サイバーセキュリティの最前線で光る、細やかな心遣いの裏側

企業の機密情報を脅かすサイバー攻撃は、看過できない経営リスクです。しかし、セキュリティ対策を過度に優先すれば実務の手が止まり、業務の生産性が落ちる可能性があることから、現場では対応が後手に回りがちです。かといって、セキュリティ部門からの一方的な命令や指示により現場を動かそうとすれば、社内にいらぬ軋轢を生みかねません。また、対応コストについても考えていかねばなりません。

アルテリアグループのセキュリティ対策を牽引する中村季美子さんは、現場の状況をくんだ丁寧なコミュニケーションを繰り返すことによって、セキュリティを自分事として捉える文化を社内に根付かせてきました。

中村さんの温かな対応力は、どのようにして培われたのでしょうか。お話を伺うと、対話を重んじるアルテリアグループ技術部門の真摯な仕事ぶりが見えてきました。

一日のスケジュール

9：30　出社
出社テレワークを基本に、一般社団法人ICT-ISACのワーキンググループ活動がある日や終業後に部の飲み会がある日などは出社を選択。
出社の際は横浜サテライトオフィスが多めで、9：30くらいから始業します。
出社したら、まずやることはタスク確認、メールチェック。そして、脆弱性に関する情報の有無を確認するため、ニュースを一通りチェックします。

10：00　資料作成、調査などの作業
より優先順位が高い仕事が入ることもありますが、作業系のタスクを集中して終わらせます。セキュリティ施策の項目と各部署に求める対応をまとめた資料を作ったり、脆弱性情報を受けて当社の環境を調査したりします。

12：00　ランチ
コンビニで手早く済ませます。
横浜サテライトオフィスはビルのすぐ下の階にコンビニがあってとても便利。つい使ってしまいます…。

13：00　社内打ち合わせ
セキュリティ施策、他部署からのセキュリティ対策の相談などについて打ち合わせをします。
部内はテレワーク率が高くウェブ会議が多いのですが、チャットなどで随時コミュニケーションがとれることもあり、特に不便はありません。

14：00　各種対応
インシデントが発生した際は最優先で対応します。社内でのマルウェア感染、サービス機器に対する攻撃検知など、サイバーセキュリティ関連のインシデントがあれば、すみやかに状況を把握して対応を依頼するとともに、再発防止策を検討します。

16：00　社外打ち合わせ
セキュリティ対策の委託先との打ち合わせや、通信事業者が加盟するICT-ISACのワーキンググループ活動などに参加します。ニュースでは取り上げられない通信事業者ならではのリスクや課題、他社のリスク対応などを学べる貴重な機会です。

18：00　作業
資料作成の残りを済ませ、翌日以降のタスク確認などをして一日の仕事が終わります。
出社した日は横浜でおいしいもの巡りをしたり、横浜スタジアムに直行してベイスターズを応援したりと、立地をフル活用してプライベートを楽しんでいます。

情報システム本部で「ユーザーの気持ちに寄り添う」システムづくりを学ぶ

――前職ではウェブ系のシステム開発をなさっていたそうですが、なぜアルテリアを転職先に選んだのでしょうか？

前職では、文系出身でシステムエンジニアの素地がまったくないところから開発に携わり、少しずつできることが増えてやりがいを感じていました。ただ、受託開発だったので、エンドユーザーの声を聞くことができなくて…。
実際に使う方と密に対話をして、真に求められているものを作りたいという気持ちが膨らみ、自社サービスに関する各種システムを開発・構築しているアルテリア・ネットワークスに転職しました。転職後は、情報システム本部に配属となり、コンシューマー系サービスに関するシステム開発・保守・運用を一通り経験しています。
特に、お客様がお使いになるマイページなど、エンドユーザー向けのウェブアプリケーションを担当することが多かったですね。

――自社サービスに携わってみて、いかがでしたか？

受託開発では、決定済みの要件をどれだけ忠実に具現化できるかが問われますが、自社サービスではサービスの仕様と使用者のニーズのバランスをとって柔軟に設計に組み込んでいくことが求められます。これが自社サービスの面白さであり、難しさでもあると思います。
社内システムなら実際に使用する従業員、エンドユーザー向けのサービスなら顧客と接点がある担当者などにヒアリングをして、ユーザーの利便性とシステムの安定性の両立を目指しました。

