SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

Security Online Day 2023 秋の陣 レポート

“セキュリティ原理主義”に陥らない文化醸成法とは 「教科書のない」人材育成に挑むメルカリとfreee

両社のCISOが“企業一丸”で取り組むセキュリティの全貌を明かす

 セキュリティ人材の不足があらゆるところで指摘されている。どのように人材を獲得または育成できるのか。そのためには、どのような文化をどう醸成していくべきか。セキュリティカンファレンス「Security Online Day 2023 秋の陣」では、freeeのCISOである茂岩祐樹氏と、メルカリで執行役員 CISOを務める市原尚久氏が、セキュリティ人材を軸にディスカッションした。なお、司会はEnterpriseZine編集長 岡本が務めた。

外部環境にあわせて「セキュリティ人材像」もアップデート

岡本拓也(以下、岡本):ここでは「メルカリ×freee CISOが探る、セキュリティ人材育成・文化醸成への道筋」と題して、議論していければと思います。まずは自己紹介をお願いします。

茂岩祐樹氏(以下、茂岩):2022年4月にfreeeに入社しました。CISOに就任してから1年半しか経っておらず勉強中の日々です。freeeは「スモールビジネスを、世界の主役に。」をミッションに掲げ、会計を中心としたSaaSを提供している企業です。会計以外にも人事、労務など、企業のバックオフィスをサポートするSaaSサービスを展開しています。セキュリティだけではなく広くエンジニアも募集しております。

市原尚久氏(以下、市原):茂岩さんと近いタイミングで、2022年5月からメルカリのCISOを務めております。現在はセキュリティとプライバシーの全体をとりまとめております。セキュリティ部門にはグローバルなメンバーが揃っており、半分ほどが海外の社員です。

岡本:最初のテーマは「セキュリティ人材とは」です。経済産業省の資料[1]によると、セキュリティ人材と一口に言ってもかなり広範で、求められる役割やスキルも異なります。どのように定義して、どのような人材を求めていくべきなのか。お二人はセキュリティ人材をどのように捉えていますか。

出典:『サイバーセキュリティ経営ガイドラインVer2.0
付録Fサイバーセキュリティ体制構築・人材確保の手引き 第2版』※1より、28ページ
[画像クリックで拡大]

茂岩:上記にあるような整理の仕方も1つだと思いますが、セキュリティ対策に着手する際には少人数でスタートする企業が大多数です。つまり、(分野毎に担当者をつけるのではなく)最初は“なんでも屋”なのです。私がDeNAでセキュリティに取り組みはじめたときは、大ざっぱに文系と理系に分け、セキュリティ課題の中から大きく影響を及ぼしそうなものから取り組んでいました。

市原:企業ごとにケイパビリティも違いますし、立ち上げ時は「最優先課題に限られたリソースでどう取り組むか」を考えなければならず、まずは地盤固めから始めます。少し成熟するとプロダクトやサービス、企業ミッションなど、経営層として何を大事にするのかも視野に入ってきますよね。もちろん、企業として成長したときには、こうした資料が参考になると思いますが、決して鵜呑みにするのではなく、いったん咀嚼し、自社の組織体系と照らし合わせながら戦略的に見極めていくことが大事です。

 また、セキュリティ人材の定義も5年前、10年前から変化していると思います。クラウド然り、あらゆる開発環境そのものが大きく変化しています。この定義自体もダイナミック(動的)なものだと意識しなくてはなりません。どんどん変化していく世界や開発環境、技術にフィットしていく人材像を考えてアップデートしていく必要があります。

茂岩:私がセキュリティに取り組みはじめた2010年当時、前職ではモバイルゲームビジネスが大きくなり、海外展開を検討するタイミングでした。日本よりもサイバー攻撃が激しい環境下、どれだけスピーディーに事業展開させながらもセキュリティを担保できるかということにフォーカスしました。その後、プライバシー関連の法制度が世界的に整備されはじめると、海外のプライバシー法制度やドキュメントに対応する必要がでてくるなど、今までとまったく異なるスキルセットが必要になりました。ビジネスの環境変化や、自社がどこに軸足を置くかにあわせて「どのような人材が必要なのか」と、環境をつぶさに見ながら体制を変化させていくことが大切です。

freee CISO 茂岩祐樹氏

市原:外部環境の変化はここ数年でとても大事な要素です。個人情報保護法の改正はもちろん、EUのGDPR(EU一般データ保護規則)、カリフォルニア州のCCPA(カリフォルニア州消費者プライバシー法)などにも関心を向けなければいけません。また、法律以外にも、世論の動向も注視すべきです。たとえば、直近では経済安全保障推進法が成立しており、どこまでの対応が求められるのかは具体的に見えず、事業者に判断を委ねられている部分も多いです[2]

 前職のLINEでは、法制度のようなハード面での要件よりも、ソフト面である“世論”に上手くフィットできず、色々な指摘を受けてきました。今は、世の中の温度感も考慮しなくてはいけない時代だと実感しています。

茂岩:非常に共感しますね。セキュリティを考えるときには、必ず「技術」「法律」「倫理」を3本柱としてバランスがとれているかを常に気にしています。

[1] 『サイバーセキュリティ経営ガイドラインVer2.0 付録Fサイバーセキュリティ体制構築・人材確保の手引き 第2版』(2022年6月15日、経済産業省)

[2] 2023年10月4日に金融庁から『特定社会基盤事業者の指定基準に該当すると見込まれる者の公表』がされるなど、一部省庁から対応する動きも見受けられる(執筆時点)

次のページ
セキュリティ人材をどう育て、どう集めるか?

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
Security Online Day 2023 秋の陣 レポート連載記事一覧

もっと読む

この記事の著者

加山 恵美(カヤマ エミ)

EnterpriseZine/Security Online キュレーターフリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Online の取材・記事も担当しています。Webサイト:https://emiekayama.net

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/18702 2023/11/21 08:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング