「セキュリティチェックシート」を仕組みから変えたい。課題の当事者だからこそ確信した、Assuredの可能性と面白さ。

こんにちは。Assured人事の密谷です。
今回はAssuredのセキュリティチームで活躍する松本さんに、SaaSベンダーから夢を叶えるためのイギリスへの留学を経て、なぜAssuredに入社を決めていただけたのかお話を聞きました。
松本さんと出会ってから、驚異的なスピードで意思決定ができた背景なども松本さんの価値観が感じられる部分ですので、ぜひ御覧ください。

松本 昂之／Takayuki Matsumoto
新卒でSaaSベンダーに入社し、製品開発プロセス整備やプロジェクト管理、製品のコンプライアンスやプライバシー機能の強化に携わる。ISMS及びISO27017の認証取得、SOC2の監査対応や内部統制設計、ISMAP取得プロジェクトを経験したのち2023年11月に株式会社アシュアードに入社。セキュリティ領域のドメインエキスパートとしてセキュリティ評価やサービス開発を担う。最近取り組んでいるのはサービスデリバリの速度向上。

ジェネラリストからセキュリティのスペシャリストへ

── まずはじめに、松本さんのこれまでのキャリアについて教えてください。

新卒でご縁があったSaaSベンダーに入社し、最初は開発部門に所属しながら、PMOという立場でキャリアの一歩を踏み出しました。成長中の組織だったため、ポジションやロールに関わらず目につくことをなんでも拾いに行く毎日で、社内向けのツール開発・運用、インフラ管理などにも携わりました。挑戦を推奨する文化のもとで、自分で手を動かしてコーディングを学んだり、多くの職種の関係者を巻き込むプロジェクト管理を経験したりしてやりがいを感じていましたね。ただ、時が経つにつれて、キャリアの方向性を定めて自分を鍛えないとまずいのではないかという焦りが出てきました。広く浅く技術もプロジェクト管理も分かることが私の長所でしたが、裏を返せばいずれも本職の人には敵わないことを自覚しており悩んでいました。

その後、思いがけずコンプライアンスやプロダクト開発部門の内部統制を担当することとなり、大きな転機となりました。直接のきっかけは、ベテランの前任者の退職に伴うアサインでしたので、正直なところ予想しておらず、最初は驚きました。引き継ぎの当初に期待されていたのはセキュリティではなく、リーガル・コンプライアンス寄りのロールで、前任にとって比重の軽かったセキュリティ寄りの業務に結果的に注力するようになったのは、運命のいたずらのようなものを感じます(笑)。法令を読み込んで遵守すべき規制をリストアップして対応を検討したり、勝手が分からない中でSOC2報告書の取得プロジェクトに加わり、Trust Services Criteriaという基準と格闘しながら統制文書を見直したのを覚えていますね。最終的にこちらがメインの業務になり、ISO認証やISMAP取得プロジェクトなどの業務にも関わることとなりました。

ISMAP取得プロジェクトは特に思い入れがあり、自分の専門家としてのキャリアのスタート地点になりました。分かったつもりで体系的に理解してはいなかったISO27000シリーズを精読したり、今まで深い接点がなかった製品開発プロジェクトの統制を網羅的に検証したりと、それまでやってきたことを棚卸し点検するような体験でした。加えて、NISTのSP-800シリーズのような標準的な知識セットも学びましたし、それまで経験がなかったセキュリティガバナンスの領域も見る機会となり、スキルの幅が飛躍的に広がりました。

社会に貢献できるセキュリティ職を探して

── 実際にどのような経緯でAssuredに入社されたのでしょうか？

Assuredに入社する前、実はイギリスに留学をしていました。学生時代から目指していた夢の実現を真剣に考えていて、長い準備を経て挑戦できるタイミングを掴み、前職を辞してイギリスへ行きました。しかし、実際にその道を進んでみると家族との時間が取れず、多大な負担を押し付けてしまう現実を身をもって痛感し、日本への帰国を決断しました。後悔はないんですが、じゃあ自分はどうしたら家族を支えつつ、何か社会に貢献できるようなことができるかなともやもやする毎日でした。しばらく考えたのち、仕事は再開したかったので、前職の経験を生かしてSaaSベンダーのセキュリティ担当などのポジションを中心に、少し範囲を広げてコンサルタントの求人などもチェックしていました。自分の市場価値を確認する良い機会と捉え、あえて広めに見るようにしていました。

そんななか、Assuredからスカウトをいただき、文面を読んですぐに興味を持ちました。案内された採用ページを読み、自分の直感がこれは受けるべきだと告げていました。直ちに面談を希望し、後日オファーをいただいた際にはその場で入社の意思を伝えました。すぐに話がまとまりお互いに安心半分、驚き半分でしたね(笑)。驚異的なスピード感で事務手続き・採用の決定をしていただいたAssuredの関係者にはとても感謝しています。手続き一つとっても期待が高まってワクワクしましたし、今でもそのワクワクは続いています。

課題に感じていたセキュリティチェックシートを構造的に変革する

── 本当に驚異的なスピードで意思決定してもらいましたよね(笑) 。Assuredに興味を持った理由をもう少し詳しく聞かせてもらえますか？

まず、Assuredの事業内容が魅力的でした。前職ではセキュリティチェックシート回答の業務も担当していて、この運用というか慣行・制度のような部分に課題を感じていました。この業務はベンダーにとってはなかなか苦しいもので、設問リストの内容やフォーマットの多様性、要求される回答の品質水準、膨大な依頼数など、構造的に大変な点が山ほどあります。他方で、ユーザーにとっての必要性も理解しているので、断ることもしたくない。プロバイダ側でできることとして体制整備によるコスト低減などには取り組みましたが、抜本的に仕組みを改善して、より良い価値提供に繋げることはあまり考えませんでした。

