大企業から急成長ベンチャー、そしてスタートアップへ：セキュリティ専門職がUbieへ飛び込んでみた！

この記事は#Ubie Acceleratorアドベントカレンダー22日目にエントリーしています。

はじめに

はじめまして。
「テクノロジーで人々を適切な医療に案内する」をミッションに、医療プラットフォームを提供しているUbie株式会社でセキュリティをやっているegurinです。セキュリティの中のドメインとしては、セキュリティガバナンス全般を担当しています。

この記事は#Ubie Acceleratorアドベントカレンダー22日目にエントリーしています。

気がつけば転職をして8ヶ月が経とうとしているので、入社エントリーを書いてみたいと思います。

この記事では、新卒からコーポレート部門で仕事をしてきた人間がなぜ敢えてスタートアップに転職をしようと思ったのか、Ubieのコーポレート組織やセキュリティチームがどんな感じなのかご紹介したいと思います。セキュリティやリスク管理の「守り」の領域で転職を考えている方、スタートアップで働いてみようか悩んでいる方の参考となれば幸いです。

adventar.org

自己紹介

キャリアのスタートは楽天グループ株式会社への新卒入社です。
楽天では、内部統制、リスク管理、コンプライアンスや子会社管理を担当する部署への配属となりました。社会人としてまだ右も左もわからない中、大企業の管理部門の仕事の進め方や内部統制の重要性などを様々な業務を通じて経験させていただいたのち、セキュリティ部門へ異動し、そこからセキュリティガバナンス業務を行っておりました。

その後、楽天の同僚だったセキュリティエンジニアがメルカリに転職し、「セキュリティガバナンスの専任がそろそろ必要だから話してみない？」と誘われ、気がつけば転職をしていました。

前職も前々職も同職種なので、新卒から一貫して「守り」の領域で生きてきたことになります。

大企業から急成長ベンチャーへ

メルカリへの転職は自身のキャリア観や「事業会社の守りの領域」の捉え方を大きく変えるターニングポイントとなりました。

メルカリには上場直後のタイミングでの入社となったことから、既に一定程度のリスク管理体制やセキュリティガバナンスの整備は行われている状態でした。ただし、事業が急成長したことにより、セキュリティに関するルールやプロシージャレベルの文書が実態と合っていないなどの課題感はあり、それらの抜本的な改善を行うためのプロジェクトを進めるなど、目まぐるしい日々を過ごしていました。

活動内容の一部は以下のようなブログ記事としても出させていただいております。

“0→1”フェーズの苦悩も醍醐味も味わった、メルカリの情報セキュリティガバナンスチームが今思うこと #MercariSecurityPrivacy | mercan (メルカン)

情報資産を可視化して、リスクを評価し、ルールを作る──メルカリのセキュリティ文化を構築したGo Boldなプロジェクト | mercan (メルカン)

メルカリで対応してきたセキュリティの課題は、楽天でも一定同様のプロジェクト等で経験していたものが多かったものの、会社の規模もフェーズも異なることから、常にゼロベースで「今本当に必要なことは何か？」を強く意識しながら、必要最小限の工数で最大のインパクトが与えられるHowを考える癖が付けられたように思います。

組織としてのセキュリティの成熟度を高めるための様々なプロジェクトに関わりつつ、メルペイのリリース、越境販売やメルカリポストなど多くの新規事業のリリースにもセキュリティ担当として関わらせていただき、「会社が掲げるミッションを達成するためのセキュリティ部門としてのあり方」を強く意識するようになりました。

セキュリティ部門の業務は「セキュリティリスクを洗い出し、リスクが顕在化しないように、または顕在化してしまった場合の影響度を低減するために必要なコントロールの検討および実装」といった「守り」を強く意識した説明がなされることが多いように思いますが、その先のWhyとして会社のMissionを意識し、「今セキュリティ組織として何をすると事業の成長を後押しできるのか？」を常に意識するようになったのは、メルカリでの経験が非常に大きいと思っています。

