外貨ex byGMOのセキュリティを守る仕事 ~アプリケーション開発経験を活かしたセキュリティエンジニアとしてのキャリア形成~
見出し画像

外貨ex byGMOのセキュリティを守る仕事 ~アプリケーション開発経験を活かしたセキュリティエンジニアとしてのキャリア形成~

外貨ex byGMO 公式note

外貨ex byGMOの情報セキュリティ統括部でマネージャーを務める横山 純さんが、セキュリティエンジニアとしてのキャリア形成と、外貨ex byGMOを支える情報セキュリティ統括部のリアルについて語ります。

・・・

画像4

横山 純:大学在学中に映像制作任意団体を設立(卒業後法人化)、映像制作に従事。映像制作するうえでWEBサイト構築の経験をしていたこともありIT業界へ転職、開発エンジニアとしてWEBアプリケーションの開発を行う。
その後、PMなどを経て外貨ex byGMOへ入社(当時YJFX!※)。システム運用部署の立ち上げ後スキルチェンジし、現在情報セキュリティを担当。

※当社は2021年9月27日に社名を変更しました。そのため以下文中の社名は現在の社名に修正しております。(2021年9月27日)

アプリケーション開発とシステム運用部門の立ち上げ経験が、セキュリティエンジニアとしてのベースに

ー 外貨ex byGMOに入社した経緯を教えてください。

IT業界に飛び込んだのは28歳から。それまでは関西で映像作品関連の仕事をしていて、東京でのキャリアチェンジをきっかけに、システム開発の仕事に未経験から入りました。

客先常駐開発から事業会社まで何社か経験しながら、アプリケーション開発やシステム設計、プロジェクトマネジメントまで幅広く経験しました。とある証券会社で常駐開発をしていた時、プロジェクトが一緒だった方がワイジェイFXに転職。その方から声をかけてもらったのが、入社のきっかけです。

ー 現在の業務内容を教えてください。

入社時は、システム運用部門の立ち上げメンバーとして参画。当時の外貨ex byGMOはシステムアラートが日常的に上がり、担当者が対応に追われるのが常態化していました。

最初に携わったのは、発生している事象の切り分けと、アラートの整理です。緊急度の高いアラートに担当者が専念できるようにし、軽微なアラートには問題点の潰しこみをしました。

その中にはオペレーションミスの原因もありました。外貨ex byGMOはユーザーニーズに合わせた改善が頻繁に行われるので、機能アップデートが速いです。システムによる運用自動化が追いつかず、手動によるオペレーションが発生しているケースもあり、アラートの原因にもなっていました。

そのため、システム運用における手動オペレーションを洗い出し、ツール導入や自動化で業務改善と安定運用を目指しました。

チームで協力しながら根気よく取り組むことで、次第にシステムアラートの数は減少し、安定運用に近づけることができました。現在のシステム運用部門は、サービス開発側に合流する体制となっています。

デプロイ環境が充実し、社内にもDevOpsの利便性が浸透するに従って「開発と運用はワンストップで同じチームが担うほうが合理的」になってきたからです。

システム運用部門が役割を終えた2019年のタイミングで、情報セキュリティ統括部に異動しました。

画像1

「顧客を第一に考える」情報セキュリティ統括部の仕事

ー 情報セキュリティ統括部のミッションは?

情報セキュリティは、会社存続のためにあると私は考えています。そのために意識すべきは「顧客を第一に考えること」で、部門の中長期計画のベースにもなっています。

情報セキュリティ統括部のマネージャーになったタイミングで、社長の松本さんに「外貨ex byGMOのセキュリティはどうありたいですか?」と聞く機会がありました。松本さんが「お客さまにご迷惑をかけないようにしたい」と答えたのが印象的でしたね。

ー 「顧客を第一に考える」とは?

