サイバー攻撃の激化やリスクの多様化など、ITセキュリティの話題が尽きない昨今。お客様からお預かりしている大切な情報を守り、より良いサービスを提供していくために、セキュリティ対策を日々柔軟に変化させていくことの必要性が高まっています。
そうした中、パーソルキャリアでは、ITセキュリティ企画推進グループを新設 。セキュリティを中心としたアーキテクチャや戦略の策定、サイバーセキュリティ施策のさらなる推進に向け、新体制でのスタートを切りました。
今回は、同グループでITセキュリティ領域をリードする役割を担うマネジャーの鈴木とシニアコンサルタントの櫻井へのインタビューです。実はこの2名、パーソルキャリアに入社してまだ半年。外からの視点も併せながら、“パーソルキャリアのITセキュリティの現在地”をテーマに、率直な思いを語っていただきました。
- セキュリティのプロフェッショナルとしての豊富な経験と互いの強みを持ち寄り、パーソルキャリアのITセキュリティ強化へ
- セキュリティは“経営”だと認識し、その構造を確立・可視化していく必要がある
- 意識せずともセキュリティが守られる世界観を目指して
セキュリティのプロフェッショナルとしての豊富な経験と互いの強みを持ち寄り、パーソルキャリアのITセキュリティ強化へ
――まずはお二人のこれまでのキャリアからお聞かせください。
鈴木:ISPでネットワークやインフラ周りのエンジニアとしてIT領域のキャリアをスタートしました。
エンジニアとしてのキャリアスタートが遅く、これからキャリアをどのように築いていこうかと模索しているときに、当時の組織で起きたセキュリティインシデントをきっかけに、この領域に特化することが一つの強味になるかもしれない、とセキュリティ領域に興味を持つようになりました。競合他社と鎬を削るのではなく「サイバー攻撃のリスク等の課題に対し、企業の垣根を越えて協力して高めあう」という世界観に面白みを感じ、セキュリティ資格の取得やセキュリティ組織の立ち上げ等にも挑戦し、この領域の専門性を高めていきました。
その後EdTech系のベンチャー企業に転職し、セキュリティガバナンスやセキュリティインシデント対応のチームリードとして経験を積んだ後、2022年12月にパーソルキャリアにジョインしました。
櫻井:これまでのキャリアの大部分を占めるのは、セキュリティベンダーにおいて、事業会社に対してセキュリティサービスを提供する仕事です。具体的には、脆弱性診断をはじめとしたセキュリティテストの提供や、セキュアにシステムを開発するためのコンサルティングなどを15年ほど行っていました。
そこから事業会社に転職し、現在と同様に自社のセキュリティを守る立場での仕事を経験した後、2022年11月にパーソルキャリアにジョインしました。
――新たな活躍の場としてパーソルキャリアを選ばれたのはなぜですか?
