私が所属する金融セキュリティコンサルティング部では、主に銀行や保険会社など金融機関に対して常駐型支援やリスクアセスメントなど、セキュリティコンサルティングサービスを提供しています。部内はふたつのグループに分かれており、私は金融イノベーショングループで、「セキュリティ総合支援」「システムリスクアセスメント」「サイバーセキュリティ対策強化の実行支援」の3つのプロジェクトを担当しています。
まず、セキュリティ総合支援では、損害保険会社のシステム会社に常駐してセキュリティ関連の施策検討を支援しています。常駐といっても、リモートでの対応も可能で、チャットやメールを通じて寄せられるセキュリティ課題に対する問い合わせに対応しています。
お客様からの相談内容はさまざまです。診断で検出された脆弱性から想定される攻撃シナリオや影響度の調査、セキュリティ製品の比較検討などの問い合わせを受けることがあります。直近では、より安全な開発プロセスを確立するために、開発に着手する前の、上流工程でセキュリティチェックを行う体制を整備したいという相談がありました。アプリケーションの設計評価や実装に関する相談を受けたときは、その分野を専門とする部署と連携してお客様の悩みの解決に努めています。
システムリスクアセスメントでは、グローバルに拠点を持つ企業においてグループ共通で適用されるセキュリティスタンダードにもとづき、グループ各社が所有する重要システムのセキュリティリスクを評価します。お客様に対してシステムの設定値や運用状況についてヒアリングを行い、ヒアリングによって明らかになったセキュリティリスクをまとめ、フィードバックします。
サイバーセキュリティ対策強化の実行支援では、金融機関のサイバーセキュリティ対策強化に関する中期計画を具体化するための活動を支援しています。現在は、金融業務に特化したセキュリティ評価の国際的なフレームワークのご紹介や他のフレームワークとの比較、今後の評価計画に向けた提案に向けて準備をしています。
これら3つのプロジェクトは5~8人くらいのメンバーで組成されていて、チームで業務を進めていきます。それぞれが得意とする分野も異なるので、コミュニケーションをとりながらチームで課題を解決していきます。
お客様とコミュニケーションをとるときは、各社で使用される用語を意識して説明を行うなど、相手にとって1番わかりやすい表現になるよう心がけています。
2022年にNRIセキュアに転職する以前、私は銀行に勤務していました。入行後、営業店に配属されて渉外担当として銀行の融資業務を経験した後、本部のマーケティンググループに異動し、デジタルチャネルの企画やデータ分析を任されました。
当時仕事をする中で、事業部門であっても企画段階からセキュリティについて検討する必要があるということに気づかされました。しかし、当時はセキュリティの知識がほとんどないことに課題を感じていました。そんな時に、会社から情報セキュリティ大学院大学に派遣される機会があり、1年かけてサイバーセキュリティを学ぶことができました。
情報セキュリティ大学院大学では、セキュリティにおけるマネジメントや法制の基礎が学べたほか、専門的な技術演習や、セキュリティ問題の調査に関する輪講があったりと、とても充実した1年でした。
銀行に戻った後は、経営企画部 IT企画グループへ。進行中だったOAシステム基盤の更改プロジェクトに参画することになりました。当時その銀行のシステム環境は、日頃業務で使用するOA端末がインターネットから隔離された、いわば「物理分離」の状態にありました。これを、より生産的な働き方ができるよう「論理分離」へ移行させるためのプロジェクトが進んでいました。
この変更により、インターネットがより身近になった一方で、サイバーセキュリティのリスクをより深刻に捉える必要が生じます。そこで、私はサイバーセキュリティ戦略企画の担当として、外部のセキュリティコンサルタントの協力を得て、銀行に最適なセキュリティ体制を構築するための中長期的なロードマップを作成する業務を担当しました。
プロジェクトにおいて私が担った役割は、銀行が置かれている状況や課題を踏まえ、セキュリティコンサルタントの提言をサイバーセキュリティ関連業務の要件定義書に落とし込むことでした。セキュリティロードマップの策定は無事に完了しましたが、自分が大学院で学んできたことをクライアントの立場で実現するのは容易ではないことに気づきました。
