専門性を活かした事業づくりへの挑戦。多様なバックグラウンドを持つメンバーが取り組むセキュリティ評価とは？

こんにちは。Assured人事の密谷です。
今回は、Assured事業の核となるセキュリティ評価を担うセキュリティチームのお二人にインタビューしました。Assuredでの業務ややりがいについてお話しいただきましたので、御覧ください。

メンバー紹介

松本 昂之／Takayuki Matsumoto
新卒でSaaSベンダーに入社し、製品開発プロセス整備やプロジェクト管理、製品のコンプライアンスやプライバシー機能の強化に携わる。ISMS及びISO27017の認証取得、SOC2の監査対応や内部統制設計、ISMAP取得プロジェクトを経験したのち2023年11月に株式会社アシュアードに入社。セキュリティ領域のドメインエキスパートとしてセキュリティ評価やサービス開発を担う。最近取り組んでいるのはサービスデリバリの速度向上。

渡邉 悠子／Yuko Watanabe
ITコンサルティング企業に新卒入社し、銀行で決済システムの保守運用業務に従事。外資系銀行で同様の業務を経験後、東京拠点の地方銀行にてサイバーセキュリティ等のシステム監査を含む各種内部監査を経験。2023年1月に株式会社アシュアードに入社し、セキュリティのドメインエキスパートとして幅広い業務を担当。SaaSのシステムリスク評価及び管理を利用者、プロバイダー、プロダクト等様々な観点から考え、形にすることに奮闘中。

事業の核となるセキュリティ評価を担うセキュリティチームとは

── 現在のセキュリティチームの役割について教えてください。

松本：Assuredはクラウドサービスのセキュリティ評価情報を一元化することで、安心・安全なクラウド活用を促進するサービスです。
その中でセキュリティチームは、Assuredというサービスのセキュリティ評価そのものの品質を担保し、向上させることをミッションとしたチームです。役割としては、セキュリティ評価、コンサルティング・アドバイザリー、マーケティング・PR活動、プロダクト開発支援など多岐に渡っていて、渡邉さんと私はセキュリティ評価をメインに担当しています。

渡邉：「評価の品質を担保し価値を向上させる」っていい表現ですね！Assuredの事業はセキュリティ評価の品質がお客様への価値そのものに直結しますので、メインの役割の違いはあれどセキュリティチーム全員が評価業務を担っている体制となっています。お客様に提供する評価の品質を高めるために、社内では1次評価と最終評価の2段階で評価業務を行っているのもこだわりの1つです。コンサルティングもこのセキュリティ評価結果をベースにお客様に対してアドバイザリーをしていくので、セキュリティ評価には全員が責任を持つようにしています。評価をしながら突発的にチーム内で特定のセキュリティ対策について、トレンドや課題、あるべき姿等を話し始めることもあります(笑)。

松本：チーム内の垣根は低いですよね。メンバーの役割は緩やかに分かれていますが、違いを意識する場面はほとんどありません。セキュリティ評価を担うメンバーがコンサルティングに協力することもあり、ミッション達成に向けて一緒に仕事をしている気持ちです。

── 品質の高いセキュリティ評価結果を提供するためにはどのようなスキルが必要なのでしょうか？

松本：チームとしてそれぞれの得意なスキルを活かすことで品質の高いセキュリティ評価を実現できています。多種多様なバックグラウンドを持つ人が集まっていることがうまく機能していると思いますね。私はもともとSaaSベンダーに在籍していた経験から、クラウドサービス事業者様の観点で実施されている内部統制やセキュリティ体制を把握したり、SaaS開発・運用の知見を活かした評価が得意です。個人的に留学に行って英語を学んだり、法律関連の業務をしていたこともあるので、それらの経験から英語力や法律周りの知見を活かした評価も得意としています。