鈴木:前職ではベンチャー企業らしい部分を楽しめた一方で、キャリア形成には課題も感じていて、落ち着いて中長期的なキャリアを築きたいという思いから転職活動を始めました。
その中で、HR業界のエンタープライズとしてサービスや立ち位置が確立していて、まさに今テックカンパニーへの大きな変革を遂げようとしているパーソルキャリアに、“セキュリティ領域の裁量や自由度の高さと、中長期的なキャリア形成の可能性” を感じたのが一つの理由です。
面接などを通じてお会いする社員の皆さんが、中長期的なキャリアを築きながらも、良い意味で大企業然とされておらず、素敵な方が多かったこと、「techteket」を拝見して、情報発信を通じてテックカンパニーとして頑張っていこうという姿勢を感じたことも、魅力として印象に残っています。
櫻井:前職の事業会社では、全社のセキュリティ部門長としてセキュリティ施策全般について担当する一方で、マネジャーとして「自部署の組織をどうよくするか」「現場のモチベーションをいかに引き出すか」といった組織管理についても大きな責任を負っていました。どちらも重要な業務でしたが、私としては「セキュリティをどうしていくか」の方にウェイトを置いていきたいという思いが強かったのです。
その点パーソルキャリアでは、マネジャーと並ぶ形で「エキスパート」というポジションが確立されており、マネジメントとは別の方向でキャリアを築いていけることが魅力でした。
またどちらも従業員規模は同様である中で、前職は数十種の事業を展開していた一方、パーソルキャリアはさまざまなサービスがあるとはいえターゲットが「HR」一つに絞られています。この違いから、セキュリティ領域における価値観も大きく異なっていそうだなと面白みを覚えたことも決め手になりましたね。
――現在お二人がITセキュリティ企画推進グループで担われているお役割について教えてください。
鈴木:元々得意とするのは、私はセキュリティガバナンスやインシデントレスポンスの領域、櫻井さんはどちらかというとアプリケーションやプロダクトのサイバーセキュリティのよりテクニカルな領域、と若干異なりますが……ITセキュリティ全般の広範囲の施策を推進する必要があるので、現状はそこまで明確に役割を分けることなく、互いに議論しながら一緒に様々な企画と推進を進めています。セキュリティに対する根本的な考え方については共通理解が出来ているので、各論に入っていったときに、互いの専門領域や得手不得手を活かしているという感覚ですね。
櫻井:また鈴木さんがマネジャーを担ってくださっているので、組織管理の部分はお任せしていて。私はセキュリティの部分に重きを置きたいという思いが叶えられています。
セキュリティは“経営”だと認識し、その構造を確立・可視化していく必要がある
――続いて、パーソルキャリアのITセキュリティの現在地について伺います。まず前提として、世の中のITセキュリティをめぐる動きや取り組みの現状についてお聞かせいただけますか。
鈴木:世界的にサイバー攻撃が激化し巧妙化の一途を辿っているのは間違いなく、日本もサイバー攻撃の対象として被害が増加しています。その対策の必要性が増している中で、海外、特に北米や欧州圏と比べて日本は色々な面で遅れをとっているのが現状だと認識しています。
日本の中では、「重要インフラ」と言われる国民生活に直結するような業種は、セキュリティ領域に対して法制度や規制の面も関係して意識が高い印象です。また重要インフラ以外の業種の中でも、非常に優れたセキュリティへの取り組みを実現している企業もあり、この辺りは経営方針によって企業のセキュリティレベルに大きな差がありますね。
――ITセキュリティ対策が “進んでいる” “確立されている”とは、どのような状態なのでしょうか。お二人のお考えを教えてください。
櫻井:「ルールや仕組みを誰が・どのように策定し、それに対して誰が・どのように責任を持つのか」「インシデントが起きた際にはどのように情報が連携され、どの段階で誰が・どのように意思決定をするのか」といった、セキュリティの “構造” が確立され、可視化されている状態というのが一つの基準になるのではと思っています。
例えば実際に重大事故が起きてしまった時に、サービスが攻撃を受けることによる被害と、攻撃を受けているサービスを止めることによって発生する被害がある。ここで「今後の事業継続を見据えて、どちらを取るべきか」というのは、例えセキュリティに詳しかったとしてもイチエンジニアが決められるものではありませんよね。
ここは経営判断で舵を取らなければいけない訳ですから、その判断を下せるような体制が作られていなければいけないのではないでしょうか。
鈴木:そういった意味で、セキュリティというのは経営課題なんですよね。「セキュリティ人材を雇った」「中長期的な目標にセキュリティという単語を入れた」から良いという単純なことではなく、財務や労務、人事などと同じような感覚で経営戦略的に取り組む必要があります。欧米ではセキュリティへの対応が法律や規制で厳しく求められるケースが多いため、日本よりもセキュリティに対する経営の関心が必然的に高く、結果的に”構造”が確立され、セキュリティ対策が進んでいる状態につながるのではないかと思います。
――日本ではそういった意識が希薄であるために、ITセキュリティ領域で欧米に遅れをとっている、と。
櫻井:インシデントの影響が公共の利益にまで及ばない、自分たちの事業の中でとどまるような事業会社であれば、そういった側面が強いと思います。
いわゆるテックカンパニーと言われるような企業や、経営層にテクノロジー系出身者が多いメガベンチャーなどはそういった意識を持つところも多い感覚ではありますが、実際に対策が高いレベルに至っているかというと難しいかもしれませんね。
――そういった世の中の状況をふまえ、パーソルキャリアのITセキュリティの現状をどのように捉えていらっしゃいますか?
