めまぐるしい状況変化。成長企業のセキュリティ対応に不可欠な“柔軟性”

──はじめに、セキュリティ統制グループの業務概要について教えてください。 

小澤：会社の状況を鑑みながら、社内のセキュリティリスクを減らしていくのが、当グループの大きなミッションです。社内運用と社内SOC、2つのチームにわかれて日々活動しています。 

SHIFTグループ全体に向けて、情報セキュリティにおけるルールの策定や周知などを展開しているのが運用チームです。

グループ各社に向けてはアドバイザリー業務を行いつつ、セキュリティ対応における基盤づくりを進めています。 

一般的にCSIRT（Computer Security Incident Response Team）と呼ばれる、インシデントが発生してしまった場合の事後対応や、ISMSをはじめとするセキュリティの公的な認証を維持するための活動を進めていくのも、このチームの管轄です。 

一方で、社内SOCチームは、インシデントや不正を未然に防ぐべく、サイバー攻撃の検知やログ分析などを行いながら、ネットワークや人の動きを監視する役割を担っています。テクニカルなナレッジが求められる部隊です。 

──SHIFTならではの特徴はありますか？ 

小澤：成長企業で状況がめまぐるしく変わっていくため、かなり柔軟な対応が求められます。 

例えば、オフィスの移転にともなって、システムに対する要望が経営層から寄せられた場合。

既存ルールにそぐわないものに対して「これはNGです」と即答するのは簡単なのですが、これだけですと、「できないと言わない、できると言った後にどうやるかを考える」というSHIFTのクレドにもそぐわない。

では、どうするか。少し違う視点に立って「どうすればセキュリティ上のリスクが許容範囲内に収まるか」を検討しながら、ルールそのものをアップデートしたり、運用面でカバーできる要素がないかなどを検討したり、何とか実施できる方向性へもっていきます。 

SOCチームについては、SOAR（Security Orchestration, Automation and Response）の活用、つまり、システムを自動化させながらなるべく人の手を介さずに作業を行うことを心がけています。

少人数で業務を運営するための工夫は欠かせません。 

トラブルへの対応能力が高い会社。セキュリティインシデント発生時も、上層部が迅速に動く

──そもそものお話なのですが、小澤さんはなぜSHIFTに転職したのですか？ 

小澤：前職には10数年在籍し、チームをリードしながら、認証をとり、仕組みをつくってセキュリティ運用の型をつくりあげてきました。 

その対応がひと段落したところで、上司から次のステージとして提示されたのが、マネジメントや後任育成でした。 

当時の組織運営上必要な事項であるとは理解していた一方で、「もう1度、自分の手で、一からセキュリティ体制をつくりあげていきたい」という思いが募り、転職を決めました。 

さまざまな企業を見たなかで、SHIFTに決めたのは、セキュリティ運用に改善の余地があり、そこに自分が貢献できると感じたからです。 

入社した2020年当時のSHIFTは、既にISMS認証を取得しており、従業員に向けてeラーニングを実施するなど、一定の仕組みは確立されていました。

その一方で、目を惹かれたのは、類まれな採用人数。毎月約100～200人のメンバーが加わっています。

一定数存在する「セキュリティを身近に感じていない層」に対する教育が必要と感じ、現在のポジションに就いてすぐに対策を講じました。 

さらに、コロナ禍によってリモートワークが開始された時期でもありました。従業員が自宅にPCをもちこんで就業をスタートしたことで、情報やネットワークに対するセキュリティリスクは急激に向上。