渡邉：私は金融機関でシステム運用や内部監査をしていた経験から、リスクの評価手法について検討をしたり、クラウドサービス利用企業様の観点での評価を得意としています。他にも事業会社でエンジニアやIT部門のマネジメント経験、コンサルティング会社での経験を持つ早崎さんは、ユーザー企業様の観点はもちろん、お客様とのコミュニケーションに基づいたフィードバックを活かすような観点での評価を得意としています。SaaSのセキュリティ評価と一言で言ってもとても範囲が広いので、1人で全てを網羅することはとても難易度が高いですが、それぞれのキャリアから培った自身の得意領域を持っている人が集まっているからこそ品質の高い評価が実現できていると思います。

── それぞれの強みを活かしたセキュリティ評価業務をしているのですね。具体的にはどのようなことをされているのでしょうか？

松本：評価業務はお客様からの依頼に基づき、プロバイダー企業様から回答頂いたセキュリティ対策状況を評価をするという流れで実施しています。各対策が想定リスクをカバーしているか、ベストプラクティスに沿っているか、提供するサービスの内容に合致しているかなどを評価していますね。IT監査やセキュリティチェックの経験がある方なら、想像しやすい内容だと思います。

評価をすることはもちろんですが、それ以外にも業務は多岐に渡ります。そもそも私たちの評価がどうあるべきなのかを描き、それを実現するための評価項目の改善、お客様により良いリスク評価プロセスを提案するためのプロダクトの改善、有難いことに日々増え続ける評価の依頼に対応するためのオペレーションの改善など評価に付随する部分は全て関わります。

例えば、私たちの評価基準は最新のセキュリティ情勢を加味したものになっているのか、は常に意識していて、NISTやISO/IECの関連ガイドラインなどがアップデートされれば取り入れます。また、お客様が知りたいことが反映できているのかを議論した上で、定期的にお客様への評価レポートの内容を改善します。お客様に、よりスピーディーに品質の良い評価結果を届けるために、チーム内や時には他チームと協力しながらオペレーションフローの改善をしたり、エンジニアチームにプロダクトの改善依頼なども行います。
こういった内容についても、気づいたことは常にチーム内外で話し合いながらすぐに改善していけることも組織の強みだと思います。

セキュリティ評価がお客様への価値につながる面白さ

── Assuredでのやりがいを教えてください。

松本：セキュリティの経験を活かしながら、自分たちの作っているサービスをお客様に届けることですね。前職でもセキュリティ評価に近い仕事をしていましたが、仕事のベクトルは社内向きでした。セキュリティに関わる職種はバックオフィスであることが多いと思いますが、Assuredの場合はセキュリティ評価業務自体がお客様への価値提供の根幹になっている点が大きく異なると思います。

渡邉：松本さんの言っていること、とても共感します。IT領域のなかでもセキュリティというとまだまだ必要性を理解してもらうことが難しく、優先度が下がることが多いですが、Assuredではセキュリティの知見を社内外から求められるので、我々の役割の重要性や期待されている実感を得ることができます。リスク評価や監査の仕事も軽視されがちなのは同様で、今は期待されるからこそセキュリティ評価を極めていきたいという思いが強くなっています。 サービスをお客様に届ける過程でも、セキュリティチーム内外のメンバーと協業しながら事業をつくっていくことも面白みですね。セールスやカスタマーサクセスのメンバーとは商談同行をしてお客様の相談に乗らせていただくこともあります。また、プロダクトチームに機能追加や改善依頼をする際にプロダクトマネージャー、エンジニア、デザイナーのメンバーとも話し合い、一緒に作っていくプロセスに関わることができるのはとてもやりがいがあります。

松本：他職種との協働で言うと、横断プロジェクトの一員としてセキュリティの立場からサービスをつくったり改善できるのもAssuredならではだと思います。アドバイザーという立場ではなく、プロジェクトメンバーとしてサービスをつくる立場で関わるので、サービス企画や設計にも深く関わることができます。最近はセキュリティチーム内でも「こんな新しいプロダクトをつくりたいね」という話も出ていたりします(笑)。

渡邉：夢が膨らみますよね(笑)。実際にセキュリティの当事者としてこれまで感じてきた課題を解決するプロダクトづくりに関わることで、同じように困っている多くのお客様に対して支援できると思うと、やりたいことがどんどん出てきます。

