Cha道

Chatworkの「人」「組織」を
伝えるメディア

Chatwork採用サイト
トップ > 組織立ち上げ > セキュリティを担うメンバーが脚光を浴びる組織に。日陰の業務を日なたの業務に変えていく。

セキュリティを担うメンバーが脚光を浴びる組織に。日陰の業務を日なたの業務に変えていく。

組織立ち上げ マネジメント コーポレート エンジニア ピックアップ

Chatworkは2023年4月に体制変更を行い、CEO直下の組織としてセキュリティ室を新設しました。これまでコーポレート本部とプロダクト本部がそれぞれで担っていたコーポレートセキュリティとプロダクトセキュリティを統合し、全社横断で推進するのがセキュリティ室の役割。セキュリティ体制の構築と強化を図ります。

そのセキュリティ室の室長を務めるのが幸島吉彦。幸島はこれまで、金融機関や情報セキュリティコンサルティング企業、大手総合金融サービス企業、メガベンチャーなど多種多様な環境でセキュリティ関連の業務に従事してきました。今回は幸島にキャリアの変遷やセキュリティ室で実現したいことなどをインタビューしました。

■プロフィール

幸島 吉彦
セキュリティ室 室長

金融機関にて社内インフラと業務アプリケーションの開発・運用を担当。その後、情報セキュリティコンサルティング企業にて総合商社の内部統制構築や情報セキュリティ関連施策支援に従事。大手総合金融サービス企業では幅広い事業のセキュリティ施策や業務改革プロジェクトを経験し、転職後はメガベンチャーでセキュリティ室の組織立ち上げや複数部門のマネージャーを担当。2022年12月にChatworkへと参画し、2023年4月より新設されたセキュリティ室の室長を務める。

「このセキュリティ対応は本当に意味があるのだろうか」

――幸島さんは何をきっかけとして、ITの世界を志したのでしょうか?

私が大学に入学した当時は、インターネットが普及し始めたばかりで、ネット接続がまだダイヤルアップ接続の時代です。ITバブル期でもあり、大手IT企業の株価が高騰するなどのニュースが流れていました。私はもともと大学で文系の学科を専攻していましたが、文系からIT企業へ就職される方が徐々に増えていました。

最初にお世話になった会社は金融機関でした。若手でも色々と任せてもらえる環境で、端末のセットアップ・管理や業務プロセス改善、社内ネットワーク運用・管理、業務アプリケーションの導入・運用、サーバの管理や各種障害対応など、多くの業務を経験させていただきました。

――セキュリティ関連の業務に携わるようになったのも、その会社からですよね。

そうです。個人情報の保護に関する法律(現在の個人情報保護法)が制定されて、個人情報の漏洩がニュースで報道されるようになり、企業が個人に対し賠償金を支払う事例が出始めました。各企業が情報漏洩に対して敏感になり、セキュリティ対策の一環として、ISMS(情報セキュリティマネジメントシステム)認証を取得することになりました。そこで初めてセキュリティに携わりました。でも、当時の私はセキュリティの知識も経験もなかったので、プロジェクトに参画しているコンサルタントの指示に従っていました。

ISMS認証を取得する際には、業務手順のマニュアル化といった膨大な作業から、オフィスのファシリティまでさまざまな対策が求められました。わからずやっていることも多いが故に「本当にこのセキュリティ対応は意味があるのだろうか? 同様のことを他社でもやっているのだろうか?」と疑問を抱くようになったんですね。

要求事項として求められてはいるものの、すべて対応するのはコストも時間もかかるので、「これ全部やる必要があるの?」と思っていました(笑)。自分に知識がないので、指示に従うまでで、その要否を判断できませんでした。徐々に、セキュリティ関連の知識をもっと身につけたいと思うようになったのです。

――2社目は情報セキュリティコンサルティング会社で働かれたそうですが、そうした経緯があったわけですね。

セキュリティコンサルティングの企業へ転職しましたが、当時はJ-SOXが施行される時期だったため内部統制のプロジェクトにアサインされて、監査法人の方々とやり取りをすることが多かったです。J-SOXの施行当時は、監査法人の担当者の方も手探りに近い状態だったので、整備していくのが大変でした。2年目以降になると徐々に知識が身についてきて、監査法人とも折衝できるようになりました。

