こんにちは!heyの田中です。
heyのセキュリティ本部でシニアマネージャーを務める吉岡宏樹(よしおか・ひろき)さん。
今回はセキュリティ本部のお仕事や、目指していることなどを聞きました。聞き手はモバイル本部のシニアマネージャーの、坂田晃一さんです。
Wantedlyでヘイのことをフォローいただいている方にも届けたいので、hey noteからの転載というかたちで以下に記載します。
文学部出身、
ちょっと変わったセキュリティに至るまでのキャリア
──まずは現在の仕事に至るまでのキャリアを教えてください。もともとセキュリティに関わるお仕事を?
現在はセキュリティを仕事にしたい人のための学部も増えてきているのですが、私は少し特殊で文学部出身で、もともとセキュリティに興味がありませんでした。リスクマネジメントの仕事を経験する中で、セキュリティに興味を持つようになったのです。
具体的なキャリアは、新卒で独立系のSIerに就職してお客さんのところに常駐しメインフレームのシステムを作っていたのが始まりです。その後プロジェクト管理をするようになり、プロジェクトのリスク管理に興味を持ったことから監査法人系のコンサル会社へ転職しました。その後、事業会社で通用するのか試してみたくなり決済サービスを提供する会社へ。そこで改めてリスクマネジメントやセキュリティの面白さを実感したのですが、会社が大きくなり調整コストが高くなってきたことが悩みでした。そこで、体制や環境を作るところから挑戦できそうなheyにたどり着いたというわけです。
──面白いキャリアですね。heyには、そういう体制づくりから関われそうな期待値があったんですね。
はい。事業内容も面白そうだと思いましたし、heyなら環境づくりから携われるかな、と思いました。入社前の面談で経営陣と話をした時、よくリスク管理を理解されていることが伝わってきたことも入社したくなった理由のひとつです。
──現在はセキュリティ本部で働かれているわけですが、heyのセキュリティはどんな変遷を辿っているのでしょうか?
私の前のマネージャーは矢部さん(矢部剛嗣さんのこと)です。heyがまだできる前の、STORES.jp時代からセキュリティをちゃんとやっていかないと今後大変になるという課題感をもっていて、そのための部署を作られたのが始まりだと聞いています。私はそこに入って、これからIPOするにあたりもっと見る範囲を拡大していこうというところです。すごいなと思うのは、STORES.jp時代からセキュリティに取り組む意識をお持ちだったこと。EC業界はレギュレーションがまだ未成熟な業界なので、セキュリティに注力するかどうかは会社によってまちまちなんです。そんな中、すでにその大切さに目を向けていたのには驚きました。
──なるほど。現在はどのような仕事に取り組んでいるのでしょうか?
STORES プラットフォーム の脆弱性有無などを第三者目線でチェックすることで改良を推進し、より安全に利用してもらえるサービスにすることが主な業務です。加えて、社内向け業務システムの構築相談や、STORES プラットフォームのインフラであるAWSのセキュリティ設計や実装も行なっています。また、会社全体のセキュリティガバナンスやマネジメントシステムを作り、ルールを浸透させていくこともセキュリティ本部の重要な仕事です。さらに、私個人として災害やサイバー攻撃を受けた時などに備えるために事業継続計画(BCP)策定の取り纏めも行っています。これは前職で経験していたこともあり、自分から手を挙げて担当になりました。セキュリティ本部のミッションからは少し外れてしまうのですが、heyでどんな業務が行われていて、何が重要な業務なのかを会社横断で知ることができるので、積極的に取り組んでいます。
ルールを作って終わりではない、業務あってのセキュリティ。
──正しくセキュリティに力を入れられている状態って、難しいですよね。認証をもらうことがやはり大切なのでしょうか?
第三者に評価され認証をもらうことは大切ではありますが、それが目的になってはいけません。ルールを作って、「これでお願いします!」と社内に周知・教育するだけでも一定の効果は見込めますし、一定の評価は受けれますが、、それでも情報が漏洩するなどのインシデントが発生することはあります。本質的にセキュリティに力を入れると言うのは、単に認証をもらうことではないはずです。また、業務の妨げになってしまっては、セキュリティの意味がありません。例えば「リモートワークは禁止です」と言うのは簡単ですが、それでは業務が進まない。業務ありきでセキュリティを守る設計を考えながら、いいバランスを追及し続けているのがheyにおけるセキュリティに力を入れられている状態だと考えています。
──heyにおける、というお言葉が出ましたが、heyならではの課題や、手応えはありますか?
