組織における情報セキュリティを管理するための枠組み、ISMS。全社でこれを取得するプロジェクトを行ったセキュリティ本部の佐藤香織さんに、同じくセキュリティ本部の吉岡宏樹さんがお話を聞きました。

セキュリティの原体験は、小学6年生の時

──ISMS認証を取得する仕事では、関係者ややることが多岐にわたる重い仕事を進めてくださっていました。あらためてお伺いしたいのですが、佐藤さんがセキュリティに興味を持ったきっかけは何ですか？

実は、小学校六年生の時に、大人に騙されたことがあって。

──えっ。それは初耳です。嫌なことだったら、話さなくてもいいですよ。

いえいえ。それがけっこう原体験になっているので、お話ししたいなと思いました。ひとりで留守番をしている時「卒業名簿の編集にミスがあった」という電話がかかってきたのです。「大事なミスで、先生とも連絡が取れません。クラスメイトの連絡先を教えてください」と迫られて、いくつか教えてしまいました。今思えば典型的な名簿詐欺ですが、そのことがずっと心に引っかかっていました。それが会社に置き換えれば情報セキュリティの課題だなと考えて、この仕事に興味を持ったのです。

──小さな頃の体験が、今の仕事にしっかりつながっているんですね。

今振り返ってみれば繋がっていることがわかった、ということなんですけどね。会社でも、大企業が騙されて大量のお金を振り込んでしまった、などの事件がありますよね。そのような被害も、セキュリティを強化することで防げると考えているんです。

複数事業、プロダクトの組織でISMS認証を取る難しさ

──入社以来、主にISMS認証をとることと、それを支える体制づくりを担っていただいています。ISMS認証を取るのは、やはり大変でしたか？

まず、吉岡さんがやっていらしたISMSプロジェクトの主担当を引き継いで、ルールの読み込みや把握を行いました。この時、自分の中で前職とのルールと混同してしまうところが多くあり、かなり苦労しました。さらに、前職の会社のISMSの適用範囲は1事業、3部門程度だったのに対し、heyでは多くの事業と部門を含めた、全社での適用をしなければならず、関係者の把握に苦労しました。

まず、それぞれの事業を把握して、この事業のことは誰に頼めばいいのか、誰がキーパーソンなのかを見つけるのが難しかった。さらに、それぞれの事業のオペレーションを把握してどんなリスクが出てくるのかを見つけていくのも......。今も、この把握作業の真っ最中です。新しいリスクもどんどん出てくるので、そのキャッチアップも並行で行えるように頑張っています。

──確かに、複数プロダクトの把握と理解は大変だったと思います。実際にISMSの審査を受けてみて、審査そのものをどう振り返っていますか？

ISMS認証を取得するためには外部の審査員の方が来て質疑応答をする機会があるのですが、社内のISMS事務局のメンバーがサポート役として同席したのがよかったなと思います。前職の時、回答する部門の方ではテクニカルな質問に答えづらかったり、ISMSのルールに理解が及ばないことがあったので、通訳のような立場で回答に同席するようにしたんです。

──関係する人数も多いので、アンケートを集めきれないなんてことはありませんでしたか？

ありました。SlackにISMSのチャンネルを作って、時間がなく回答できなかった人を集めてbotのように「やってください」とお願いしたり、「なんで回答しなければならないの？」という質問に答えを用意するなど、さまざまな工夫を重ねました。

──ISMS認証の取得は会社にとって必要性の高いものでした。なるべく成功させなければならないなか、プレッシャーはありましたか？

どちらかというと、取得できないかもというプレッシャーよりは、資料を取り揃える締め切りのプレッシャーのほうが高かったかもしれません。heyのみなさんは情報セキュリティに対する意識が高かったので、環境に感謝しています。

──例えばどんなことでしょうか？

heyは、「ビジネスも大事だけれどセキュリティも大事だ」という考え方を経営陣と共有できているので、みなさんの協力を得やすかったなと感じます。これまで経験してきた環境では、マーケティングやセールスのほうがセキュリティよりも優先度が高く、セキュリティとビジネスがトレードオフになるという考え方が強かったのです。そうすると、どうしてもビジネスが優先されてセキュリティが二の次になってしまい、何かひとつセキュリティ対策を実施するにも難易度が上がってしまっていたんです。heyではみなさんが協力的だったので、進めやすいなと感じていました。

「役割を超え」て、面倒なことはなんでも自動化したい

──heyのバリューについても聞いてみていいですか。お気に入りのバリューがあれば教えていただきたいです。

いくつか気に入っているバリューがありますが、一番は「役割を超える」でしょうか。ISMSをオーナーシップを持って進めていくのはもちろん、それ以外にも、heyで働くみなさんがかけている申請などの工数を少しでも減らせることにチャレンジしたいなと思っています。セキュリティが厳しい会社って、ウェブサイトひとつ閲覧するのにも申請が必要で、いろんなワークフローを踏んで.....となりがちなんです。セキュリティを担保しつつ、できるだけ工数が少なく済むようにしたいと思っています。

──なるほど。「役割を超える」ということは、やりたいことはセキュリティの仕事に止まらないということでしょうか。

まさに。私自身が怠け者なので、自分が面倒だなと思うことはどんどん自動化していきたいんです。システムエンジニアになってから一貫してそれをやってきたので、面倒なルーティーンをなくすことに貢献できたらいいなと思います。なるべくheyではたらくみんなが喜んでくれるように、数の多いところから解決したいですね。

──そうやって幅広く活躍したほうが、仕事にも飽きがこなくていいですよね。最後に、これからやりたいことを教えてください。

大きな会社と比べると完全ではないセキュリティ環境ですが、その構築を楽しんでやっていけたらいいなと思います。そして、もうひとつ。前職でもセキュリティ部門は人材不足で頭を悩ませていました。セキュリティは優秀な人が一人いるだけでは何もできず、チームを組んでやっていくのが理想です。この構築段階を一緒に楽しめる仲間と、吉岡さんがいつかインタビューでおっしゃっていた「セキュリティを空気にする」を目指せたらいいなって思います。

──ちょっと照れますね（笑）。今日は、お話いただいてありがとうございました。

（写真・文：出川　光）

＼ heyでは一緒にはたらく仲間を募集中です！／