今回は、Visional CISO（Chief Information Security Officer）の若井大佑さんのインタビューをお届けします。

※若井さんのパーソナルヒストリーインタビューはこちら。

前半は、Visionalにおけるセキュリティの現在地、今後のために取り組んでいきたいことについて、そして後半は、若井さんが考える、在るべきセキュリティチームの姿について話を聞きました。

プロフィール

若井 大佑／Wakai Daisuke
1999年、銀行のシステム子会社に入社し、技術開発、インフラ業務に従事。2007年より、ソフトバンクBB株式会社（現：ソフトバンク株式会社）で情報セキュリティを中心としたソリューションの導入・運用やセキュリティオペレーションセンターの開設を担当。2015年、セキュリティ戦略部部長に就任。2017年、株式会社ビズリーチに入社し、2019年、CISO兼情報システム本部本部長に就任。2020年2月より、ビジョナル株式会社執行役員CISOを務める。

事業とセキュリティの「共存」を目指す。

──はじめに、Visionalにおけるセキュリティの現在地、そして若井さんの今のお考えについて聞かせてください。

Visionalのセキュリティチームは、グループが展開する事業・サービスの規模やフェーズ、業種ごとに、それぞれ異なる対応をしていく必要があり、セキュリティステージを分けて運用をしています。

まず、お客様の大切な個人情報を取り扱う「ビズリーチ」をはじめとしたHR Tech領域では、引き続き、情報の管理を徹底して実施していきます。

その一方で、「新しい可能性を、次々と。」というグループミッションにある通り、Visionalでは、HR Tech領域以外にも新しい事業が次々と生まれています。これらの新規事業に対しては、Visionalとして担保すべきセキュリティ基準を満たせるようにしつつも、厳しさだけを追求しないセキュリティ対策に取り組んでいます。

──「厳しさだけを追求しない」という考え方は、約1年前のパーソナルヒストリーインタビューで若井さんが話していた「事業部の仲間たちがやりたいことに全力で挑戦できる、安心・安全な環境」とも通じると思いました。

ホールディングカンパニーが新しい子会社を作り、新しい事業を立ち上げるというケースはよくあるかと思いますが、そういった際に、各社・各事業に対し、基本的にセキュリティ対策のルールを全て共通にしているという話を多く耳にします。

しかし、新しい会社や事業に大きい会社のルールを一方的に適用しようとしても、結果、矛盾や無理が生じてしまうのが実際のところです。私も、過去に共通のルールの中で、イレギュラーケースを認めながら運用していったという経験があります。

Visionalも、これから同じような課題をブレイクスルーしていかなければならないと考えています。次々と起こる新しい事態に対して、イレギュラーを考慮し柔軟に対応しつつ、一方で、確実に守るべきポイントを明確にすることで、Visionalとして担保すべきセキュリティを実現する。それが、Visionalのミッションの実現へ寄与するために、私たちセキュリティチームが大切にすべき考え方だと思っています。

──グループ内の各社や事業のフェーズに合わせたセキュリティを、イレギュラーも考慮しつつ、パラレルに実施することはとても複雑なように思います。実施にあたり意識していることはありますか？

各社ごとにルールを変えることはせず、優先実施事項や、セキュリティチームがチェックする項目の重要度を、それぞれの会社ごとに定めています。その際に、「なぜ」するべきかを明確にして伝えています。

一方的にルールを伝えることは簡単ですが、ルールを強制される側は負担を感じるはずです。その負担感から、「なぜ、このルールを守らなければいけないのか？ 」という本質を考えられず、イレギュラーケースの発生に遭遇した際に、戸惑い思考停止してしまう。そうした流れが事故につながることがあります。

一方で、その目的が理解されれば、「～という理由があるから●●するのだ」と腹落ちし、負担感が軽減されます。また、イレギュラーケースに遭遇しても、自ら考え、「ちょっと危ないな」「相談しよう」という思考を持ってもらえる。だからこそ私たちは、本質である「なぜ」を伝えることを重視しています。

──お話を聞いていて、そうしたセキュリティチームの考え方や姿勢が、事業とセキュリティの「共存」につながっていくのだと感じました。

セキュリティ部門は、いわゆるコスト部門で、直接的に事業の売上に貢献できないという現実があります。そうしたなか、私が考える「共存」とは、最終的に事業の売り上げに貢献できるようなセキュリティチームの姿です。

「Visionalの事業やサービスはセキュリティ対策がしっかりしている」「提供者一人一人のセキュリティ意識が高い」ということが、会社やサービスの信頼につながり、引いては、お客様がサービスを利用する意向につながっていくのではと考えています。

ルールを単に守るのではなく、セキュリティ対策も含めたサービス全体が、最終的に事業の売上につながるようにサポートしてしていく。それこそが、事業とセキュリティの「共存」のイメージであり、「価値あることを、正しくやろう」という意志と覚悟を持つVisionalのセキュリティチームの最終ゴールだと考えています。

──今後、Visionalのセキュリティ領域において取り組んでいきたいことについて教えてください。

セキュリティのルールを決めていくことはもちろん大事なのですが、現実的に、社員が覚えられるルールの数には限界があると思っています。

最低限必要なルールを確実に周知、啓蒙していく一方で、ルールを覚えなくても、仕組みやテクノロジーを活用することで自然とセキュリティが担保されるような環境をつくるという観点も大事だと考えています。これからは今以上に、仕組みやテクノロジーを活かす領域を広げていきたいですね。

