見出し画像

攻めと守りを強化してセキュリティからROXXを推進する。責任者に必要な意識とは。

ROXX noteをご覧の皆様、こんにちは! ROXXの加治佐です。

今回は、ROXXの事業運営における根幹を司るコーポレートITチームの三浦さんと松本さんに、対談インタビューを実施しました。

セキュリティ全般を管理・推進しているコーポレートITチームですが、この度松本さんから三浦さんへセキュリティ周りの権限が移譲されるということで、権限移譲における背景や今後の取り組みについてお話を伺いました。


─ 三浦さんの入社経緯

三浦:2023年6月にROXXに入社した三浦 史也(Fumiya Miura)と申します。10年間の社会人経験全てにおいて、情報セキュリティ領域の業務に従事してきました。

入社の経緯は、面談のオファーをいただいたのがきっかけです。
いただいたオファーに返信をして、松本さんをはじめとする事業責任者の方々と対談をして、人に惹かれて入社を決めたというのが経緯です。詳しくは先日公開した私のnoteを見ていただけたらと思います。

─ 権限移譲における背景や今後の期待

松本:私自身がセキュリティ部門を立ち上げたのが数年前の2019年頃でした。全くセキュリティについて知らない状態だったので、とりあえずISMS(Information Security Management System:情報セキュリティマネジメントシステム、以下「ISMS」)やPマーク(プライバシーマーク、以下「Pマーク」)などの認証まわりを取得したり、必要なセキュリティマネジメントのプロセスができる会社にしていきました。
ただ、それ以上のセキュリティ水準にしていかなくてはと思う一方で、自分だけでは限界があると思い、セキュリティに長けている方に入っていただく必要があると考えたのが、そもそもセキュリティ責任者の求人を始めた背景です。そこにドンピシャな三浦さんに入っていただけました。

三浦:ありがとうございます。

松本:三浦さんへ期待しているのは、とりあえずの”当たり前水準”に持っていくというところだけではなく、それ以上の水準に持っていっていただきたいというところです。こういう話を入社前の対談でお話ししましたね。

三浦:そのようなお話しをしていた記憶がかすかにありますが、当時はLLM(Large Language Models:大規模言語モデル、以下「LLM」)が松本さんの中で盛り上がりを見せていて、それを楽しそうに話していた印象が一番強いですね。笑

松本:そうですね。笑
その時僕は一番LMMに盛り上がっていたので。はい。笑

三浦:そこが楽しそうで、CTOっぽい楽しそうな人だなと思ってました。

松本:ありがとうございます。

三浦:求人をみているとどういう人材を欲しているのかというのが見えてきますし、面談前にROXXで公開されているnoteを全部見て、メンバーの方がどういう考えを持った人なのか、その人がどんな本を読んでいるのかなどを拝見して、「あ〜こういう本が好きなんだなぁ」などを知った上でお話をしていたので、私的には非常にスムーズでしたね。
ただ、責任者という肩書きについては、ドンピシャと言っていただけましたけど、私がドンピシャなのかというのは個人的に葛藤があります。

松本:なるほど、そうなんですね。そこはもうちょっと聞きたいです。

三浦:私はこれまで診断とかインシデントに対しての責任は負ったことがあるんですが、経営レベルの責任は負ったことがないんです。
なので、他に私よりもビジネスに対する責任を負った経験が多い方が適任なんじゃないかと思ったりはしたんですけど...

松本:うんうんうん。

三浦:その中でもドンピシャと言っていただけて、他の方からもご納得していただけたので、いいのかな?という戸惑いはありつつも、率直に嬉しいなと思っています。
確か入社の際、2枚の資料を松本さんにお送りしたと思うんです。私ができないことを書いていたんですけど、自分の能力に関してはできるだけ曝け出して話をするようにしていた気がしますね。

松本:まさしくそこかなと思っていて。
経営的な観点に関しては他のメンバー間でも、三浦さんと一緒に目線合わせする中で後々補完できるんじゃないかなと思っていました。
今回のポジションにおいて、経営目線でセキュリティを見て欲しいというよりは、それ以上にそもそものペルソナにおいて『セキュリティに関しては任せて大丈夫だよ』というか、『ここをこういうふうに守るべきだ』という信念を持った方を掲げていました。