それぞれのプロバイダが個社で努力しても限界があるものを、構造的に解消していこうというAssuredの動きに衝撃を受けましたね。課題を解消できる仕組みをつくってみたいとは思っていましたが、「当事者の罠」と言いますか、自分の観点はあくまで社内レベルでの最適化に留まっていました。業界全体を良くしようとか、依頼主であるユーザーにもメリットのある仕組みを作ろうとは、正直なところあまり考えてられていなかったですね。セキュリティチーム同僚の早崎さんも「なぜAssuredでやろうとしていることを自分でやらなかったのかと思った」と言っていますが、本当に同じ気持ちです。狭い世界の話ですが、この業務を担当したことがある方はみんな同じ感情を抱くのではないかと思います。

── 事業共感は前職の経験を通じて感じていたものだったのですね。最終的なAssuredへの入社を意思決定のポイントとなったのはどんな点だったのでしょうか？

課題に感じていてた点のダイナミックな解決に貢献できそうというのが最大の理由です。他にも、新規事業の立ち上げフェーズにあり、積極的な参画が求められているという点も自分に合っていそうでした。サービスの改善や広報コンテンツ提供に関わったり、商談への同行、リード獲得のためのセミナーを企画したりと、一つの業務にとどまらず活躍の余地があるのが素直に面白いですね。新規サービス立ち上げ時には単に第三者的にアドバイザーとして関わるのではなく、プロジェクトの一員として企画に携わるチャンスもあります。スペシャリストとしての役割が当然に期待され、同時に多方面での貢献が求められているのは、自分が目指していた働き方そのものです。

Assuredのオフィスを実際に訪問したこともプラスに働きました。他職種の方とも話す機会を設けていただき、良い組織だなという確信を抱きましたね。ミッションに向かって、全員が同じ方向を向いて建設的な議論をしていることがすぐに分かったんです。今どうするのかという短期的な話だけではなくて、中長期的な改善の展望を、地に足をつけて相談できているのは素晴らしいことだと思います。自分の考え方とも合いそうだなと感じましたね。組織のありのままの姿を見せてもらったことで自分の働くイメージも持てました。

セキュリティの知識を活かした事業づくりへの挑戦

── 松本さんには入社前にAssuredの普段の様子を見てもらったこともあり、馴染んでいただくのが早かったですよね。入社されてからはどんな仕事をされていますか？

はい、おかげさまで入社後のミスマッチなどは無かったですね。大体すべてが想像通りでした(笑)。Assuredに入社後は、セキュリティチームでセキュリティ評価業務を中心に担当しています。こちらの記事でも業務の詳細についてはお話しさせていただいていますので、ぜひご覧いただけると嬉しいです。

専門性を活かしてお客様や世の中に向けて価値貢献ができる点は、この仕事の大きな特徴ですね。セキュリティと一言で言っても業務内容は多様ですが、事業会社におけるセキュリティのポジションの大多数は社内向けの仕事をしていると思います。しかし、Assuredで求められている仕事は、どちらかというと社外のお客様に向けて業務をする立ち位置にあり、このようなロールは他ではなかなか見かけないと思います。

また、セキュリティ評価業務が主担当とはいうものの、「事業のためにセキュリティの知識を活かして何でもやっている」という表現が正しいかもしれません。プロダクト改善、セミナーへの登壇、商談同行や新規サービスの企画、コンサルティングなど、入社してまだ半年経っていませんがやりたいと思ったことにどんどん挑戦できています。入社前の時点でこんなことやりたいね、できそうだねと雑談していたものまで実現できていて、自分でも驚くほどです。前職のプロジェクトマネジメントの経験や、IaaSの構成やソフトウェア開発の知見なども活かせており、これまで実践してきたことを総動員させながら事業づくりに関わっています。

やりがいとして強く感じているのは、マイルドな分業の中で自分が頼られる場面が多いことですね。どのチームのメンバーもお互いの専門分野では頼りつつ、セクショナリズムには陥らずにやれることはなんでもやって協力しながら事業を推進しています。ドメインエキスパートは社内で関われない業務がないくらいに広い範囲をカバーできるポジションなので、様々なチームからの相談に応えることができます。期待に応えるためには甘えずに爪を研ぎ続ける必要がありますが、刺激的な環境ですね。

── 最後に、読者の方へメッセージがあればお願いします！

広くITの分野で活躍されている方に、事業会社でサービス開発に関わりながらセキュリティのキャリアを築くという選択肢があることをぜひ知ってほしいです。何か軸を持ちながら、スキルの幅を広げていきたいという志向を持っている方にはマッチしていると思います。

また、事業づくりにおいて、この事業に共感いただける方にどれだけ仲間になってもらえるかが重要だと思っています。1人でできることは限られていますし、同じ目的を持った仲間が増えることで世の中へ大きなインパクトを与える事業がつくれると思います。

ただ、事業をつくることそれ自体が目的ではなく、世の中に価値貢献ができるものをつくることが目的だと思っていますので、Assuredのミッション・ビジョンに共感いただけるようであれば、ぜひ一度お話ししましょう！