見出し画像

JDDのセキュリティチームは、妥協のない安全水準とスピードでビジネスを推進させる

Japan Digital Design, Inc.


2020.11.27現在
2019年3月に、当時唯一のセキュリティ担当としてJDDへと入社した唐沢 勇輔。現在はSecurity Teamのリーダーを務め、社内環境や自社サービスのセキュリティ確保を行っています。そんな彼が考えるセキュリティのあり方は、「ビジネスを後押しする」ことです。



「ユーザーの立場で考えるセキュリティ」を追い
求めて、JDDと出会った

画像1

今までは、ソフトウェア開発の分野で仕事をしてきました。ウイルス対策ソフトを扱う会社の開発チームでコンシューマー向けソフトの開発ディレクションをしたり、2012年頃からは情報セキュリティ業界の渉外活動を行ったりしています。

そんな私ではありますが、学生時代は法学部で国際政治を学んでいました。ただ、就職活動はそういったことはあまり意識せずに幅広い業界を見ていて、たまたま出会った当時未上場だったソフトウェア企業(現在は東証一部上場)に入社したんです。

研修を経て、文系人間なのに何を間違ったか開発チームの配属となり、最初はセキュリティとはまったく関係ない製品を担当していました。その後、セキュリティ製品を担当となり、いかにマルウェアを検知して性能を高めていくかに注力していたのをよく覚えています。

一方、開発チームの一員として、自社の出す製品がセキュリティ上問題ないかも重要で、そういった観点でもセキュリティに携わっていました。このように、仕事でセキュリティに関わる中で、セキュリティの分野に興味を持ち始めたんです。

海外のベンダーと一緒に仕事をしたり、海外カンファレンス行く中で、自力で可能な範囲で情報収集をしていたのですが、次第にパーツ単位での勉強になっているもどかしさを感じるようになって……

自分の担当業務を通じてセキュリティに触れていましたが、それは狭い範囲であることに気付いたんですよね。そこで、もう少し全体感を知りたいと、セキュリティ専門の大学院(情報セキュリティ大学院大学)に通い始めました。

また幸運なことに会社として、もう少し国内の他のセキュリティ事業者との情報交換をしていかなければならないよね、と問題意識を持っていた時期だったので、日本ネットワークセキュリティ協会を始めとした社外のセキュリティ団体にも携わるようになったんです。

その後、会社では開発チームのマネージャーになり責任も役割も広げていただき楽しく仕事をしていたのですが、自分自身としては学んできたことをもう少し生かしてセキュリティの道でキャリアを積んでいきたいと考えるようになりました。

それと同時に、「“ベンダーではなくユーザーの立場で考えるセキュリティ”はどんなものだろう?」という興味も芽生え、転職という決断をします。

そんな中で出会ったのがJDD。まだ新しい会社なので、セキュリティをイチからつくっていく過程に携われるだろうなと思ったのが、引かれた最たる理由です。また、金融はセキュリティを重視する業界なので、そういう点にも引かれて入社しました。


専門分野が異なるメンバーが集ったセキュリティ
チーム

画像2

JDDに入社してからまずはセキュリティポリシー、いわばルールづくりから取り組んでいきました。同時に体制面の拡充も行い、最初は私ひとりのチームでしたが、現在はフルタイムで働いているのが2〜3人、副業で2人のチームになりました。幅広く、それぞれ違う専門領域を持った方に集まっていただけています。

セキュリティの仕事と言っても、社内の業務環境を守る部分と、生み出す製品やサービスを守る部分のふたつがあってそれぞれ違いますし、「ペネトレーションテストができる」「監査ができる」など必要なスキルも異なります。そうした中で、得意領域・専門分野が異なるメンバーが良い具合に入っていただけているので、各自のスキルを生かしながら動けています。

入社してすぐにまず行ったのは、他社セキュリティ組織へのヒアリングでした。JDDなりのセキュリティ組織はどうあるべきか参考にさせていただこうと思ったのです。社外の知人を頼り5社くらいにヒアリングをさせていただきましたが、5社が見事に違う組織体制でやっていて。「セキュリティ組織の仕事はここまで」という限界はないんだなというのを実感しました。