2016年に当社で情報漏洩事件が発生しました。お客さまに対して、信頼の損失だけでなく、心理的なストレスやご心配をおかけすることとなりました。当時のレポートや担当社員の声は、社内でアーカイブとして共有され、新入社員は必ず目を通すようになっています。

二度とこういった事件を再発させてはいけません。セキュリティインシデントがシステム面に影響すれば、お客さまの取引機会の損失や金銭的な損害にもつながってしまいます。

ー セキュリティを担保するための施策とは?

詳細は言えないのですが、金融庁が推奨する「脅威ベースのペネトレーションテスト」を積極的に導入しています。現実に起こり得る攻撃シナリオに沿って、疑似的な攻撃を行うことで、企業のセキュリティ対策の状況を診断/評価するテストです。

2018年に金融庁が発表した「⾦融分野におけるサイバーセキュリティ強化に向けた取組⽅針」のアップデートの中で、「脅威ベースのペネトレーションテスト」を金融機関が導入すべきと明記されています。

従来のセキュリティ/脆弱性診断や一般的なペネトレーションテストを実施している企業は多いですが、コスト面から「驚異ベースのペネトレーションテスト」の実施企業はまだ少ないのが現状です。

ワイジェイFXの親会社はヤフー(取材時点)で、その親会社はソフトバンクグループです。大企業を攻撃する際に、セキュリティ的に脆弱な子会社をターゲットにするのは常套手段で、特に金融機関である当社が狙われる可能性は高いと考えています。

コストをかけてでもセキュリティの保全性を高めようという経営判断のもと、「驚異ベースのペネトレーションテスト」を実施しています。

セキュリティインシデントが発生した際に実働するチームと、外部ベンダーで協力しながら「驚異ベースのペネトレーションテスト」を実施し、その施策の有効性を検証し対策を立案。定期的にテストを実施して、ブラッシュアップした施策の有効性を高めることを繰り返しています。

画像2

高度化・先鋭化するセキュリティインシデントのリアル

ー セキュリティインシデントの原因は、システムエラーとヒューマンエラーの2種類があります。後者はどのように対策していますか?

ヒューマンエラーの100%防止は不可能ですので、ヒューマンオペレーションに対するシステム化の比率を上げることを重視しています。もちろん、全システム化には膨大なコストがかかりますし、100%システム化できるものではありません。

コストメリットのバランスをとりながら導入しつつ、ヒューマンオペレーションが発生する業務に関しては、手順書の改善やツールの導入などを進めています。

「2016年の情報漏洩事件」の社内レポートやeラーニングの受講など、社員の意識啓発も重要な対策です。実際に発生したセキュリティインシデントに関しては、月次の締め会で共有するなど、社内外の事例を社員に共有しています。

ー 世界的にもセキュリティインシデントは高度化・先鋭化しています。気をつけていることは?

攻撃の手段は、古くは「DDoS」から最近の「身代金ウィルス」まで多種多様です。コストをかければ対策できるものもありますし、社内の技術に関するセキュリティ対策の基礎研究を進めています。

その一方、高度化・先鋭化しているのが、人を攻撃対象にしたソーシャルエンジニアリングです。社員になりすましてパスワードを電話で聞くといった古典的な方法だけでなく、最近はSNSを活用した複合的な攻撃が目立ちますね。

アプリケーション開発経験が強みになる、情報セキュリティ統括部でのキャリア形成

ー 現在セキュリティエンジニアを募集しています。どういった素養が求められますか?