エクセレントカンパニーのパラドックス

そんな素晴らしい仲間と最高な時間を過ごしていたなか、なぜ転職に至ったのか。

入社して5年近く経ち、メルカリのセキュリティチームも入社したころと比べ、規模も大きくなり、強い専門性を持つ最強なメンバーが勢揃いとなりました。

入社した頃は、自身が専門性を持っていないセキュリティのドメインであっても、他に担当する者がいないことから、なんとかコトを前に進めようと同僚たちと壁打ちしながらひたすらがむしゃらに過ごしており、大変ながらも日々充実感と自己成長を感じていました。

「セキュリティ領域」と一言でいっても、ユーザに提供するサービスのセキュリティを担保するProduct Securityやコーポレート環境全体のアーキテクチャを鑑みたうえでセキュリティを設計・実装するEnterprise Security、セキュリティのルールやプロセスを整備を専門とするセキュリティガバナンス、セキュリティインシデントの検知・対応を行うSOC/CSIRT等、プライバシーやデータガバナンス、セキュリティのドメインは非常に広く、各領域の専門性も突き詰めれば非常に深いものです。

また、業種・業態によっても取り扱うテーマやセキュリティ上意識すべき事項は異なり、同じ「事業会社」という括りでも、対応している業務が大きく異なるケースもあるかと思います。

各ドメインにおける深い知見と経験値を持った最強のプロ集団、それがメルカリのセキュリティチームです。これは会社にとっては非常に良いことではあるのですが、入社した頃の「会社のミッション達成のためにはなんでもやる！」という強い緊張感を持ったカオスな日々に対するノスタルジーも一定感じていました。

Ubieとの出会いと入社の決め手

強く転職を意識していたわけではない中、ぼんやりと将来を考えていたタイミングで運良くお声がけをいただいたことをきっかけにUbieの選考を受けることになりました。

新卒で入社した楽天、そしてメルカリは展開している事業は異なるものの、「テクノロジーによるエンパワメント」という部分においては、共通する部分があったかと思います。また、ヘルスケアという領域においても、学生時代に世界保健機関（WHO)でインターンを行ったり、公衆衛生に関する講義を受けていた経緯もあり、「テクノロジーで人々を適切な医療に案内する」というミッションと自身としてのコアバリューとのアラインメントが高かかったようにも思います。

また、選考を通じてお会いした方々全員の仕事に対する姿勢としても、「専門職として業務を進めている」というスタンスではなく、「ミッションを達成するため、ことに向かうため日々活動している。達成のためのHowの一部として、自身の専門性がある」という方ばかりで、直感的に「一緒に働きたい！」と思える方々ばかりでした。

実際スタートアップに入社してみて

4月に入社し、早くも8ヶ月が経ちました。

実際に入社してみて、「ミッション達成のため」を軸とした働き方やホラクラシーのよる組織運営など、他社ではなかなかない独特な社風を存分に味わいながら過ごしています。

たとえば、Ubieでは一般的な階層型組織ではなく、ホラクラシーを導入しております。ホラクラシーについての説明は以下のNoteをご覧いただければと思っておりますが、セキュリティ組織としてホラクラシーで運営することは一定メリットがあるかと思っています。

前述のとおり、セキュリティの領域はドメインの幅が広いという話をしていたかと思います。一般的な事業会社のセキュリティ組織の構図としては、セキュリティ部門全体を統括する長がいて、その配下にドメイン毎のチームがあり、それぞれ管理職が存在する、というパターンが多いのではないでしょうか。

このような組織の場合、各ドメインの長が現場が見えているセキュリティリスクや課題感を適切に捉え、横並びのドメインの長と調整が必要な場合は適宜調整しながら全体最適が図るための解決策を決定することが望ましいのですが、現場の課題感が正しく吸い上げられる、という部分においてさまざまな障壁が発生しがちだと考えています。

一方で、ホラクラシーでは、「組織の長のみが意思決定権を持つ」という思想はなく、パーパス(目的）で区切られたサークル（チームのような単位）を構成する全員がそのサークルのパーパスを全うする責務を持っています。

