Sansanで情報セキュリティを専門に扱う組織が最初に立ち上がったのは2015年。当時CSIRT(Computer Security Incident Response Team)だったこの組織は、会社の変化に合わせて役割を拡大し、進化し続けています。今回はCSIRTを立ち上げ、現在は情報セキュリティ部門のマネジャーとして組織を統括する河村辰也に、情報セキュリティのあり方、そして目指す進化の形について聞きました。
PROFILE
河村 辰也Tatsuya Kawamura
技術本部 情報セキュリティ部 CSIRTグループ GrM
2013年4月にSansan株式会社へ新卒入社。営業DXサービス「Sansan」の開発に関わる傍ら、社内のセキュリティも担当し、2015年にCSIRTを立ち上げる。その後CSIRT初の専任メンバーとなり、情報システム管理規程や個人情報保護基本規程における技術面の再整理やウイルス対策ソフトのリプレイスなどを担当。現在は情報セキュリティ部のマネジメントやISMS取得など、規程やルールに関わる分野に従事。
セキュリティ領域なら
強みを活かし仲間を支えられる
CSIRTを立ち上げた経緯から、その組織が情報セキュリティ部門になるまでの一連の流れを教えてください。
私は高専時代に情報工学を学んでいました。当時は特にセキュリティの専門ではなく、プログラミングやアプリケーション開発などについて幅広く勉強していました。何か特定の領域に特化して、自分の強みを作れないかと考えていた頃に、高専の先生が紹介してくれたのが情報セキュリティ大学院大学でした。面白そうだと思って入学し、そこで情報セキュリティを専門的に学びました。
卒業後は新卒でSansanに入社し、まず営業DXサービス「Sansan」の開発に携わりました。しかし、同じチームにいた先輩エンジニアたちはとにかく優秀で志も高い。いわゆるアーキテクトという領域で彼らと肩を並べるレベルになるのは、あと10年かかっても厳しいと感じました。
そこで、Sansanの成長に必要かつ自分の強みを活かせるポジションとしてセキュリティ領域に目を付けました。セキュリティのスペシャリストになって企業に貢献するという関わり方ならば、優秀なメンバーたちが開発したプロダクトを守る人になれるだろうと。初手として、セキュリティインシデントが発生した際に対応するチームであるCSIRTを立ち上げました。その後、発足から5年程経ち、技術的な部分はメンバーに任せられるようになったので、私はマネジメントを通してセキュリティに携わるようになりました。
2020年頃からは、ISMSやISMAP-LIUといった第三者機関認証を取得する方針を打ち出し、Sansanのセキュリティをより強固なものにしました。しかし、これらの認証を取る上で問題がありました。CSIRTはその名の通り「Computer Security Incident Response Team」なので、認証がその業務スコープに入っていなかったんです。そのため、認証も含むより広い領域をカバーする意図で、情報セキュリティ部という部門へ組織を進化させました。
「セキュリティと利便性を両立させる」の浸透が
Sansanの強み
セキュリティ組織が変遷するなかで、河村さんにとってのターニングポイントはありましたか?
大きく3つあります。まずは、メンバーの松田が入社してくれたことです。彼は私が一緒に働こうと誘った人物です。信頼できる優秀な仲間が加わったことでより強固なチームとしての体を成してきたと思えた時期でした。
次に、初代のCISO(最高情報セキュリティ責任者)が退職したこと。それまでは、私では抱えきれない問題があってもCISOが組織を引っ張ってくれるという安心感がありました。しかし退職したことで、私自身が組織の方針について考え、経営陣と議論するようになるという役割の変化が生じました。それまでよりも、一段高いレベルの仕事を求められるようになったのです。
そして3つ目が情報セキュリティ部の部長である竹脇の参画です。竹脇は前職のメルカリでグループ全体のセキュリティガバナンス構築に取り組んだ経験があり、その知見をもって私の視野を広げてくれました。認証やガバナンスだけでなく、「セキュリティ・バイ・デザイン」という考えに基づきプロダクトセキュリティチームを新設したことも、Sansanのセキュリティ体制をより良いものにしてくれました。
企業理念の「Sansanのカタチ」ではプレミスに「セキュリティと利便性を両立させる」を掲げています。企業や組織は変化し続けますが、この理念は長年変わらない部分ですよね。
Sansanは、創業当初からセキュリティと真摯に向き合い続けてきました。経営層から社員に至るまで全員のセキュリティ意識が高いのはSansanの強みだと感じます。
月に2回行われる全社会議でも、必ず月1回5分の時間を割いてCISOがセキュリティについての議題を話しています。「セキュリティの意識を高める」ことはその会議の目的の一つでもあります。そして、「両立させる」という言葉が示しているように、セキュリティをガチガチに固めるのではなく開発の生産性やユーザーにとっての使い勝手などとのバランスを常に意識しています。
今後、情報セキュリティ部門をどのように進化させたいですか?