松本:先ほど三浦さんのお話にもあった通り、2枚ほど資料を出していただいて、こういうところができる、できないというのを書いていただいて。客観的にご自身のことを見られている中で、ご自身の強みを冷静にお伝えいただけたので、安心感を持って内定を出させていただけたなと思っています。
なかなか会ってお話を聞くだけだと、どうしても定性的な部分の話になってしまって、確かにこの人なんかすごそう!と思うんだけど、じゃあ何が苦手なんだっけ?というのがわからない。そんな中で、すごく素直に、そして透明性高く面接に望んでいただいたので、この方は信頼できるなと思いました。

三浦:入社後のROXXは、私が想定していたよりも既にセキュリティに労力とお金をかけていただいていた状態でした。小さい会社で想定しうるのが、そもそもISMSやPマークなどが取得できていない状態なんですが、そういうセキュリティにおける当たり前の基準がすでに取得されている状態だったんですね。それに、EDR(Endpoint Detection and Response)という、端末にウイルスを検知したらすぐにネットワークを隔離するなどの対処をする製品が入っているというのもありがたかったです。

他にもネットワーク監視などにお金をかけてもらっているというのは大変嬉しくて。この点に関しては上場企業でもできてないレベルに達している部分があって、素直にめちゃくちゃすごいなと思いました。とても良い状態で引き継がせていただいたなと思います。

松本:そうですね。会社のフェーズも大きくなってきて、より一層やらなきゃねという認識は代表の中嶋含めてありましたし、他のメンバーとも基本的にやるよねという会話はしている状態でした。会社としての意思決定としても強化したいと思っていたので、非常に良いタイミングで三浦さんにジョインしていただけました。

三浦:正直なところ、HRという業界やback checkというサービス自体がかなり難しいということもあり、あえて難易度の高い事業を営んでいる会社に入ったのかなと自分では思っています。笑
それでもROXXに入社しているのは、”ROXXがいい”と思ったからなので、そこは乗り切りたいという思いを持っています。

最近、娘が小学一年生になって、一人で学校に行くようになって、どうしたら娘が最も安全に登下校できるのか脳みそをふり絞って必死に考えるんです。極論、私が毎日送り迎えをすると一番事故にあう確率が下がると思うんですが、同時に最適解ではないとも思います。娘が大人になった時、危険に気づく力が身についていないからです。
どういった手段で娘を登下校させるのが最も良いか考えていくプロセスが、ROXXのセキュリティを守るプロセスと同じだと思うんですよね。多少の怪我をしたとしても、自力で歩んでいけるようにするにはどうすればいいのか。
守る対象を本気で好きになって、その対象を全力で知ることが大切だと思いますし、このプロセスと思いがセキュリティの責任を取る上で欠かせないと思います。

─ 権限移譲の際に意識したこと

松本:前提として権限を二人が同時に持つのはやりづらいと思っているので、今後、三浦さんがどういうふうにやっていきたいのかという方針を見せていただいた上で、基本的に三浦さんにお任せしてやっていただきました。
三浦さんご自身が等身大でお話しいただけるというのも含め、この方にお任せすると良いなと思いましたし、今でもその意思決定は間違っていると思っていないので、権限移譲に関する不安要素は一切ありませんでした。

先ほど三浦さんの話の中で、面接の際にLMMやって楽しそうにしてたという話もありましたけど、やっぱり攻めと守りというのは頭にかけるリソースが真逆で、非常に両立するのが難しいなと感じています。バランスが取れると非常にいいんですが、得てして無難になってしまうところがある。棲み分けしたいなと思った上でいただいたご縁でした。

三浦:私の視点から見ていると、松本さんがISMSやPMS(Personal Information Protection Management Systems:個人情報保護マネジメントシステム、以下「PMS」)の監査などに時間をかけるべきではない人にしか見えていなくて、攻めの部分に時間をかけてもらった方が絶対ROXXのためになるなと思っていたので、そこは早く移譲してくださいくらいの勢いでした。入社1ヶ月経たないうちにお伝えしたかなと思います。

松本:そうですね、共通認識でした。組織図的な観点で言っても、会社の意思決定として『攻めの部署』と『守りの部署』が上級執行役員レベルで別になったんですよね。僕が攻めの部署で三浦さんが守りの部署という感じなので、そもそもレポートラインから別になったという感じですね。

─ セキュリティ責任者として考えるROXXの現状と今後の課題

松本:三浦さんは、見えてきた具体的な課題感とかミッションを成し遂げるために見えてきた壁みたいなのありますか?

