mimi

Sansanの
人・組織・カルチャーを
伝えるメディア

情報セキュリティ部長が描く、Sansanのセキュリティ・バイ・デザイン構想

Sansan株式会社の情報セキュリティ部門は今、会社の拡大に合わせてさらなる成長を求められています。そこで目指すのが、セキュリティ・バイ・デザイン。その実現のために、今何が課題で、解決に向けてどんな構想を練っているのか、部長の竹脇に話を聞きました。
 
 

 

PROFILE

竹脇 竜Ryu Takewaki
情報セキュリティ部部長

大手携帯キャリアグループでシステムセキュリティの強化やセキュリティガバナンス業務に従事。その後、外資保険会社グループで情報セキュリティ部門の国内責任者ポジションを経て、2018年にメルカリ入社。セキュリティ管理の抜本改革など、メルカリグループ全体のセキュリティガバナンス構築に取り組む。2023年5月、Sansan入社。現在は情報セキュリティ部部長として、Sansanの情報セキュリティ部門を牽引している。


ツアコンで6大陸制覇
建築デザインの仕事を経てセキュリティ畑へ

竹脇さんはずっと情報セキュリティに関わるキャリアを積んできたのでしょうか?

ここ20年くらいはずっと情報セキュリティに関わる仕事をしています。大手携帯キャリアグループの企業に約16年間勤め、前半はセキュリティの脆弱性診断やシステムのハードニングを担当するエンジニアとして、後半は主にシステムセキュリティ基準の策定などのガバナンス領域を担当しました。その後外資系生命保険会社での日本側のセキュリティ責任者を経て株式会社メルカリに入社し、約5年間、セキュリティのガバナンス分野を担当していました。

ただ、ずっと情報セキュリティ一筋だったわけではなく、新卒では旅行会社のツアコンとして世界の6大陸50カ国以上を回りましたし、その後に大学に再入学して建築を学び、建築デザインの仕事をしたりもしていたんですよ。

面白い! 経歴の幅が広いですね。何か一貫した思いがあるのですか?

昔から一貫して未知のことに挑戦し続けたいという好奇心があります。特に20代は「面白そうなことならなんでもやってみる」がコンセプトで自分の可能性を広げるためにいろいろなチャレンジをしましたが、最終的に選んだのがIT業界での仕事でした。

セキュリティに関わるようになったのはなぜですか?

大手携帯キャリアグループでは、最初はサーバーエンジニアやネットワークエンジニアとして働いていました。ただ、他職種を経て入社しているので社内には私より年下で優秀なメンバーもたくさんいる。そんな中でグループ初の脆弱診断プロジェクトに参加する機会を得ました。そこで当時はまだ日本の企業では未知の領域だったセキュリティに大きな可能性を感じ「この分野でナンバーワンになろう」と決意して、創設されたセキュリティ組織に参画したのが現在のキャリアのスタートです。

その後、外資系生命保険会社を経てメルカリへ。メルカリではガバナンスの仕事が中心だったのですか?

そうですね。入社した当時は数名のセキュリティエンジニアしかおらず、ガバナンスを担当するポジションもなかったので、社内の協力者を探すところからスタートして一から管理体制やルールを作り上げていきました。メルカリでは情報漏洩事案のインシデント対応や個人情報保護法の改正への対応や、コード決済、クレジットカードなどの金融事業、仮想通貨事業など複数の事業の立ち上げにも関わることができ、とても貴重な経験を積むことができました。

そんな中でなぜSansanへ?

メルカリでは5年ほどでセキュリティ環境を入社時に描いていた状態まで整えることができました。加えて新規事業の立ち上げも行い、「やり遂げた」という気持ちがありました。

Sansanへの入社は、声をかけてもらったことがきっかけです。最初は名刺管理のイメージを持っていたので「コロナで人と会わなくなったし、事業は大丈夫なのかな?」と懐疑的でした。

ただ、Sansanの強みを聞いていると、正確なデータ化を実現するために、テクノロジーだけでなく、人力によるプロセスも組み合わせて99.9%まで精度を高めている。小数点以下の細かいデジタル化に魂を込めて投資していることを知った時に、そこがSansanのユニークさであり、他の会社には簡単に真似できない勝ち筋があると確信できました。

加えてデータ化の技術を活かした新しいサービスも急成長していて会社としても変革期であり、今が非常に面白いフェーズであると感じたこと、そして「この会社のビジネスは、さらに爆発的に伸びる」という感覚を持てたことが入社の決め手です。


セキュリティ組織を導く
新たなロードマップを描く

 

入社して、Sansanの情報セキュリティは竹脇さんの目にどう映りましたか?