特に、お客様が直接触れるサービスはミスが許されず、常に緊張感がありましたね。把握していない業務仕様が後から発見されて、ヒヤリとすることも多かったです。個人に裁量権を持たせながらも、トラブルにはチーム全員で対処して再発を防止する情報システム本部の風土にとても助けられました。
担当する業務に責任を持つことはもちろん大切ですが、一人で抱え込むと大きなミスにつながりかねません。がんばりすぎず、上手に仲間を頼ることを意識していました。

相手の状況や立場を尊重し、対策の意味を知ってもらうためのコミュニケーションに注力

――セキュリティ推進部への異動のきっかけは？

当時は会社の上場を控えて、セキュリティ対策をより強化する目的で部署の立ち上げが決まり、情報システム部門でシステムのリスクアセスメントを担当していた私にお声がけがありました。世の中的にセキュリティ意識が高まり始めた時期で、私自身も興味がある領域でしたから、新しいチャレンジをする良い機会だと思いましたね。

現在の業務の軸は、グループ全体のセキュリティリスクの洗い出しと、それを受けてのセキュリティ対策、啓発活動です。脆弱性診断をして各部署に対応を依頼したり、ログ分析で自社への攻撃情報を関知したりしながら、サイバーセキュリティ事案のインシデント対応、国内の通信事業者が集まるICT-ISACのワーキンググループ活動などを行っています。

――セキュリティに対する意識や知識は個人差が大きいと思いますが、対応依頼や啓発活動をするにあたり、どんなことに留意していますか？

一方的に指示をしても受け入れてもらえないことが多いので、積極的に対話の機会を持ち、対象部署のセキュリティ意識や価値観、知識の度合いを把握することから始めています。エンジニアとして、システムの仕様やユーザーニーズを知るためにヒアリングを繰り返していた頃と似ていますね。
相手を知ると、説明の仕方や説明する方法を最適化することができます。収集した情報をもとに、知識が豊富な人には専門用語を使って短時間で効率良く、あまり詳しくない人には平易な言葉で丁寧に説明するようにしています。

その甲斐あってか、最近では一人ひとりの意識が高まり、セキュリティを重視する文化が形成されつつあると感じるようになりました。些細なヒヤリハット事案も迷わず共有してくれる人が増えてきましたし、事業部門のほうから「こういう場合はどうしたらいいですか」と質問を受けることも多いんですよ。

現場の作業の手を止めて対応してもらうことも多いセキュリティ部門は、「面倒くさい仕事を増やす」と思われがちな部署です。だからこそ、セキュリティ対策の意味や価値を理解してもらう地道な活動がとても大事。「相談しておいて良かった」「インシデントを伝えて良かった」と言ってもらえた瞬間の喜びはひとしおです。

働き方の自由度が高まり、「仕事か、プライベートか」の二者択一ではなくなった

――プライベートと仕事はどのように両立していますか？

出社時は横浜サテライトオフィスを利用することが多いので、仕事帰りに横浜でおいしいものを食べたり買ったり…。寄り道をせずに帰ることはほぼないですね（笑）。プロ野球のシーズン中は、オフィスから横浜スタジアムに直行して横浜DeNAベイスターズの試合を観戦するのも楽しみの一つです。
横浜をフル活用して、仕事とプライベートを融和させていくのが、私なりの両立の仕方だといえるかもしれません。

――中村さんのように、ライフスタイルの中に仕事が溶け込んでいる状態は理想的な気がします。

周りの同僚たちも、育児中なのでスーパーフレックスを活用してフルタイム勤務したり、サテライトオフィスで通勤時間をカットして自分の時間にあてたりと、上手に両立していますよ。
元々、年齢や性別などのバックボーンが壁になる社風ではありませんでしたが、働き方の自由度を高める取り組みが盛んになったことで、すべての人に平等に門戸が開かれていると、より強く感じるようになりました。

――ありがとうございました。最後に、中村さんの今後の展望を聞かせてください。

セキュリティは知識の領域が非常に広く、まだまだ覚えること、やるべきことがたくさんあります。自社へのアクセスログを集めてセキュリティの視点で分析する取り組みをはじめ、部として道半ばの作業も多いので、一つひとつ着実にクリアしていきたいですね。

また、セキュリティと関連が深いネットワーク周りの知識も、これから少しずつ強化していきたいと思っています。これからも、サービスと現場の理解にもとづいて行動するという基本を大切に、自分の強みを増やす努力を続けていきます。