その後、グループ企業のセキュリティ対策を推進するプロジェクトにアサインされ、規程整備やインシデント対応支援など企業におけるセキュリティ対策に係る業務を幅広く担当させてもらうことができました。仕事を通じて学べることがとにかく多かったと感じています。

恒久的に運用できる“体制”を築くことが重要

――その後は、大手総合金融サービス企業に転職されたと伺っています。

複数の関連会社や子会社があるグループ企業で、従業員は合計で数万人規模でした。前の会社も親会社が大企業で、統制が整備されていたので、似たような働き方になるのかなと予想していました。でも実際は違っていて、事業ドメインも多岐にわたり、グループ企業ではあるものの各社の特色が強く、ベンチャー企業が複数集まっているような感じでした。スマートなイメージを持っていましたが、パワフルでしたね。

――グループの規模が大きいと、セキュリティの統制を取るのに苦労しそうです。

そうですね。大変だった点は、関連会社や子会社がたくさんあるため「この会社はオンプレミスのサーバーで運用している」とか「この会社は○○というレンタルサーバーを使っている」といったようにそれぞれインフラ環境が違う場所にありますし、システム開発・運用の委託先も会社ごとにさまざまで、それらを把握するのが大変でした。

仮にセキュリティチェックでシステムの脆弱性が発見されたら対応する必要がありますが、開発と運用を別々の会社へ委託していて、過去に実装を担当していた会社と連絡がつかないなどのケースも発生しました。その際に、どのように対応するか方針を考えて関係者と調整をしたり、システム関連の知識が少ない役員の方々に説明したりと、幅広い内容の業務を担当しました。

この頃の経験は、現在のChatworkでのマネジメント方針にも活かせているように思います。できる限りセキュリティのベースラインとなるルールや仕組みを作って全環境を同じ水準で守るようにしたり、ばんそうこうを貼るような一時的な対策ではなく恒久的に運用できるセキュリティ体制を築いたりしたいと考えているのは、この時代の経験があったからでしょうね。

――その次は、メガベンチャーへ移られたのだとか。転職のモチベーションは何でしたか?

大手総合金融サービス企業で働き続けることには、私にとって大きく分けて2つの懸念がありました。まず、同じプロジェクトを何年も担当し続ける必要があったこと。それから、最新の技術に触れるのが難しかったことです。その会社ではクラウドへの移行も検討されておらず、導入するにも数年先という状態でした。

当時、AWSなどのカンファレンスに足を運ぶと、各企業の導入事例や最新のサービスなどがたくさん紹介されていました。ですが、自分自身、業務でAWSを触っていないから、なかなか理解ができないんです。また、在籍していた企業が大きなグループ企業であったため、調整業務が増えていくのと、実機を触る機会が減っていました。このままでは他社でも通用するような汎用的なスキルを身につけるのが難しいと感じ、エンジニアとしてより自由に動ける環境を求めてメガベンチャーに転職しました。

メガベンチャーでは、やはり開発のスピードや技術に対する考え方が全く違いましたね。大手総合金融サービス企業の時代はサービスのリリースが1カ月に1回くらいでしたが、メガベンチャーでは1週間に1回などの早いサイクルでリリースしている。学ぶものが多かったです。Chatworkはもっとリリースサイクルが早いですけれどね。

――ベンチャーは開発のスピードが重要ですからね。

その通りで、スピード感が全く違いましたね。ただ、「素早くリリースしなければならない」という前提があっても、セキュリティを蔑ろにしてはなりません。そこで、できる限り早期に各プロジェクトの情報をキャッチアップして、サービスを担当するエンジニアの方々にセキュリティ改善のアドバイスをしたり、セキュリティを担保しつつ早期にリリースするための方法をみんなで考えたりしていました。

