情報セキュリティガバナンス推進担当者によく寄せられる質問とその回答を公開します!
【Q1】情報セキュリティガバナンス推進担当者が所属するチームについて教えてください。
情報セキュリティガバナンス推進担当者はグリー株式会社 開発本部 セキュリティ部 セキュリティ企画チームに所属します。
セキュリティ部は「情報セキュリティ活動を通じて事業に貢献する」というミッションを掲げ、以下4つのチームで構成されています。
- セキュリティ推進チーム
- セキュリティ製品を導入及び運用し、社内システム関連のセキュリティ対策を行う。
- セキュリティインフラチーム
- 「セキュリティ情報イベント管理システム(SIEM)」の設定及び運用を行い、商用システム関連のセキュリティ対策、及びそれらセキュリティシステムの基盤運営を行う。
- セキュリティ診断チーム
- サービスに脆弱性がないか診断し、検出された課題について対処方法を提案する。
- レッドチーム演習などにより実際に侵入するテストを行い、問題点を洗い出し改善する。
- セキュリティ企画チーム
- セキュリティルールを策定し従業員の遵守を徹底する。
- セキュリティ対策状況を評価し、課題について対策を講じる。
- グリーのセキュリティ活動について社外プレゼンスを向上させる。
【Q2】セキュリティ企画チームの業務について教えてください。
セキュリティ企画チームの業務の根本にあるのは、【Q1】の通り、安心してご利用いただけるサービスを提供するために、情報セキュリティのルールを策定し、従業員が遵守して業務を行う環境を構築することです。
主な業務について、もう少し詳しく紹介させていただきます。
- セキュリティルールを規定・細則・ガイドラインに定め、状況に応じてアップデートし、リスクアセスメントなどにより遵守状況をモニタリングする。
- 情報システム部門、インフラストラクチャ部門、法務や人事などのコーポレート部門、サービス開発部門からのセキュリティに関する相談に応じ、解決する。
- ISMSなどの公的な情報セキュリティのフレームワークやガイドラインに照らし、グリーのセキュリティ対策状況を確認し、評価し、課題を抽出する。
- 従業員の意識向上のため、社内ブログやポータルでのお知らせ等、啓発コンテンツを作成する。
- 年1回「情報セキュリティ報告書」を発行し、グリーのセキュリティ活動を社外へ発信する。
- 同業他社のセキュリティ部との情報交換、及び、業界全体のセキュリティ向上に参画する。
【Q3】セキュリティ企画チームのカルチャーや、メンバーの特徴などを教えてください。
各自が主体性をもち、自由に発想し、考えを言える場となっています。
チームとして常に、セキュリティ対策を効果的にしつつ業務を効率化することを意識し、議論して改善に取り組んでいます。
メンバーが閃いたことで提案があったとき、チームの他のメンバーで共感したら即時取り組むという、スピード感も大切にしています。
【Q4】セキュリティ企画チームの業務におけるやりがいや、魅力について教えてください。
世間一般的に、リモートワークなどの環境の変化や事業の多様化、昨今のサイバー攻撃の増加により、情報セキュリティの重要性は高まっています。社内についても、どの業務をするにしても、社内システムや機密情報がかかわり、取引先から強いセキュリティ対策を求められることが増えてきたこともあり、従業員の情報セキュリティへの意識が数年間と比べ物にならないくらい大きくなったのを感じています。
このように、セキュリティ企画チームの業務は、会社の事業に強くかかわり支えるものです。
業務のやりがいについては、情報セキュリティやガバナンスの知識が必要で、地道に調べたり考えたりする必要がありますが、経験を積めば積むほど、雪だるま式に知識が身につき、圧倒的に業務がすすめやすくなるのを実感することだと思います。
また、今までルールがなくあいまいでだったことを明確にし、安全性を向上させ、「情報セキュリティ報告書」などでグリーのセキュリティの取り組みを社外に向けて発信することで、社外の方から関心をもっていただいたり、従業員からお取引先から信頼されるようになったり、以前より安心して効率よく業務が進められるようになったという声を聞いたときはうれしいです。
【Q5】セキュリティ業務は未経験でもガバナンス系の経験があればOKとのことですが、実際にどのような経験があるのが望ましいでしょうか。セキュリティ未経験のチームメンバーはいますか?