まず、ISMS認証(※)をはじめとした各種のセキュリティ認証を取得できているレベルにあるので非常にしっかりしているという印象を持ちました。そんな中で「Sansanのセキュリティをさらに強固にするために私にできることは何だろう」と深く考え、取り組むべき3つのスコープを設定しました。

1つ目が「課題抽出」。まずはSansanの情報セキュリティの現状を把握していきました。これは部内外のヒヤリングやフレームワークの活用を通して、機能の充足度や成熟度を徹底的に分析・可視化することから始めました。

2つ目は「目標設定」です。これは抽出した課題を踏まえてそれぞれの領域で目指すべき理想の姿を設定し、さらにそこに至るまでのタスクの解像度を上げていくことに取り組みました。この過程は部門のメンバー全員で議論を重ね、最終的に情報セキュリティ部門を未知の領域にも踏み込んで更なる進化に導く「ロードマップ」という形で具現化しています。

そして3つ目が、ロードマップを実現するための「組織設計」です。

これらを考える上で常に念頭に置いたのは「会社の急成長にスケールできる情報セキュリティ組織をどう作り上げるか」ということでした。

そのために重要と考えているのが「セキュリティ・バイ・デザイン」の思想です。これはプロダクトの開発において脆弱性が出る度に対応を繰り返す対処療法から脱却し、企画・設計段階からセキュアなプロダクトが生み出される仕組みを作ることで手戻りを最小限に防ぐ手法で、このような開発のシフトレフトを推進する組織として今回プロダクトセキュリティチームを新設しています。

また、Sansanではプロダクト開発に留まらず「セキュリティ・バイ・デザイン」をセキュリティ全体のコンセプトとしてガバナンス面も含めて上流工程から安全性が維持できるメカニズムを作ることで会社の規模やプロダクトの拡大に対応できる組織づくりを目指しています。

※ ISMS認証:ISMS(Information Security Management System)は、組織の情報セキュリティを管理する仕組みのこと。その認証基準は国際規格で定められており、規格に基づき第三者の認証機関が適合性を評価する。


Sansanに根付くセキュリティのDNAが
圧倒的なスピード感を生み出す

 

 

情報セキュリティ部門はどんな「ミッション」を掲げていますか?

当社の企業理念「Sansanのカタチ」の中のプレミスとして掲げている「セキュリティと利便性を両立させる」が、そのまま我々のミッションだと考えています。

jp.corp-sansan.com

セキュリティに深く関わっている人ほど「セキュリティが何よりも最優先だ」と考えがちです。しかしSansanで目指しているのは「利便性と両立させる」こと。みんなが安全に使える、それでいて使いやすいという高度なバランスを保つ難しいミッションです。

働いていて感じるのは、Sansanには「セキュリティを守るんだ」というDNAがしっかりと根付いていることです。驚いたのは創業2年目の2009年くらいからすでにプレミスに「セキュリティ」という言葉が入っていたということ。これは経営層の思想であり強い意思表示でもあります。

それもあって社員一人ひとりに「情報を預かる仕事だからこそ、セキュリティを守ることが大切である」という考え方が浸透している。他社と比べて圧倒的にセキュリティ施策が進めやすい環境であり、ここは大きなアドバンテージであると考えています。

実際にSansanでは新しいソリューションを導入するスピードがものすごく早い。例えば社有デバイス管理ツールを導入しようとすると、監視されているのではないかと社員がネガティブな感情を持つケースが多くあります。しかしSansanでは社員みんなが「事業成長にとって大事なこと」として前向きに捉えているから、導入までの意思決定がとても早い。ベストプラクティスがあればどんどん試せるし、導入に向けて提案もできます。これはすごく大きな魅力だと思います。

 

入社後、印象に残っている仕事を教えてください。

認証基盤更改のプロジェクトです。昨年実施したペネトレーションテストの報告を受けて、2022年に認証の基盤を全て刷新する意思決定をしました。私が入社する前から始まっていたプロジェクトで、とても大きな変更をたった半年で確実にやり遂げていることに驚きました。結果として、今年のテストではホワイトハッカーの攻撃を完封するという結果につなげています。Sansanのセキュリティのスピード感と強さを示すことができた事例です。

では、そんな情報セキュリティ部門で働くメリットはどこにあると思いますか?

一つはメンバー一人ひとりが関わる業務範囲が広く、より多くの経験を積めることです。現在のセキュリティ部門は規模が大きくはありません。一方で会社はさらに拡大しているフェーズなので、さまざまなセキュリティ施策に対して積極的に投資できる環境は整っています。だから幅広い業務範囲に対して自分次第でさまざまな計画を立て提案、実行できますし、得られるスキルの幅も広がります。

一方で今後組織が拡大することで役割の分業が進むと、メンバーには閉塞感が出てくるかもしれません。だから組織の中で常に人材の流動性を高めることが大切ですし、チーム間でのローテーションを実施したり、メンバー一人ひとりのキャリアや「やりたいこと」にきちんと向き合っていきたいと考えています。

最後に、Sansanの情報セキュリティ部に合う人材とはどんな人だと思いますか?

「探究心」を持っている人です。現在は会社として大きく飛躍する時期であるとともに、情報セキュリティ部門としても組織の機能を様々な方向に伸ばしていく大きな変革期です。自分で課題を設定して解決策を試す余地がいくらでもありますし、それが仕事としてきちんと進んでいる実感も得られるので魅力的だと思います。

探究心があり自身の意志と意図をもって進んでいってくれる方には大きな裁量権を委ねて組織を引っ張るような働き方をしてもらいたいですし、そういう仲間と一緒に今後のSansanのセキュリティをさらに強くしていきたいです。

 

 


 

Sansan株式会社の中途採用に関する情報を公開しています

Sansanでは、「ビジネスインフラになる」というビジョンを実現するために、共に「出会い」の可能性を切り拓く挑戦をしてくださる方を募集しています。中途採用に関する情報はこちらをご覧ください。

 

 

text&photo: mimi