三浦:ミッションというところからお話しすると『ROXXに関係する全ての人に安心安全をお届けすること』だと思っています。ただ、安全安心というと定性要素が強すぎてあまり信用感がない言葉にも聞こえるので、文言は今後変更するかもしれません。

その中で、今はミッションを提供するための体制が整ってない状態かなと思っています。
今私がしているのは、PDCAのサイクルだと「C(Check:評価)」の部分です。CISOの教科書的立ち位置の本を見ていると、いきなりP(Plan:計画)をするのではなく、まずCの現状把握をしてから、PDCAのサイクルを回すべきと書かれていました。今はそのプロセスを実践しています。

松本:ROXXって、組織も扱っている事業も結構複雑なので、そもそも把握しにくいというか「C」をやるにしても単純じゃないなと思うんです。その中で「C」をやる上での課題感とか、そもそも誰も把握できていないというのも往々にしてあると思うんですけど、そこの課題感ってどうですか?

三浦:そこはまさにおっしゃる通りです。誰も現状を知らないという状態は良くありますし、設計書や構成図が行方不明ということも往々にしてあります。そういった場合には、そういうもんだよねって前向きにやっていくしかないですし、最悪自分で調べて現状の整理をおこなうマインドが必要だと思います。笑

松本:うんうん。現状に対して、ネガティブにならずに積極的な姿勢を持ってやっていただけるのは、すごくありがたいです。

─ 現在の組織構成や役割分担

三浦:セキュリティ担当として私がROXXに入社したものの、所属がコーポレートITという組織の中で、コーポレートITの中にセキュリティとその他色々な役割が入っているので、これから整理していきたいと思っています。今は色々カオスな状況だとは思っているんですけど、組織構成においては、あまりピラミッド的なチームはイメージしていません。個人的に、マネージャーがいてメンバーがいるというピラミッド型のチームが好きではなくて。

私がイメージしているのは、四角の枠があるとすると、事業責任者が枠で、メンバーは中にある丸くらいのイメージです。訪問してもらう人、開発してもらう人がそれぞれ個々で活躍して、それ以外の領域...予算だったり、メンバーのモチベーション維持だったりがマネージャーの役割、責任者の役割なのかなって。

メンバーがマネジメント得意だったら任せるし、自分が手を動かしてもいいし、特にレイヤーで業務内容を分けるなどは考えていなくて、他のメンバーができないところを自分がやるというイメージで考えています。

松本:コーポレートITっていう名前が今後変わったりとかはしないんですか?笑

三浦:そうですね。ららさんからコーポレートITという名前を変えないで!というオーダーが来ていて、そこはどこまで応えるかはアレなんですけど、今の所残そうかなと思っています。

松本:まぁ大変ですからね。各書類に書いてあるから。笑

三浦:そうですね。笑

松本:経営として今見てる目線感はありますか?

三浦:現状、コーポレートITのメンバーを見る責任やセキュリティの細かい業務における実行責任や説明責任を果たせる状態かなとは思っている一方で、経営や会社に対してどうコミットしていくのかという経営的視点に関しては、自分としてはまだ力不足かなと思っています。

例えば、インシデントが起こった時、対応が遅れている部分を私が厳しく言い切れなかったりする時は、山田さんからも「もう少し厳しく」と言われていて、そういう点で「三浦の基準がROXXの基準になる」ので、そこはもっと意識しないといけないと感じています。まだその意識が私に欠けていて今後強めていかなければいけない責任者としての役目かなと思っています。

松本:メンバーにどこまでどう伝えるべきか悩むという理解で正しいですか?