セキュリティ専門の方からの応募は大歓迎ですし、アプリケーション開発経験者からの応募もお待ちしています。

私も異動するまでは、セキュリティ分野の実務経験がゼロでしたが、アプリケーション開発の経験が役に立ちました。アプリケーション開発で関わるインフラやサーバー、ネットワーク周りの実務経験は、事業会社のセキュリティに関わるうえで、貴重な体験になります。

例えば、事業会社でのサービス開発やBtoCのアプリケーション開発に携わっていると、要件定義書や設計仕様書を読み解くスキル、リリースまでのスケジュールやタスクを立案するスキルが身につきます。これらの経験はそのまま「セキュリティの勘所」を見抜くスキルとして活かせます。

また、「どういった箇所でアプリケーションは脆弱になるのか」がわかるのは、アプリケーション開発を経験しているからこその強みです。このように、アプリケーション開発にまつわる普遍的なスキルに加えて「セキュリティ」というプラスアルファのスキルが身につくのは魅力的だと思います。

ー セキュリティエンジニアとして、どういう働き方や仕事の進め方が求められますか?

例えば、サービス開発をしていて、いよいよリリースを迎えるフェーズで「情報セキュリティ統括部からヒアリングがあります」と聞くと「何か注意されるんじゃないか」と身構えてしまいがちなんですよね。私も実はそうでした(笑)。

そんな時にセキュリティエンジニアが「会社を守るために必要なので、これとこれをリリースまでに必ず対応してください」と言ってしまうと溝が深まってしまいます。

その点、アプリケーション開発の経験があると、サービス側の要件や仕様書を読み解いて、どんなセキュリティリスクが内包されていて、どんなレベルの対策が必要なのかが判断しやすい。つまり「ゼロリスクを達成しなくても、一定のセキュリティ要件を満たしていれば問題なくリリース可能」という判断がしやすいのです。

ー お互いの立場を理解したうえで、適切なセキュリティ対策を導入することができるのは、アプリケーション開発を経験した方ならではですね。

サービスのリリースの際はバタバタしますので、セキュリティ対策はリリース直前に相談されがちで、情報セキュリティ統括部もバタバタしがち(笑)。サービス側とうまく関係性が築けている人は、企画の立ち上げ段階から相談に乗れていたりもします。

また、社内やグループ全体に良い人が多いので、仕事で困っている人をフォローするカルチャーがあります。「自分の仕事はここまで!」と割り切るよりも「会社やグループ全体でどんなプロジェクトが動いていて、中長期的にこういう対策が出てきそうだからこれを提案しよう」と先回りできる人が活躍しています。

私も、ふとした立ち話やミーティングの雑談でキャッチアップをして先回りすることがよくあります。どこの会社やプロジェクトにも「システム的に気になるから見ておきます」と言ってくれる世話好きな方はいると思いますが、そういう方に向いているかもしれませんね。

ー外貨ex byGMOで、セキュリティの仕事に携わるおもしろさとは?

情報セキュリティ関連のカンファレンス等で他社と交流する際、「セキュリティ予算は確保しづらい」という声をよく耳にします。セキュリティを強固にしても、それだけで売上につながるわけではありません。それに、予算があるからとセキュリティを強化しても、社員がセキュリティに興味関心を持たなかったら、情報セキュリティ統括部だけの独り相撲になってしまいます。

外貨ex byGMOの場合、過去の情報漏洩事件もあり、事件を風化させない企業カルチャーがあります。松本さんの強い意思もありますし、当時在籍していなかった社員の中でも社内アーカイブを通じて、危機感を共有する風土があります。

セキュリティに関する予算確保はもちろんのこと「驚異ベースのペネトレーションテスト」における社員の協力など、経営層から社員まで危機意識が浸透しています。やはり、お客さまの金融資産を預かっているからこそ成り立つビジネスですし、社員一人ひとりがリテラシーを持ってくれているので、セキュリティエンジニアとして働きがいがありますね。

画像3

・・・

外貨ex byGMOでは、共に働く仲間を募集しています。ご興味をお持ちの方は、お気軽にご連絡ください。



みんなにも読んでほしいですか?

オススメした記事はフォロワーのタイムラインに表示されます!
読んでくれてありがとうございます!
外貨ex byGMO 公式note
外貨ex byGMO株式会社の公式アカウントです。当社で働く人やサービスの裏話などを発信していきます。