BUSINESS

情報セキュリティで大切なのは、人に寄り添うこと

佐滝の写真
佐滝 知彦(さたき ともひこ)
2018年入社 [中途]
CISO室 セキュリティ推進室 リスクアセスメント 情報セキュリティ責任者

現在担当している仕事について教えてください

統括本部情報セキュリティ責任者の一人として、管掌している部門に対し情報セキュリティの指示、指導、相談対応を行っています。ヤフーには多数のサービスとともに、それらを支える多くのプラットフォームやインフラがあります。社内の情報管理やセキュリティポリシー、セキュリティ強化における方針はCEO(Chief Executive Officer)と最高情報セキュリティ責任者であるCISO(Chief Information Security Officer)が決定し、部門から寄せられるセキュリティ関連相談への回答、リスク分析、評価などはその部門を管掌する統括本部情報セキュリティ責任者がメインで担当しています。
また、よく受けるセキュリティの相談を踏まえた情報セキュリティのルール策定業務、社内で「リスクマネジメント」と呼ばれる、情報セキュリティに限定しない全社のリスク管理の仕事もしています。
ちょうど3月1日から、ヤフーの親会社であるZホールディングスが、LINEとの経営統合を行い「新生Zホールディングス」としてスタートを切ったので、今後は個社だけではなく、グループ全体でのセキュリティを見ていかないといけません。同じグループ内の会社でも、多くの個人情報を扱う会社と、個人情報をまったく扱ってない会社とでは求められるセキュリティのレベルが違うので、その温度感も鑑みてさまざまな対策をとってゆく必要があります。
あらためて気を引き締めて、世界一セキュアなグループを目指さないといけないと思っています。

転職のきっかけを教えてください。また、ヤフーを選んだ理由は?

佐滝の写真

前職は教育系IT企業で、マークシートの読み取りシステムや読み取り機器の営業と、ISMS(Information Security Management System)事務局の仕事を兼任していました。
私はもともと文系ですが、自己啓発のため、IPA情報処理推進機構の「情報セキュリティスペシャリスト」という国家資格をとったのもちょうどそのときです。そこでセキュリティのイロハを身に付けられたことで、エンジニアでなくてもこの分野でのステップアップができるのではないかと考えました。また私のルーツとして、両親が警察官だったことも大きいかもしれません。「蛙の子は蛙」ではないですが、両親や周りの環境による影響もあり「正しく生きなきゃいけない」といった正義感が強く育ったことが「悪意ある第三者から正当なユーザーを守る」という情報セキュリティの仕事につながったところもあったのかなと思います。

せっかくそういう仕事にするのであれば、よりいっそう頑張り甲斐がある会社で働きたいと思い、大量のユーザーとサービスを抱えているヤフーを選びました。

ストレス解消法を教えてください

私にとっては、自分が知らないことを聞かれたとき「わからないです」と答えることが、結構なストレスです。ですので入社した直後から、社内のセキュリティのルールや、過去にほかの統括本部情報セキュリティ責任者の方がセキュリティの相談事項に対しどう判断したかという事例を、とことんインプットすることを心がけてきました。それはストレスの解消というよりは予防に近いのかもしれません。
また、最近私が大切にしているのは、必ず休憩をとることです。とてもシンプルなことですが、特にリモートワークとなったいまは、とても大事なことだと思います。自宅なので、やろうと思えば延々と何時間でも仕事ができるのですが、何があっても1時間に1回は立って歩こうとか、2時間に1回はマンションの外廊下に出て空気を吸ってストレッチをしよう、ということを心がけています。

仕事のやりがいや醍醐味、面白さは?

私の仕事は、新しいサービスや取り組みをしようとされている方々から相談を受け、そのセキュリティのリスク評価をすることが主軸となっています。だから「いかにして担当者がやりたいことを実現しつつ、セキュリティも担保してユーザーに安心して使ってもらえるか」というのを考えながらパズル的に組み立てていくことが楽しいですしやりがいを感じます。
それだけに、部門の担当者から相談を受けた内容をクリアでき、新サービスなどが何のトラブルもなくリリースされたときに、一番達成感を得られます。やはり形になったものを見られることが大きくて、そのサービス自体は直接自分が作ったものではないけど、裏側に自分が関与できたという喜びや誇りも感じます。
また、私が兼務しているリスクマネジメントの部署では、情報セキュリティに限定しない社内における全リスクのモニタリングをしています。社内で抱えているリスクの数と大きさを集約し管理する仕事なのですが、これも私たちがいろいろな部署の方々に掛け合って一つずつ解決することで、少しずつリスクが減ってきました。その数字が目に見えて下がったのを見ると、やってきたことの成果が実感できて、とてもうれしくなりますね。

ヤフーの魅力を教えてください

佐滝の写真

年齢やキャリアに関係なく大きな仕事を任せてもらえることです。私は2018年の12月に入社しましたが、翌年の4月からISMSの事務局長を任されました。ヤフーの持株会社であるZホールディングスが誕生したのが、ちょうど2019年10月のことでしたが、このZホールディングスにISMS認証を取得させるという大きな仕事も担当させていただきました。そういう意味で言うと、ヤフーでは自分の頑張りや意欲に応じて、いろいろな新しい役割を与えてもらえます。だからルーチンワークをしたくない、新たなことに手を伸ばしていきたいと思っている方には非常にやりがいのある職場だと思います。

よく利用している、あって助かっている会社の制度は?