セキュリティ担当者の仕事は幅広く、たとえば法律の知識なども必要です。そのために学部で学んだ法学の素養が役立つときもあります。自分自身はマルウェア対策やフィッシング対策などが専門領域ですが、それはJDDで必要とされるセキュリティのごく一部でしかないと思って、日々勉強しています。

そのようなセキュリティ構築に携わる中で個人的に意識している点は、「ビジネスを推進するセキュリティにすること」です。

セキュリティは一見すると、ビジネスの障壁になると思われがちです。プロジェクトを進める中で「障壁だ」と思われることを恐れて「セキュリティリスクが低い」ことを装う場合も散見されます。

しかしそれだと実質的には意味がありません。ビジネスサイドに障壁と思われないように協力しつつ、セキュリティレベルを下げない──レベルを維持または高くした状態でスピードを殺さないことを目指したいと思っています。

そのためには、まず環境をセキュアにしていくこと。つまり普通に使っている環境が安全ですよ、という状態を生み出すことが先決です。そして、なるべく早くセキュリティの問題になりそうなところを発見することが重要になってきます。

私も基本的に全プロジェクトに目を通し、無駄に安全な対応をしたり、下手に危険な方に行ったりしないか見るようにしています。


一人ひとりの個性を生かして──成長機会を与える
リーダーになりたい


前職ではプロダクトをつくるというのがミッションでしたが、今は当然セキュリティを確保するのがミッションです。仕事内容はまったく異なりますし、違う会社なので当たり前ですがチームワークの在り方も異なります。

セキュリティチームとしては、チームメンバーそれぞれが違うプロジェクトや担当業務に携わっているので、チームの一体感よりも、それぞれがプロとして独立して仕事ができる環境をつくることを重視しています。

そうしたチームの力を最大限発揮させるには、誰がどういう領域が得意かを把握して、適切なプロジェクトにアサインすることが重要だと思っています。

また、ご本人がどういう仕事やキャリアを歩んでいきたいかも大切にしたいと思っています。会社が社員に与えられるのって、極論すると給与と成長機会くらいですし。

その中でリーダーができるのはより良い成長機会を与えられることだと思うので、しっかり寄り添っていかなければと考えています。そのために、全メンバーとの1on1は隔週ぐらいで行い、ご本人の目指している方向とのすり合わせを行うようにしています。

前職で1on1やコミュニケーションについて研修を受けたことがあり、そこで学んだことも生かされていますね。

マネージャーの中にキャリアの答えはありません。大事なのはメンバーからいかに引き出すかです。しかもこれは無理やり引き出せるものではなく、本人から出てくるまでこちらから質問したり待ったりするしかないと思っています。

本人がどうなりたいかが重要ですし、それが会社の方向性と合うようにアサインしてあげることがリーダーの役割だと思います。


"二項対立"にはさせない。ビジネスを推進するセキュリティを実現する

画像3

目指している状態は、一人ひとりが独立して動きながらも相乗効果を生み、プロとして成果を出すチームであり続けることです。

また対外的にも存在感を発揮できるチームになりたいと思っています。セキュリティチームのつくったフォーマットがいろいろな場面で使われたらいいなと。

安全性が高い水準を保ったまま、スピードを殺さず、ビジネスを推進するセキュリティを実現させるためには、アーキテクチャが重要です。普通に仕事をしているだけで安全になる仕組みづくり含め、まだまだ、やらなければいけないことは山ほどあります。そこに対してこの1年をまずしっかりやっていきながら整備ができるといいなと。

しかし、目の前の仕事が忙しく、まだそこまではいけていないというのが現状です。それを乗り越えてセキュリティ関係で、将来的にはサービスやビジネスを立ち上げられたらと思っています。

セキュリティとビジネス・開発はどうしても二項対立になりがちですが、どちらかが妥協するのではなく、同じ方向を向いて仕事をするセキュリティのあり方をJDDで浸透させたいです。それがMUFG含めて世の中に広まっていくことで、結果的に安全な世界が実現できるといいなと思っていますね。

繰り返しになりますが、そのためにはアーキテクチャを設計・実装していくことと、実践が重要となっていきます。他部門を巻き込みながら、セキュリティチームと一緒に進められてよかった、と言ってもらえるようなプロジェクトをもっと増やしていきたいですね。