まず、いいところは社内の理解度が高いことです。一般的には、経営陣は理解度が高いけれど現場のメンバーはそうでないか、もしくはその反対であることが多いんです。みんなの理解度が低いこともあります。経営陣の理解度が低いと予算が出ないですし、現場の理解度が低いとルールを周知・運用できないので苦労するところなんですが、heyはこのどれでもなく、経営陣も現場のメンバーも理解度が高い。おかげでセキュリティマネジメントシステムを構築するのもやりやすさを感じました。さらに、これはちょっと聞こえが悪いかもしれませんが、heyは相談すれば誰かが必ず応えてくれるんです。リテールでは業務改善チームが力になってくれていますし、他の部署にも窓口になってくれる方がいる。要件を明確にしてお願いすれば、役割を担っている人が能動的に動いてくれることにかなり助けられています。
難易度の高さを感じるのは、heyにはレギュレーションが未成熟な業界向けのプロダクトがいくつも集まっているところです。前職は金融事業だったので、「このラインをクリアしないと事業ができない」というのが明確でした。heyでは、「うちの会社にとってのベター、ベストとは」を常に自分たちで考えなければならない。そのためにはより深く事業や業務内容を理解しなければならないので難しさを感じます。
セキュリティを「Why」「What」から考える
──ここまでセキュリティの話を聞かせていただきましたが、これらの仕事に吉岡さんはどのように向き合っているのでしょうか?何か気をつけていることはありますか?
僕はもともと、「How」にこだわりがなく、「Why」や「What」から考えるタイプなんです。「How」にこだわる人も多いと思いますが、目的が達成できればそのやり方はなんでもいいと思っています。共通認識として、なぜやるかをブレないようにしながら、ベストなものを作れるように気をつけています。
──「How」にこだわらないスタンスは、マネージャーとしてもちょうどいいのかもしれないですね。マネージャーになって変化はありましたか?
そうですね。情報のパイプラインが整って、もらえる情報が広がったのである程度先読みして動きやすくなったと思います。「会社が今後こういう流れでやっていくみたいだから動き方を考えよう」という風に、議論しやすくなったのが良いところでしょうか。働き方としては、いろいろなことに手をだしていたのを少しやめて、いったん考えるようになりました。
──なるほど。先日テクノロジー部門のバリュー「テックマニフェスト」も決まりましたね。お気に入りのものはありますか?
どれもいいですが、「イシューを問い直す」が自分に合っているなと思います。反射神経で動くのも大切ですが、定期的に常にその確からしさを問い続けなければならないな、と思わせてくれるバリューです。
セキュリティを空気にすること
──セキュリティ本部は一緒に働いてくれるメンバーを募集中ですが、どのような方が向いていると思いますか?
現在のheyは、ある程度環境が整っていて脆弱性診断などの特定業務だけやればいいという状態ではなく、自分で積極的に動いたり、コミュニケーションをとって人を動かしたりする必要があります。なので、「この業務しかできません」というのではなく、仕事を前に転がしながら様々な業務を進めることに挑戦したいと思える方が向いてるのではないでしょうか。もちろん、アプリケーションやインフラセキュリティに対してこのくらいの知見が欲しい、というラインはありますが、それだけあっても評論家になってしまいますから。手を動かして、コミュニケーションをとりながら仕事ができる人の方が活躍できると思います。
──そんな、これから入ってくれる方に伝えたい、これから目指すことはありますか?
私が目指しているのは「セキュリティを空気にすること」です。STORESプラットフォームを利用してくださっているお客様や社内の業務システムを使っている方、ひとりひとりが意識をしなくてもセキュリティが高く保たれている状態を作りたいと思っています。heyのサービスを利用してくださるお客様やheyではたらくみなさんが安心、安全に使えるシステムをつくるための基盤になるのが目標です。
吉岡さんのお気に入り:カレーうどん専門店 ZEYOカレーうどんがとにかくおいしい、おいしすぎる。さらにコストパフォーマンスが高い。そしてなにより、オーナーさんから、おいしいカレーうどんをお客様へ届けたいという気持ちが感じられました。
\セキュリティエンジニアへの応募はこちらから!/
(文:出川 光)
STORES 株式会社では一緒に働く仲間を募集しています