三浦:そうですね。私の性格的なところで、ズバッと言い切れないところがあると思っていて、進捗が遅れている人に対しては、よっぽどリスクがない限りは言わないというところがありました。
とはいえ、遅延を許容する文化を作り出してしまうと、組織全体の水準が落ちてしまいます。そのため、そこはビシッと言えるようにしていきたいと思います。

松本:うーん。でも個人的には僕たちの部署の特性上、すごくバランスが難しいなと思っています。
三浦:そう...ですね。セキュリティ領域においては、ビジネスよりもセキュリティを優先してもらうようにお願いすることがあるので、社員の思いをバッサリと切り捨ててしまうことがあると思います。あとはコーポレートIT領域においても思うんですが、あるSaaSを切り替える場合も、貸与PCを選定する場合も、切り替え元のSaaSが好きだった人や選定されなかったPCを好きだった人の思いをバッサリと切り捨てる感じじゃないですか。そこをどう皆さんに満足してもらえるところに落ち着かせるかは、この業務の難しさだなと思っています。

─ 今後のセキュリティへの取り組み

三浦:私が入社する前の見え方は、セキュリティの審査業務以外にも、CTOとしてちゃんと社外にアウトプットをしているように見えていました。ISMSをとることになったとか、CIA(「機密性」(Confidentiality)、「完全性」(Integrity)、「可用性」(Availability)の頭文字を取った言葉、情報セキュリティ3要素、以下「CIA」)やセキュリティのことをまとめている記事も出ていたので。

ただ、セキュリティにおける審査ばかりしていると退屈になりがちなので、メンバーが常に楽しく働けるような環境は用意したいなと思っていて、そのために私が大事だと思っている要素が3つあります。

1つ目はメンバーが働きやすいチーム構成にするということ、2つ目がチームでセキュリティーをきちんと担当できるということ、3つ目は世の中のベストプラクティスや技術を学ぶということです。

今だとコーポレートITなどは業務に忙殺されていてあまり外向きに頭の思考を使う時間がないかなと思っているんですが、それでは組織としては強くなっていかないと思っているので、世の中のベストプラクティスや技術を学ぶなど、業務の中に遊び時間を設けていきたいと思っています。

あとは、松本さんと入社当初会話していたんですが、セキュリティのソフトウェアやソリューションなど、きちんと使いこなした上でROXXのセキュリティ施策をアウトプットして対外的な安心感を作り続けていけたらと思っています。
セキュリティを強化する要素としてももちろんですが、ROXXって面白いことしてるなと思ってもらえるように、松本さんと協力して取り組んでいきたいなと思っています。

松本:まさしくアップサイドを作っていく中で、先進的にどんなことをやっているかをセキュリティ観点で語るのは非常に難しい。そんな中で三浦さんが入社当初からおっしゃっていただいていることが一貫しているので安心感もありますし、自分も外に向けて発信していった方がいいなと思っている最中、なかなか難しかった部分を今後やっていただけるというのは非常に心強いなと思います。

ー お二人が描くROXXの展望

三浦:ROXXはまだ200人規模というところで、なんでもベースから作れる状態かなと思っています。というのも上場している千人規模や一万人規模の会社でよくあるのが、情報資産がそもそもどこにあるのかが分からないということです。ROXXは今からでも情報資産は整理しやすいですし、機動性高く着実にセキュリティ施策を積み上げやすい状態かなとは思っています。
1年や2年、きちんと時間をかけることができたら、上場会社の当たり前基準はすぐに超えることができるんじゃないかなと考えていて、そういうところがROXXの展望としてはあるんじゃないかなと思っています。

松本:そうですね。攻めと守りというのが明確になっていく中で、より一層お互いに自分のポジションを基にした会話ができて議論が深まっていくのではないかと思っています。新しいことにチャレンジしていくには難しいことも出てくると思うんですが、そういう部分をセキュリティ観点で指摘していただきつつ、とはいえこういうふうに前に進みたいという多数の視点から議論して、守りも攻めもより強めていける会社になるんじゃないかなと思っています。


ー 三浦さん、松本さんありがとうございました!
今回の権限移譲において、セキュリティの活動領域が「攻め」と「守り」で棲み分けされることで、今後より一層プロダクトとして、また企業として強化していきますので、ぜひご期待ください!

ROXXでは一緒に働く仲間を募集しています!「まずは話を聞いてみたい」という方も大歓迎!お気軽に下記よりご連絡ください。お待ちしています!


ROXXでは時代の転換点を一緒に創ってくれる仲間をさまざまなポジションで募集中です。カジュアル面談スタートでもOK!皆様のご応募お待ちしております。