── セキュリティ経験を活かして、世の中に大きな影響を与えることができるのはAssuredならではかもしれませんね。

渡邉：はい。Assuredにはセキュリティを広義な視点から総合的に考えることができる土壌があると思います。そもそも世の中の企業はセキュリティについて何を考えるべきで、どのように活かされていくべきなのかなどの概念から考えていくことが求められます。その他にも、サービス企画からお客様支援まで関わるので、セキュリティというスペシャリティを持ちながら事業づくりに参加し、幅広く活躍できるのはAssuredの面白みだと思います。

松本：関わる範囲が広いからこそ、他のメンバーから専門家として頼られる機会も多く、専門性がより必要とされる環境だとも言えますね。他職種のメンバーもセキュリティに対する解像度が高いので、自分をもっと鍛えたいという意欲が湧いてくる良い環境だと思います。また、事業を作るにあたってのビジネス感覚が研ぎ澄まされるのは、他では得難い経験値になると思います。専門性を持ちつつ、そこを足がかりに外に飛び出していくイメージですね。

── 今後、どんなセキュリティチームを作っていきたいですか？

松本：正直まだ正解は見つかっていなくて、毎日悩んでいますので、ぜひそこから一緒に考えていただける方に来ていただきたいなと思います(笑)。
ただ、Assuredのミッション・ビジョンを常に体現するチームでありたいと思っていますし、そこに直結する業務をしているという実感があります。事業や組織が拡大してもこの大方針を見失わずに、世の中から必要とされるものを提供し続けたいです。
また、お客様により価値を提供するにあたってスピードと品質の両方を追求し続けるチームにしたいです。そのためには迅速に価値を提供できるよう社内の仕組みを整備したり、セキュリティのトレンドや新技術に対する感度を高めて、評価の網羅性を高めるなど、できることはたくさんあります。
冒頭でも述べた通り、個人の力でこれを達成するのは難しいので、一緒に理想のゴールに向かうためにどうしていったらいいか一丸となって考えられるようなチームにしていきたいです。

Assuredのミッション・ビジョン

渡邉：業務も仲間づくりも本当に日々試行錯誤ですよね。ベースはセキュリティ評価の品質の門番でいたいと思います。世の中的にもセキュリティはコストとメリットの判断が悩ましい分野ではあると思うのですが、私たちが世の中の常識をつくっていくくらいの気持ちで突き詰めていきたいと思っています。
そのために解決していくべき課題や今後新しく検討をすべきことは多岐に渡るため、これを実現しようと思ったときには様々な得意領域を持った方々がいてこそ実現できると思います。集まったメンバーがそれぞれの長所を生かしながら活躍し、補いあい、学び合えるように多様なバックグラウンドをお持ちの方に仲間になってもらいたいです。

── 最後に読者の方へメッセージをお願いします！

渡邉：私がアシュアード入社前に読んだnote記事で「同じ船に乗り込んで冒険に出かけるイメージを持った」という趣旨の社員の入社理由のコメントがあり、当時その表現にとてもワクワクしたのを覚えています。入社後、大森さんという船長の元、様々な個性と実力のあるメンバーと一緒に働いている実感とワクワク感が続いています！ セキュリティチームも個性的なメンバーが揃ってきています。もちろんまだまだ課題は多いですが、それもチームで協力して乗り越えていきたいです。

松本：限られた範囲に留まらず「あれもこれも」挑戦できているなと改めて思っています。セキュリティやリスク評価という一見ブレーキ役の仕事をしながら、事業づくりを推進するアクセルを踏み込めますし、ドメインエキスパートというタイトル通り専門家であることが期待されつつも、広く事業づくりに携わることも求められます。多彩な課題を解決するために、私たちのチームでは多様なバックグラウンドの方をお待ちしています。リスク評価や監査、セキュリティエンジニアやSaaSの開発運用、コンサルティングなどの経験を活かして、刺激的な環境に飛び込んでみたい方は、ぜひ一度お話ししましょう！