毎月一定の金額を継続的に積み立てる形で買い付けられる株式累積投資制度(るいとう)です。会社から業績に応じて付与される奨励金も他社と比べて高い割合なので、あまり意識せず貯金ができています。また、エンジニアとデザイナー向けに技術活動費用補助TechUP(テックアップ)という制度があるのですが、これは、自身の技術力向上を目的とした書籍の購入費やセミナーの受講費などにあてることができるもので、エンジニアにとっては自己研鑽しやすい環境だと思います。

仕事終わりや休日の過ごし方を教えてください。

海外旅行が好きなので、コロナ以前は2~3ヶ月に一度は金曜日を「どこでもオフィス」にして、空港で仕事をしていました。金曜日の午後に早上がりして夕方前の飛行機に乗って、日曜の夕方くらいに帰国する日程でよく行っていました(笑)。最近は、学生時代からの趣味の大型バイクに乗り、伊豆や館山あたりまで走りに行って、気分転換をしています。

転職を考えている人へのメッセージ、アドバイスをお願いします

佐滝の写真

ヤフーはリモートワークが基本ですし、とても働きやすい環境にあると思います。また、先ほども申し上げましたが、年次にかかわらず若くても自分の頑張りや意欲に応じていろいろなことにチャレンジさせてもらえる。いまの業種でのキャリアアップを望む人も、きっと成長できる会社だと思います。
エンジニアの方に限って言えば、コロナ以前は海外のセミナーに参加する人も多かったし、いろいろなスキルを持つ方々が活躍しやすい土壌がある会社ですのでおすすめです。もしヤフーに入社後、前職と同じ業種の仕事をするなかで、「何かが違う」と感じたとしても、ヤフーにはたくさんのサービスがあり、職種の領域も多岐にわたっているので、状況に応じて転職をせずとも仕事内容を変えられるチャンスがあるというメリットもあります。
いずれにしても、常に新しい環境に身を置ける状況にいられることは、すごくいいと思います。

一日のスケジュール

9:30

メール、Slackの確認。今日一日の仕事の優先順位を決めます。

11:00

主務部署のミーティング。同僚の対応しているセキュリティの相談や判断をインプット。

12:00

優先度の高い案件の対応。

13:00

兼務部署のミーティング。自分が策定したルールのレビュー依頼などをします。

14:00

ルールのドラフト作成や、当日飛び込みで入った案件の対応。

15:30

遅めのランチ。昼寝をしてリフレッシュすることも。

16:30

主務部署のリーダーと1on1。目標の進め方についてすり合わせ。

17:00

当日飛び込みで入った案件の対応。

18:00

翌日の予定確認、仕事の進め方の検討。翌日の仕事で必要となる資料集めなどの準備。

18:30

終業。

仕事をするうえで一番大切にしていることを教えてください

佐滝の写真

「寄り添うこと」でしょうか。セキュリティにとって大事なことは、ユーザーの情報が漏れる、消える、サービスが止まるという3つの要素を防ぐことだと言われています。そうならないためのセキュリティを考慮するのですが、サービスとセキュリティのバランスを誤ると、ユーザーに迷惑をかけてしまうほか、費用対効果の優れないサービスとなり社内に迷惑がかかってしまうことになります。サービスの内容や規模に合わせ、セキュリティの対策やルールを考えていくことが大事です。だから常に、サービス側(社内)の事情とユーザー(社外)の状況をよく理解し、両者に寄り添うことが大事だと思っています。
コロナウイルスが流行しはじめた当初は特にそれが求められました。緊急事態宣言が出され原則全社員が在宅勤務となりましたが、もともと正社員はリモートワークが月5回まで許されていたので大きなトラブルもなく進められました。

しかし、ユーザーの個人情報を扱う部署などがどうすべきかについてはいろいろな相談を受け、高レベルな意思決定を求められました。幸い大きな課題は解決できましたが、現状に満足することなく、よりふさわしいセキュリティ体制を目指して、今後もアップデートを続けてゆきたいと思います。

※内容は取材時のものです

このページの先頭へ