技術の進化に合わせて、学び続け、変わり続ける。

──長く続くコロナ禍で世の中の価値観が大きくシフトしていくなか、VisionalのCISOとして、セキュリティ業界に提案していきたい「新しい当たり前」について教えてください。

従来のルールを守ることは大事です。その一方、次々と起こる技術革新によって、テクノロジーとの向き合い方が日々変わっていくなかで、旧来のやり方に固執していては時代に取り残されてしまいます。

セキュリティ担当としては、従来のルールを守りながら、新しい環境に合わせたルール作りの考え方や、新しい技術を活用するための知識を身に付けること、つまりセキュリティ担当者自身が、「変わり続けるために、学び続ける」姿勢を持つことが大切です。

本当に必要なもの、変えるべきもの、変えるべきではないものは何か、その見極めが今後ますます重要になってくると思います。

──それは、セキュリティ責任者にも言えることなのでしょうか？

はい。一般的に、セキュリティチームは、事業に近付くほど「決めたルールを守ってください」という活動を進めやすいです。そのため、事業部から相談が来ても「ルールなのでダメです」と断ってしまうケースもある。

でもそこで、「なぜそもそも相談にきたのか？」と考えるスタンスや、相手に寄り添って「何を求めているのか？」「どのように事業を変えていきたいのか？」を問い続ける姿勢が、セキュリティチームをリードする責任者にとって大切になると思います。

もちろん、それを考慮したうえでリスクがあると考えるなら、ルールに沿った判断は必要ですが、既存のセキュリティのルールに矛盾があるならば、どのように改善していくべきかを考えるべきです。

肝要なのは、事業づくりの目線に寄り添って考えられるかです。その視点を、セキュリティに携わる全ての者が持ち、チームの共通認識にしていく。それこそが、セキュリティ責任者の役割だと思っています。

──以前、若井さんは「セキュリティ領域は、各社のナレッジが社内に閉じがちで、最新の技術を活用した具体的な事例を学ぶ機会が少ない」と言っていました。そうした事情から、なかなか「これまでと違う方法を見出しづらい」というセキュリティ担当者・責任者も多いのでしょうか。

そういうこともあると思います。外部のカンファレンスや懇談会に行っても、事業会社のセキュリティ担当者同士で自社の事例やナレッジを共有してお互いに学び合える機会は、決して多くありません。

そうした観点からも、事業会社のナレッジや経験の共有にフォーカスする場をつくりたいと思い、「Visional Security Lounge」（Vol.1を9月2日開催済）を企画しました。事業会社のセキュリティ担当者の悩みは、セキュリティベンダーやセキュリティ専門会社の方々の悩みとポイントが異なることも多いと思います。だからこそ、「Visional Security Lounge」は、事業を運営する私たちが主催するからこその価値を提供していけるイベントにしていきたいと思っています。

──たしかに、今回の「Visional Security Lounge」では、100名未満から数千名と様々な規模の企業から、経営者、コーポレートITやセキュリティ部門の方のご参加があり、ニーズの高さを感じました。今後、若井さんは「Visional Security Lounge」をどのような場にしたいと思っていますか。

やはり、事業会社から発信するリアルな事情、ナレッジの共有の場でしょうか。本質的に課題に踏み込んでいくとしたら、当事者としてのリアルな意見・情報交換が必要です。

セキュリティ部門というのは、どうしても決めたルールを守りたがったり、ルールを「変えない」方向に流れやすい。しかし、これからの社会においては、技術の進化に合わせて、私たち自身が変わり続けていく必要があると思うのです。

「Visional Security Lounge」では、参加者の皆さんの業務を前に進めるためのナレッジを共有し、そして皆さんとともにセキュリティレベルを一歩上げていけるような場を作っていきたいですね。

また、Visionalでは、セキュリティ領域の事業も展開しています。脆弱性管理クラウド「yamory」は、情報漏洩リスクをゼロにすることで、企業のDXを加速させていくことをビジョンとして描いています。また、セキュリティ評価プラットフォーム「Assured」（β版）は、企業がIT・クラウドを利用する際に生じるセキュリティやガバナンスの不安を解消し、DXへの挑戦を支援するサービスです。

「Visional Security Lounge」登壇資料より

「Visional Security Lounge」では、Visionalで取り組んでいるセキュリティ対策だけでなく、セキュリティ領域の事業を展開する過程で私たちが得た気付きや学びも、企業の経営者、セキュリティ担当者の方々に共有していきたいと考えています。

──若井さん、ありがとうございました！

こちらこそ、ありがとうございました。

関連記事

この記事の執筆担当者

伊藤 友里／Ito Yuri
日本大学文理学部心理学科卒業後、株式会社ワコールに新卒入社。その後、JASDAQ上場の不動産会社へ転職し、IR広報担当を務める。リーマンショック時に、IT業界へ転職し、国内外に拠点を持つ事業会社で広報を担当。東日本大震災後、総合マーケティングコンサルティング会社にて、企業PR・ブランディングのコンサルタントを務め、2020年、株式会社ビズリーチへ入社。現在は、ビジョナル株式会社社長室グループコミュニケーショングループで、リスク・クライシスコミュニケーションを中心に、インターナルコミュニケーションなどグループのコミュニケーション活動を担当。

「VISIONAL ENGINEERING」Twitterアカウントは、こちら。

「ALL VISIONAL」Twitterアカウントは、こちら。