きたりその疑いがある場合は、必ずmixirt（CSIRT）に報告するよう口酸っぱく伝え、とにかく“気づける状況”を作ることを意識しています」

なお、MIXIは「日本シーサート協議会」に加盟しており、セキュリティインシデントの情報共有を行っている。

グループ会社とはM&Aの時点で入念に認識合わせ

MIXIは多数のグループ会社を抱えているが、他社との認識合わせはどう調整しているのだろうか。

「M&AのPMIの段階で、IPAの『SECURITY ACTION』をベースに作成したチェックリストを使って、基礎的な部分から体制と対策の確認、整備を行っています」

各グループ企業とは年1回、グループ会社を含めた情報システムの管理台帳を作るためのヒアリングを行っているが、なかにはIaaS監視やペネトレーションテストを365日継続して実施しているグループ会社もあるそうだ。

「とはいえ、どうしても『開発を優先したい』などの事情でセキュリティ対策に難色を示されるケースはあります。しかし、業界の特性上われわれのグループはユーザー情報を多く取り扱っているため、セキュリティ対策は欠かせません。こうした場合は、MIXI側とグループ会社側の上層部から指示を下ろしてもらうなどで調整しています」

他部署でインシデントがあった場合、mixirtとは別に、各部署の部室長でもナレッジを共有している。非常にセンシティブな情報であるため、共有システムの公開範囲は一定のレイヤーに限定しているが、直近1カ月のインシデントの傾向や統計分析データをレポートで周知しているのだそうだ。

「情報の取り扱いには工夫を凝らしています。というのも、mixirtには『事故かもしれない』という段階で報告してほしいのですが、一方で、事情が正しく伝わらないと過剰なニュースになってしまう恐れもあるからです。そこで、情報を得られる人を上層部に限定し、対外的に発表する際も一定の統制の下で私から話すようにしています」

社内、上層部、グループ会社など、数多くの部署との調整が求められるが、亀山氏には意識しているポイントがあるそうだ。

「セキュリティ対策は、費用的にも人員リソース的にも現場に負荷がかかる場合が多々あります。やはり対応の限界はあるので、なるべく現場の手間をかけずにカジュアルに始められる施策を意識していますね。例えば、脆弱性診断は導入部分だけ協力してもらって、実際のテストはセキュリティ室で巻き取ったり、なるべくエージェントを入れない仕組みを用意したりしています」

CISOに重要なのは合理的説明力と｢理解してもらう力｣

MIXIでは一般向けにゲームなども提供しているが、例えばポイントやアイテムを不正に取得する「チート行為」など独自のセキュリティ対策も求められる。

「チートの手法に関する調査などを行い、流行っているものについては対策を行っています。とくにチートの専門人材は採用していませんが、エンジニア研修で対策や対応を説明する機会は設けています」

また、事業部側と相談し一般ユーザーに対して2段階認証などのセキュリティ対策を促す施策も適宜行っている。ただし、子どもの写真や動画を家族で共有するアプリサービス「家族アルバム みてね」などはシニア層のユーザーも多いため、ユーザーが難しいと感じればセキュリティ対策によって利用に支障が出る可能性もある。そうした場合は必ずしも厳しく強制はせず、選択肢としてセキュリティ支援を用意する形式にしているそうだ。

最後に、CISOという役目について亀山氏は次のように語った。

「新しい経験として、CISO就任は貴重な機会を得られたと前向きに捉えています。業務全体を幅広く見られる人は向いているでしょうし、セキュリティのキャリアを積みたい人にとってCISOは目指すべき価値があるでしょう。しかし実は、CISOの肩書がないとできないことはほとんどないものです。

もちろん、社内外に向けたわかりやすい目印にはなるので、話を進めやすいなど諸々の対策が捗るというメリットはあります。しかし本当に重要なのは、権力でも肩書でもなく、合理的な説明ができる力とそれを理解してもらう力ではないでしょうか。

幸い、MIXIは上位のレイヤーから現場の社員まで協力的な人が多く、それが会社の強みでもあります。当社もまだまだ改善したいところが多々あり道半ばですが、何からやるか、何をやらないか、その分析や判断を通すことで、焦らず前向きに取り組めるのだと思います」

（鈴木 朋子 ： ITライター・スマホ安全アドバイザー）