この数年間で、Sansanの事業はさまざまな部分が変化しました。ISMSやISMAP-LIUといった第三者機関認証の取得への取り組み、そしてログミーやクリエイティブサーベイなど関連企業のグループガバナンスの強化も求められています。
2023年には法人向けクレジットカードの「Bill Oneビジネスカード」をローンチし、金融領域にも踏み込みました。これまでのサービスでは個人情報保護の観点でセキュリティを扱っていましたが、今後はそれに加えて金融庁の各種セキュリティガイドラインにも沿っていく必要があります。
情報セキュリティ部門の扱う領域が事業の多角化に伴い広がっていますが、現在は認証取得やグループガバナンスなどの対応を、個々のメンバーが個別に対応している状況です。そこで組織としての継続性を高めていくために、今後は運用方法や組織体制などを整備して、組織力を強化することでセキュリティ業務を円滑に進めたいです。また、情報セキュリティ部門には優秀なメンバーがたくさん所属していますが、各領域のスペシャリストをさらに増やしていきたく、採用も推進します。
Sansanの情報セキュリティ部は
ゲートキーパーではなくガードレール
これからの情報セキュリティ部門に参画するメンバーは、どのようなスキルやマインドの人だとマッチしますか?
スキル面ではISMSやISMAP-LIUなどの認証取得やセキュリティマネジメントに携わった経験を持つ人を歓迎しています。情報セキュリティのスペシャリストとして、社内外のステークホルダーと連携を取りながら、セキュリティと利便性の両立に貢献できる人なら活躍できます。
また、マインド面では変化に強い人を求めています。Sansanという企業は、たった1年ほどの期間でも事業や社内の状況が様変わりします。その環境のなかで、「1年前はこうだったから、今後もこの方針でよい」と凝り固まってしまう人では、事業成長にブレーキをかけてしまうんです。過去にとらわれず常に前を向き、「企業の状況がこう変わったのだから、私たちはこう動くのが最善だ」と常にアジャストできる人であってほしいですね。
ブレーキをかけない、というのは重要なキーワードですね。
情報セキュリティ部では「私たちの役割はゲートキーパーではなくガードレールだ」ということがよく語られます。ゲートキーパーは前に進もうとしている人に対して「止まってください」と指示を出して、安全性を確認する役割です。セキュリティは高まりますが、そのスタンスでは事業推進のスピードが鈍化しますし、Sansanの文化には合いません。
一方で、ガードレールは車が安全に走り続けられるように補助する役割です。運転手がアクセルを踏んでスピードを上げても、ガードレールが備え付けてあれば事故を最小限に抑えられます。ここにも、「セキュリティと利便性を両立させる」というSansanらしさが表れています。
情報セキュリティ部の目指す未来がよくわかりました。最後に伺いたいのですが、河村さんは新卒入社から10年以上、Sansanに勤務しています。なぜ、これほど長くSansanで働いてこられたのだと思いますか?
エンジニアが転職する理由として「今の職場では新しいことを学べない」「違う領域に挑戦してみたい」などが挙げられます。しかしSansanでは数年ごとに、転職したのと同じくらいに環境も求められる役割もガラッと変わりました。
もちろんセキュリティという軸は変わりませんが、マネジャーになったり、事業成長や多角化によって新たな業務が生まれたりと変化が尽きません。そのたびに、過去に習得したスキルだけでは通用しなくなり、自分自身が変化し、成長していくことを求められます。だからこそ、Sansanでの仕事に対して前向きに取り組めているのだと思います。
