サイバーエージェントの文化に適した情報セキュリティを確保する

Q1. これまでのキャリアについて

高卒後、行動経済学など興味がある分野を勉強後、IT系の会社（SES）へ就職しました。
銀行のデータセンターでのサーバ運用や、総合水事業会社で社内ネットワークの管理・運用業務、保険会社の社員用タブレットのリプレイスプロジェクトのサブリーダーなど様々な案件を担当し、情報処理安全確保支援士やCCNA、CCNP（SWITCH,ROUTE）、LPIC300といったネットワーク、サーバーなど複数の資格を取得しました。

その後、セキュリティの仕事をするために規模の大きいSESへ転職し、派遣先で脆弱性診断（プラットフォーム診断）の仕事を担当。10名程度のチームのリーダーとして業務を行いました。在職中にセキュリティマネジメント系資格（CISSP）を取得しています。

セキュリティと経営の間をつないでいきたいと思ったこと、もっと広い領域でセキュリティを考えたいと思い、2022年3月サイバーエージェントへ転職しました。

Q2. 転職（キャリアチェンジ）のきっかけは？

SESで勤務経験を積む中で、SIerという立ち位置からの一般的な視点は持てていたのですが、将来的なキャリアを考え、当事者としてセキュリティの施策を行ったり、自分たちでサービスを作ってるところで働きたいという意識を持っていました。
いくつかカジュアル面談を受けた中で、セキュリティマネジメントの経験が一番つめそうだったサイバーエージェントへ入社しました。

Q3. 実際に入ってみてどうでしたか？

サイバーエージェントは規模が大きく歴史があり、セキュリティが厳しい印象を持っていたのですが、思っていたより自由度が高く、自由を守りつつセキュリティを推進していくことの難しさを痛切に感じました。

Q4. 現在のミッションや業務内容を教えてください

現在は事業運営やシステム開発に関わる組織を支援するチームに所属し、サイバーエージェントグループ全体からのセキュリティに関する相談に乗っています。
また、グループ全体に対しては主に生成AIに関する業務を担当しており、画像生成AIの利用に関するガイドライン作成や、各種ガイドラインの更新、社内開発の生成AIを利用したプロダクトにおけるリスク評価、全社で実施した生成AIリスキリングにおけるセキュリティ部分の講師なども行っています。
その他、ISMSの取得・維持コンサルタントや、インシデント対応、ASMの活動なども行っています。

Q5. やりがいは？

入社前までセキュリティの推進はトップダウンで行われていると考えていましたが、逆にボトムアップでセキュリティを推進していくと言う、今まで学んできた考え方よりも高度なことを要求され、入社当初は悩んでいました。
しかし、現在のサイバーエージェントの文化や仕事の仕方などに合わせてセキュリティを推進していくにはどうしたらいいか、といった難しい課題に挑むことに、とても大きなやりがいを感じています。

Q6. システムセキュリティ推進グループにはどんな人が向いていると思いますか？

サイバーエージェントの「自由」「自己責任」といった文化を受け入れ、適応できることが大切だと思います。
自分の任されている事業部について、ほぼすべての開発チームと仕事をすることになるため、各事業部についてまんべんなく自分ごと化することや、開発者からの相談を受けることも多いため、常に知識をアップデートしていくことに抵抗のない方が向いていますね。
所属チームには15人弱のメンバーがおり、常に情報共有しながら業務を行っているため、コミュニケーション力も必要だと思います。

Q7. 今後挑戦したいことやビジョンについて

サイバーエージェントの文化を残しつつ、グループ全体のセキュリティを向上させていきたいと思っています。そのための基準や内容をどうしたらいいのかといったところを、自由を守りつつ整備していきたいですね。

事業と共に進化する、最前線のセキュリティ推進にチャレンジ

Q1. これまでのキャリアについて

新卒時はエンジニアとしてSIerに入社し、3年ほど受託開発を行っていました。
その後、1年ほどセキュリティの教育プラットフォームを開発するプロジェクトに参画し、アプリケーションセキュリティに関わる教育コンテンツを作成していました。
こちらのプロジェクトに参画する中で、セキュリティに興味を持ち、業務の傍らで勉強を始めました。

その後、エンジニアとしての将来を考えていく中で、当事者としてセキュリティを推進していきたいと考え始めたことが、現在のキャリアのきっかけとなっています。

Q2. 転職（キャリアチェンジ）のきっかけは？

セキュリティの勉強を進めていく中で、外部で開催されたセキュリティイベントに参加した際に、サイバーエージェントの人と話す機会があり、事業部とセキュリティ部門との距離が近いことや、時には事業部の中に入って自らセキュリティ対策を推進していくところに興味を持ち、強く志望しました。

Q3. 実際に入ってみてどうでしたか？

イベントでのお話やカジュアル面談を進める中でも感じていたのですが、自由度の高さや個人の裁量が思っていたよりもかなり大きいという感想を持ちました。
また、SSGのメンバーは各々専門分野を持っている人が多く、困ったことや悩みを相談しやすいため、大変勉強になることが多い環境だなと感じました。

Q4. 現在のミッションや業務内容を教えてください

現在はシステムセキュリティ推進グループで内製している認証認可基盤の開発運用を担当しています。
また、認証認可領域の担当として、プロダクトや開発環境のセキュリティの相談対応もしております。

Q5. やりがいは？

ID管理、認証・認可といった、企業のセキュリティにとって重要な部分を担当していることに大きなやりがいを感じています。
サイバーエージェントは規模が大きく組織構造が複雑なので、アカウント管理やアクセス制御の仕組みを考えるのは大変難易度が高いですが、それだけにクリアできたときの達成感は大きいものです。
また、社内システムであることから、ユーザーからの感謝の声を直接聞けることも多く、励みになっています。

Q6. システムセキュリティ推進グループにはどんな人が向いていると思いますか？

セキュリティの専門家として、事業部が抱える課題を的確に捉え、最適なセキュリティ対策を立案・実行することが重要です。そのため、様々な職種の方々と円滑にコミュニケーションを取りながら業務を進める能力が求められます。
また、私たちは事業の成長を第一に考えた上で、現実的なセキュリティ対策を推進しています。そのため、理想と現実のバランス感覚を持ちながら、柔軟に行動できる方を歓迎します。

Q7. 今後挑戦したいことやビジョンについて

現在担当している認証認可基盤は、セキュリティと生産性の両面で、更なる向上の可能性を秘めていると感じています。OpenID ConnectやPasskeysといった標準技術にも積極的に対応し、より安全かつ利便性の高いシステムを目指したいと考えています。
また、認証認可領域だけに留まらず、その他のセキュリティ領域にもチャレンジしていきたいです。