自宅で仕事をするうえでの留意点を周知徹底させるなどの対策を講じました。 

あれから4年。会社の規模拡大やクラウドの利用拡大など、取り巻く環境は変化しており、私たちのセキュリティ運用は、つねに、継続的改善が求められていると考えています。 

──セキュリティにおける現状の課題は何でしょうか？ 

小澤：会社の知名度が高まるにつれて、セキュリティリスクも高まっていることが、目下の課題ですね。

もしインシデントが発生してしまったら、グループ会社も含め、会社の機会損失や売上の損失にもなりえます。 

万が一、インシデントが起きてしまったら、とにかくこれまでの経験や知見を総動員して、対策を練り、案件がストップしないよう尽力するほかありません。 

心強く感じているのは、全社的にトラブル対応能力が高いこと。SHIFTでははやい段階で上層部が加わって指揮を執り正常化に努めますが、実はこれはとても珍しいケース。

早期収束を目指すカルチャーのおかげで、私たち自身もスピーディーな対応を実現できています。

実は連結性があるセキュリティ業務。俯瞰して、幅広く経験を積むことが自己成長につながる

──社内外問わず、セキュリティに対する重要度は、今後ますます高まると考えられます。グループとして、特に力を入れていきたいことはなんでしょう？ 

小澤：まずは、M&Aで増加をつづけるグループ各社へのケアを厚くしていきたいですね。早急に体制を拡充して取り組んでいきたい。 

SOCの領域でいうと、特に外部攻撃についてはさらなる対策を講じていきたいです。

先ほどお話しした課題にもつながりますが、攻撃の増加、複雑化は世界的な潮流として抑止できないものだと思っています。 

メンバーには、今後ますます情報感度の高さが問われるでしょう。外部からのリソースを複数もち、最新情報を踏まえながら、SHIFTのセキュリティ対策を練ることができる。

こうした知見やスキルがないと、高レベルのセキュリティ運用を継続するのはむずかしいのではないかと考えています。 

──どんなタイプの方がこのグループで活躍できると思いますか？ 

小澤：俯瞰して物事を見られる人は、活躍できるし、やりがいも感じられると思います。セキュリティの仕事は、一見バラバラにみえて “連結性”があります。

幅広い業務をこなしていくうちに「SOC系の技術・運用が体系的に身についている」というようなキャリアアップも可能と考えます。 

逆に「特定の領域の仕事だけやりたい」とか、受け身の姿勢でタスクをただこなしているだけだと、自己成長ややりがいを感じにくい環境です。 

さらにいうと、他部署、特にバックオフィスの業務をしっかり把握していないことには、私たちの仕事は成り立ちません。 

最近の例でいうと、2024年6月に実施された「定額減税」。労務担当者には、給与明細に注意書きが添えてあるか、その1行を加えるための工程にセキュリティ上のリスクはないか、なども確認しています。 

──些細な業務の一つひとつをチェックされているのですね。 

小澤：「え？セキュリティ担当者って、給与関連業務のことまで考えなければいけないの？」って感じですよね（笑）。 

人事や総務、法務、営業、開発といった他部署が、普段どんな情報を取り扱っているかを把握したうえで、セキュリティ対策を練っていく。こうした動きはISMSのベースにもなっています。 

私たちセキュリティエンジニアは、いわば会社のかかりつけ医のようなものと考えています。

健康診断の実施、止血、手術……“社内”を人の身体と例えたとき、組織や業務を細かく理解していなければ、何も施すことはできない。

「セキュリティの仕事は、他部署を知ることからはじまる」といっても過言ではありません。 

自分の手で“何か”を変えられる余地があるのが、ここで働く醍醐味

──最後に、採用候補者の方に向けてメッセージをお願いします。 

小澤：セキュリティと聞くと「決められた仕事をただこなす」「変化がなく、やりがいを感じにくい」というイメージを抱く方が多いかもしれませんが、SHIFTは真逆です。

成長企業ならではの変化ある環境のなかで、自分の手で“何か”を変えられる余地があります。自走すればするほど、自己成長のスピードもはやいです。 

セキュリティ運用は1回仕組みをつくったら終わりではありません。さまざまな部署とやりとりをつづけ、回転させ、改善しながら成果をつくる。

決して楽ではありませんが、苦しいぶん、達成感は感じられると思います。ベテランがフィットしやすい職場ではありますが、応用力が期待できそうな若手エンジニアにも注目しています。

この記事を読んで少しでも共感いただけた方、ぜひご応募ください。 

──小澤さん、本日はありがとうございました！  

（※本記事の内容および取材対象者の所属は、取材当時のものです）