具体的な例として、以下が「全社セキュリティ」のイメージです

サークルをどのように組成するのか（ガバナンス）次第ではあるものの、業務の細分化による連携の難しさや実施すすべき業務の優先順位づけが不完全な情報のみで決まる、組織間政治などにより業務がうまく進まない、という課題は発生しにくいと感じています。

ホラクラシー同様に、私が所属するアクセラレーターという組織の特徴的な制度として、給与・賞与に紐づく査定的な評価がない、という点です。評価されること、評価すること、一定程度のストレスを感じている方も多いのではないでしょうか。Ubieでは、率直なフィードバックカルチャーや自己開発のためのスキルスコアリングの座組は存在するのの、「OKR目標に対してX％達成できたので、今期の評価Yです！」といったものはないことから、コトに向かうことに専念しやすいように感じています。

入社して対応してきた業務

4月に入社し、具体的に対応してきた業務としては、全社的なインシデント対応フローの再整備やデータ管理のプロジェクト、セキュリティチームの再設計など、「事業が攻め続けられるための守り整備」を中心として関わってきました。

データ管理PJの詳細に関しては、以下のブログ記事もご覧いただきたいのですが、本PJのセキュリティ担当として、Ubieならではだなーと感じた部分についても触れてみたいと思います。

まず、「データ管理」に係るプロジェクトが発足される場合、多くの事業会社では「個人情報保護法やその他外部要件を遵守し、保有する情報資産に対する機密性・完全性・可用性が必要十分に確保できるようにする」ということが目的として掲げられるケースが多いと思いますが、「守り」の領域が達成したい目的と「攻め」である事業部門が追っている足元の事業目標には大きな乖離が存在し、結果としてうまく進められないケースも多々あるかと思います。

Ubieで本プロジェクトを進めた際は、重要なデータを守ることは当然な目的でありつつも、社として本課題に取り組む本質的な理由として、「各事業・プロダクトの価値を一層レバレッジしていくためにより「求心」がしやすい情報流通環境を整備し、非連続な成長（Giant Leap）を目指せるように」というものが掲げられておりました。

「守り」の施策を「攻め」のアジェンダとミッションに照らし合わせて進める。これは弊社が大切にしている「Full Throttle, but Safe」の考えでもありますが、スタートアップだからといって「守り」の要素を軽視する社風は全くなく、常にWhy What、そしてWhy Nowのメッセージがクリアだったからこそ3ヶ月という短期間でこのような大型全社プロジェクトが進めらたと思っています。

セキュリティやリスク管理以外の業務で言うと、組織・人材開発のプロジェクトなどにも関わらせていただいており、恐ろしいスピードで毎日が過ぎ去っていきます。

最後に

対応すべき課題はまだまだあるものの、日々事業をアクセラレートするためのHowを考えながらミッション達成に向かっていけたらと思っています。
自身が強く共感するミッションを持つ会社で最高な仲間と最高な仕事をし、より良い社会の実現に貢献していきたいという思いは、自身として事業会社で働き続ける大きな理由です。

Ubieが掲げるミッションは膨大であり、今後も様々な課題に対応していく必要がありますが、私たちが目指す世界を実現するには、まだまだ仲間が足りません。最高な仲間と大きなミッションに向かってがむしゃらに働いてみたい方、まずはオンラインでカジュアルにお話しできればと思います！特に、セキュリティまわりでは採用を強化しており、プロダクトを守るSecurity Engineer及びEnterprise Security Engineerは絶賛募集中です！

採用ページ

Ubie 採用サイト

カジュアル面談

Ubie | カジュアル面談

Security Engineer

Enterprise Security Engineer

【提供するサービス一覧】
▽生活者向け 症状検索エンジン「ユビー」
日本版

症状に関連する病名についてAIで無料で調べる

US版

Ubie | Check Symptoms & Find Causes by AI

▽医療機関向け「ユビーメディカルナビ」

[医療機関向け] ユビーメディカルナビ