櫻井:やはり “構造” が確立・可視化されていないため、「誰が全体のルールや仕組みを定め、誰の責任で指揮をとっているのか」といった体制が分かりづらく、また私たちのように新たにジョインしたメンバーには全社で守るべきルールを把握するのが難しいと感じる場面もあります。
その結果として、例えばセキュリティを扱う部署から「こういうことをやるといいですよ」という言葉があった時に、どのような立場で言ってくれているのかが分からないために、事業内でのタスクとどちらを優先すべきかを判断できない、ということがさまざまな場所で起きているのかなと。
鈴木:その”構造”を確立するために必要な「戦略的にセキュリティをこうしていきたい」という明確なビジョンや方針が弱いために、「XXなリスクがあるからYYという対策をします」という局所的な対応が、必要な場面ごとに乱立しているイメージです。
これでは実際にサービスやプロダクトを運用する方もその対応の意図や必要性の理解ができなくて、納得できなかったり、無駄な対応と感じてしまい疲弊してしまいますよね。セキュリティ対応の優先度やコスト、対策のレベル感にも一貫性が失われて、結果的に事業推進の足枷になる、という状況があるのかなと思います。
意識せずともセキュリティが守られる世界観を目指して
――今後の取り組みとしては、まずはやはり構造化・可視化を目指されるのでしょうか。現段階で見据えられている理想の世界観があれば教えてください。
櫻井:そうですね。 メンバーに「何が重要で、優先しなければいけないことなのか」が分かるようにするためにも、まずは “構造” を確立して目に見える状態にしていかなければいけないと思っています。
鈴木:その “構造” が確立され、“特別な意識をしなくても、セキュリティが事業や業務プロセスと統合された状態” が理想です。
例えば労務管理のケースで、「36協定をなぜ守らなければいけないのか」とその意味や仕組みに疑問を持つことはそれほど多くありませんよね。この協定が存在する背景が明確で、守るためのルールや仕組み、システムが存在し、組織が労務管理を適切に実行するための”構造”があります。セキュリティも、これと同じレベルで構造が確立される必要があります。
ただセキュリティにおいては一部を除いて36協定の背景にある労働基準法のように、法律等の分かりやすい背景がなく企業の方針に委ねられている部分も多いので、“経営として内外に向けて方針と戦略を明確にすること” が必要になってきます。
櫻井:この経営としてのメッセージの発信は重要ですよね。メンバーに対して「こうしてください」というよりも、鈴木さんが先ほどおっしゃったように「会社としてセキュリティをこう捉え、このような組織体制でこの取り組みをやっていく」と示すこと、さらにそこをミッション・ビジョンと紐付けて語ることが求められるだろうと。
鈴木:そうですね。「セキュリティが必要である明確な理由」に皆が納得でき、それを実現するための 戦略や業務プロセスなどが適切に構造化され確立されていれば、特別な意識をせずともセキュリティを実現できる、そんな状況が自然と作られるだろうと思い描いています。
――そういった世界観を目指すにあたり、まず第一歩の具体的なアクションとして今後どのようなことが必要になるとお考えですか?