プロジェクト後期のフェーズでセキュリティチェックをすると、システムの全体的な設計を見直す必要が生じたり、そもそも対応が難しかったりします。そこで、開発チームやQAチームなどと連携を取りながら、なるべくセキュリティをシフトレフト(システム開発の流れの中で、早い段階にセキュリティ対策を組み込むという考え方)できるように動きました。加えて、セキュリティチームで各システムを統合的に監視できるような仕組みを作り、AWSアカウントの管理方針を考えるなど、プロダクトを担当するエンジニアたちが開発に注力できるような組織作りを進めましたね。

ビジネスの成長を支えるようなセキュリティ組織に

――そうしたキャリアを経て、Chatworkに転職されたのですね。

最初は、スタートアップ企業への転職を検討していました。既に一定の規模にある企業で新しくセキュリティを始めるより、これから上場を検討されるような企業の方が、セキュリティを会社の文化のひとつとして浸透させやすいのではないかと考えていました。

そんな折に、転職エージェントの方からChatworkをご紹介いただきました。Chatworkはまだ社員数もそれほど多くないですし、セキュリティを担う部署ももともと存在しています。だからこそ、セキュリティを全社的な文化にできるという希望を抱きました。

それに社員や役員との採用面接も印象的でした。たとえば、CTOの春日重俊さんは「世界基準のサービスになりたい」といった旨の発言をしていて。大きなビジョンを持っているんだなと感じました。

それにCEOの山本正喜さんも「これから、さらにビジネスを拡大するために、積極的に色々なものに投資して、新規ビジネスを開拓していきたい」と話していました。私が過去の職場で経験して培ったスキルを、この会社が一番発揮できる環境なのではないかと思いましたね。セキュリティエンジニアも優秀で、この人たちと一緒に働きたいと感じました。

――採用面接で幸島さんは何を話されましたか?

セキュリティ担当者の役割はあくまで、事業を支援することだと思っています。要するに、お客さまに提供するプロダクトやお預かりしている情報を扱う際に、トラブルが起きないようにサポートすることが私たちの仕事です。あくまで事業が主体であり、それを阻害しないようなセキュリティのあり方を考えていきたいという話を、採用面接でしました。

――そうした経緯を経て、幸島さんはChatworkに入社されました。そして、コーポレート本部とプロダクト本部がそれぞれで担っていたコーポレートセキュリティとプロダクトセキュリティを統合し、全社横断で推進するセキュリティ室の室長に就任されました。今後、どのような組織を目指したいですか?

現時点(インタビューを実施した4月時点)では、お客さまに提供しているプロダクトやバックオフィス関連の業務について、私たちが把握しきれていない情報も多いです。そこで、情報のキャッチアップに務めつつ全社的なセキュリティのベースラインを提示していこうと取り組んでいます。その上で、担当者ごとの認識のギャップを埋めていきたいです。それを実現できた先に、セキュリティ対応のさらなる高度化や強化を進めたいと考えています。

Chatworkはセキュリティの専門家にとって、大変だけれど面白い環境だと思います。プロダクトのセキュリティからコーポレートのセキュリティまで、幅広い業務をなんでも担当できますからね。やることは、とにかく山ほどあります。

――室長として達成したいことはありますか?

セキュリティは日の当たらない活動が多いので、なるべくメンバーのみなさんが前に出ていったり、活躍したりできる組織にしたいです。それから、Chatworkは「働くをもっと楽しく、創造的に」というミッションを掲げているのでこの方針に沿って、積極的に新しい技術や仕組みを取り入れるなどして、他社からも参考にしてもらえるような組織作りをしていきます。

――では最後に、セキュリティ室の業務に興味を持たれている読者にメッセージをお願いします。

私たちはセキュリティを担う組織ですが、決して事業のブロッカーになりたくないと考えています。システムが抱える各種のリスクを可視化した上で、ビジネスの成長を阻害せずに、適切な対応を取っていくのがセキュリティ組織の役割です。だからこそ、テクノロジーの観点だけからセキュリティを考える人ではなく、事業成長とセキュリティのどちらも考えられる人に、ぜひ来てもらいたいと思っています。

撮影場所:東京オフィス(WeWork 日比谷FORT TOWER)