私は、「この会社をもっとよくしていきたい」という気持ちでサイバーセキュリティを学びました。しかし、こうあるべきだという信念を持っていたとしても、その想いを銀行の中にいながら実現しようとするのは、現実的ではないということに気づいたのです。
であれば、クライアントの立場を経験した自分が銀行の外に出て、会社を変えることのできるセキュリティコンサルタントになることが最善の道だと考え、転職を決意しました。
NRIセキュアへの入社前、クライアントの立場を経験したからこそできる提案があると考えていました。また、たとえセキュリティ業務の経験が浅かったとしても、持ち前のバイタリティで乗り切ってみせるという想いを持っていました。
入社してみると、セキュリティコンサルタントが対応すべきセキュリティ領域は広く、膨大な知識が必要でした。一時は途方に暮れましたが、目の前の仕事や課題にひたむきに取り組み、わからないことを調べたり、周りの方々に尋ねたりして解決しながら、少しずつ仕事に慣れていきました。NRIセキュアのメンバーは1聞くと10返してくれるような親切で協力的な方々ばかり。苦労はしたものの、課題を解決できずに停滞するような場面は一度もありませんでした。
とくに印象に残っているのは、半年間ほど私がシステムリスクアセスメントの代理リーダーの役割を担うことになった時のことです。当時は自分の仕事だけで手一杯になりがちで、ほかのメンバーのマネジメントをこなすのは非常にチャレンジングでした。
リーダーは、メンバーそれぞれの仕事の進捗状況を把握しながらタスクを割り当て、プロジェクトを自発的に進行させていかなくてはなりません。メンバーの時間を無駄にしないために、毎日実施している内部定例会議の前に進行中のタスクを整理したり、各メンバーが担当しているアセスメントの状況を管理したり。これらの地道な取り組みが功を奏し、その年は例年に比べて多くのアセスメントを実施することができました。
現在は正規のリーダーが復帰していますが、代理リーダーを務めたことでリーダーが抱える悩みについての理解が深まりました。以前に比べて自発的にリーダーをサポートできるようになったと感じています。
NRIセキュアには、メンバーが抱える課題を自分ごととして捉え、一緒になって解決策を考えてくれる方々がたくさんいます。そんな人材を育む組織風土があることが、この会社の大きな魅力です。
また、セキュリティ業界で働く以上は、新しい技術をキャッチアップし続けなければなりません。高い成長意欲がある方にとって、とても挑戦しがいのある環境だと思います。自分の意見や考えが大きな組織の意思決定に影響を及ぼし、結果として社会にインパクトを与えられることも、NRIセキュアで働くやりがいのひとつだと感じています。
今後は、銀行向けのセキュリティコンサルティングに力を入れていきたいと考えています。銀行業界もセキュリティ対策に関する課題を抱えているはずです。前職の経験とNRIセキュアで培ったスキルを掛け合わせ、自分ならではの価値を提供していきたいと思っています。
お客様の中には、セキュリティに詳しい方もいれば、そうでない方もいます。お客様一人ひとりの状況に合わせて、セキュリティの重要性をわかりやすく伝えられる能力が、セキュリティコンサルタントには不可欠です。私もそういった能力を持つ方たちと共に、NRIセキュアで長く活躍したいと考えています。
入社時、上司と面談をした際、「NRIセキュアは金融機関のバックグラウンドを持つ社員はまだ多くはいません。だからこそ、米山さんのキャリアを強みにしてNRIセキュアに新しい風を吹き込んでほしい」という言葉をもらったことが、とても印象に残っています。
目まぐるしく変化するセキュリティ業界では、経験以上に新たな課題に立ち向かい続けるマインドの方が大切だと思っています。日々の変化を楽しみながら、自身も成長し続け、セキュリティの新たな地平を切り拓いていく。そんな気持ちを持つ方にはNRIセキュアの環境は最適だと思っています。ぜひ、一緒に働いてみませんか?
※記載内容は2024年2月時点のものです