鈴木:パーソルキャリアにおいては「セキュリティ」という言葉の抽象度が非常に高く、この話題になるとどこか浮いた存在のような扱われ方をしていると思っていて。
それがなぜかと考えると、これまでお話ししてきた構造部分、つまりセキュリティの方針や戦略、役割や責任を含めた適切な権限の整備、これを裏付ける背景が曖昧だからだと思うんですよね。
まずはそこを埋めていく作業が必要になると思います。具体的には、まずは目指すべきセキュリティの状態やそのための方針と戦略を明らかにし、セキュリティに関わる役割や責任、権限、言葉の定義、その理由や背景を明確にして、規程基準、マニュアルなどにしっかりと落とし込んで明文化、構造化していくことですね。そこを大切にして取り組んでいくことで、一人ひとりにとってセキュリティを “遠い話” ではなくし、自分ごと化につなげていきたいです。
あとは、そういったさまざまな取り組みをしていくにあたって、セキュリティの専門的なスキルを持つメンバーが足りていないので、採用にも積極的に取り組んでいきたいと思います。
――ジョインされて半年が経ちますが、パーソルキャリアはそういった変革に向けたアクションを起こしていきやすい環境だと思われますか?率直な思いをお聞かせください。
櫻井:新たにCISOというポジションが設けられ、その配下にセキュリティに関連する「ガバナンス推進本部」ができました。これからこの部署でガバナンスを推進していく、ということが分かりやすく示された訳ですから、アクションを起こしやすくなる方向へ着実に向かっていっていると思います。
あとはその中でいかにガバナンスの体制を作り、作ったものを示していけるかが鍵になりますね。
(鈴木・櫻井はガバナンス推進本部も兼務)
――ありがとうございます。それでは最後に、お二人が今後チャレンジしたいことをそれぞれお聞かせください。
鈴木:パーソルキャリアのセキュリティ領域の取り組みをHR業界の模範と呼ばれるレベルに、さらにはそれを超えるような位置にまで引き上げられるように、まずは足元の部分で確実に結果を出していきたいと思います。
櫻井:そうしてセキュリティレベルを引き上げた先で、「パーソルキャリアはセキュリティにここまで注力している」「その上で提供されるサービスである」ということをしっかりと世の中に発信して、セキュリティ的に魅力のある会社でありサービスであると示せるようになっていきたいですね。
――ありがとうございました!
(取材=伊藤秋廣(エーアイプロダクション)/文=永田遥奈/撮影=古宮こうき)
鈴木 歩 Ayumu Suzuki
BITA統括部 テクノロジー企画部 ITセキュリティ企画推進グループ マネジャー
ISPでサーバー・NWエンジニアとして従事。サイバー攻撃の被害を受けたことをきっかけにセキュリティに興味を持ち、セキュリティ部門を新規に立ち上げるなどセキュリティ戦略を牽引。業界のセキュリティ委員会やWG、イベント登壇やセミナー講師等の活動も積極的に行う。その後EdTechベンチャーへ転職し、セキュリティガバナンスやインシデントレスポンス領域を担当。2022年12月にパーソルキャリア入社。ITセキュリティ全般の戦略策定やアーキテクチャの刷新、セキュリティ対策高度化のための企画推進を担当。CISSP・情報処理安全確保支援士(012617号)
櫻井 厚雄 Atsuo Sakurai
BITA統括部 テクノロジー企画部ITセキュリティ企画推進グループ シニアコンサルタント
SIerでWebアプリケーション開発を5年、セキュリティベンダーでホワイトハッカーとして脆弱性診断/ペネトレーションテストやWebのセキュア開発コンサルを15年ほど経験したのち、事業会社にてセキュリティ組織の部門長として全社セキュリティ施策推進に従事。2022年11月にパーソルキャリア入社。ITセキュリティ全般の戦略策定、自社プロダクトやサービスのシステムセキュリティレベル向上のための施策推進を担当。CISA・情報処理安全確保支援士(004099号)
※2023年5月現在の情報です。