法務、経理、リスクマネジメント、内部監査など、法規制や社内ルールの遵守や、リスクを検出し低減することを基礎とする業務の経験があれば、親和性が高いと思います。
実際に当チームのマネージャー自身は、前職のメーカーでは内部監査部門であり、グリーに入社した時も内部監査部門に所属しました。ですので、6年前にセキュリティ部門へ異動したときはセキュリティ関連の業務は未経験でしたが、技術的な要素が高まったものの、業務の基礎にある考え方は同じなので、大きく困ることはありませんでした。
また、他には、新卒入社や、中途採用でこれまでセクレタリー系の業務をして初めてセキュリティ関係の業務に従事という経歴などのメンバーがいます。
【Q6】業務の進め方や時間の使い方を教えてください。
メンバーそれぞれに担当業務がありますが、事業上の必要性やインシデント対応など急を要する業務が生じた際はプロジェクトを組んで優先的に対応しています。
それ以外はじっくり考える業務や定型業務を各自のペースで行い、臨機応変に時間を使っています。
進捗報告や情報共有も必要ですが、管理業務やメンバーの対応が複雑になり時間をかけすぎるのもよくないので、ベースは部門の週次報告書や、チーム内のタスク管理リストへの記載で行い、週次で開催される、セキュリティ部や企画チーム定例ミーティングで進捗報告及び相談を行うというシンプルな形式です。
それ以外は、都度チャットやオンラインミーティングで、カジュアルにやりとりしています。
【Q7】ガバナンス関連の仕事は堅苦しいイメージがありますが、実際はどうですか?
一方的に専門用語ばかりで厳しいのルールをただ押し付けても、理解しがたく、形骸化してしまいます。ですので、安全性を確保しつつも、効率を落とさないように、理解しやすく伝えるには、というのを常に考えながら業務をしています。
【Q8】情報セキュリティ関連のガバナンス業務だと金融業界の方は難易度が高いように思えますが、実際はいかがでしょうか?
確かに金融業界などは、業界ならではの厳しい規制が設けられており、その規制に従って会社のセキュリティルールを構築し、遵守していく必要があります。
しかしながら、どのような業界にも各業界に応じた規制があり、対応すべく関連する法規制を熟知し、社内のルールを構築していくというのは変わりありません。
グリーでも、エンターテイメントを含むインターネットサービス関連の法規制の改定や新サービスのリリース、新会社の設立がある度、対応をしています。また、技術の進歩が大きい業界なので、スピードをもってキャッチアップする必要があり、金融業界に比べて難易度が低いということは決してないと思います。
【Q9】グリーの情報セキュリティガバナンス業務ならではのよいところはありますか?
グリーの情報セキュリティガバナンス業務ならではの良い点としては、世間一般的にこれをやっているからというのではなく、目的をもって、本当に必要なことを考えて取り組むことができることです。
前述の金融業界に比べると経営陣や部長レベルが若くかつ多様な業界からの中途入社が多いこともあり、頭が柔らかい人が多いのではと感じています。実際に、過去事例や他社事例が少ないという理由だけで拒否されることはなく、目的や効果が確立されていれば新たな企画や提案が通ることが多いです。例えば、「情報セキュリティ報告書」の発行やガイドラインベースの評価は、当時エンターテイメント業界で取り組んでいる企業はほぼありませんでしたが、意義に共感を得て挑戦することができました。
ルールの整備についても、安全であることはもちろん大切ですが、事業上意味がなく、ただ現場の手間になるものにしないことを意識しています。よくありがちなガバナンスと技術が離れていて連携しにくい部署ではなく、開発本部に所属していることからエンジニアとも連携しやすく、現場とのやり取りも頻繁に行われるので、ルールが実態と乖離するような状況を避けられています。
【Q10】セキュリティ企画チームが所属する、セキュリティ部の雰囲気はどうですか?
2022年5月現在、セキュリティ部は、20代~40代で構成されています。
年齢や役職の上下関係なく、穏やかな性格の人ばかりで気軽に相談しやすい雰囲気です。
メンバーは専門分野に熱心に取り組みながらも穏やかな人柄で、部の雰囲気はよいです。協業、切磋琢磨しながら互いに成長できる環境です。
また、エンジニアと非エンジニアが混合し、他部門の兼務者もいる部門で、日ごろから情報共有や相談を頻繁にするので、情報が偏らずバランスがよい職場です。
【Q11】キャリアとしてはどうですか?
セキュリティはどの業界でも重要な分野であり、業界ごとに特殊性はあっても、根本的な考え方は共通しています。
専門知識以外にも、論理的思考力、問題解決力、文章作成力、コミュニケーション能力など、どの分野の業務にも必要な能力が鍛えられますので、キャリアとしても魅力があると思います。
【Q12】リモートワークは可能ですか?
グリーはもともとチャットで業務のやり取りをする文化で、オンラインミーティングも抵抗なく行われています。ですので、リモートワークでも業務が問題なく進められる環境が整っているといえます。会社の方針が今後変わることがあるかもしれませんが、現在は、セキュリティ部も、リモートワークでも成果が出るのであれば、各自のペースに任されており、オフラインで話した方がよい場合にオフィスに出社しています。2021年のオフィス出社の実績は、企画チームだと月に1〜4回でした。
【Q13】どんな方が向いていると思いますか?
論理的な思考力をもちつつ状況や背景を汲み取り臨機応変に対応できる方、文章にまとめたり伝えたりするのが好きな方、気負いすぎず人に聞いたりやってみる度胸のある方が向いています。また、楽しく業務をするには、企画業務の意義を理解し、やりがいやキャリアとしての魅力を感じられる方がよいと思います。