「セキュリティの力で事業を支える」というミッションを掲げ、サービスおよび社内システムの技術的なセキュリティ対策、脆弱性診断、そしてセキュリティガバナンスと、グリーグループのセキュリティを担うのがセキュリティ部です。

「セキュリティに関するすべてのチームが同じ部に所属することで、スムーズに連携できる体制となっている」

そう語るのは、セキュリティ部 セキュリティ企画チームの奥野さんです。企業によっては情報システム部門がセキュリティを担当していたり、セキュリティに関する技術とガバナンスとが別の部門に所属していたりするケースは珍しくありません。しかしグリーのセキュリティ部はすべてのチームが同じ部に所属することで、チーム間で隔たりなく、共通認識を持って日々業務に向き合っています。

今回は、各チームの業務の詳細やグリーならではのセキュリティ業務の面白さややりがいなどについて、奥野さん、そして同じくセキュリティ部のセキュリティ診断チーム 髙村さん、セキュリティ推進チーム 山邉さんにお話いただきました。

「自ら考え、行動し成長する」ユーザーと会社を守るグリーのセキュリティ部

――　まずは、みなさんがグリーに入社した経緯や決め手を教えて下さい。

高村：モバイル開発を3年ほど経験した後に、セキュリティサービスを提供する会社で約12年ほど働いていました。そして次のキャリアステップとして何をやるかと考えたときに、今度はユーザーを守る側のポジションに立つ仕事がしたいと思うようになりました。

そんな中、過去にグリーの案件を担当したことがあったのですが、セキュリティに対する意識が高いことはもちろん、開発を巻き込み、切磋琢磨して高め合っていく姿を案件を通じて見ていたため、素直に楽しそうな環境だと感じたことがグリーに入社したキッカケでした。

山邉：私は前職ではコミュニティサイトを運営する企業に務めていました。グリーに入社したのは2011年です。当時はソーシャルゲームが流行り始めたタイミングで、そうしたトレンドの業界で働きたいと思い、グリーに入社を決めました。

奥野：私は新卒入社で文房具メーカーに10年間務め、内部監査を担当していました。転職のキッカケは、新しい世界に関わり、成長したいと思ったことでした。

そこで、今までとは違う業界を中心に転職先を探しました。応募先のひとつがグリーでしたが、面接官と話をしたときにとても生き生きとしていたことが心に残り、入社を決めました。

そしてグリーでは内部監査の仕事を経て、6年前にセキュリティ部に異動して現在に至ります。

――　実際にグリーに入社してみて、どのように感じられましたか？

高村：私はもともと一緒に仕事をしていたこともあり、セキュリティ部がどういった部門なのか、またどういった働き方をしているのかを知ってたので、働きやすい会社だと認識していました。

ところがいざ入ってみると、想像していた以上に働きやすいと感じました。さらに突出したスキルを持った人がいたりと非常に刺激を受ける会社で、自己成長に繋がる環境があるのだと強く感じさせられました。

山邉：子どもの頃は「サラリーマンはスーツを着て働く」といったイメージを持っていましたが、グリーはそのイメージとはかけ離れた会社で、髪型も服装も自由なことにまず驚きました。

しかし、そうした自由な環境だからこそ自由な発想が生まれるんだろうなと感じましたし、年齢層も自分に近い方々が多く、コミュニケーションが取りやすい会社だと感じました。

奥野：前職は創業100周年を超える企業であり、会社としてのルールも整備されていて、従業員は年配の方々も多くいる環境でした。

一方でグリーは年齢による影響や堅い雰囲気がまったくないものの、事業環境の変化が激しく、はじめは会社の風土の違いに戸惑いも感じました。

しかし、自ら考えて行動して成長することが大切であると考えていたため、そうした環境に飛び込んだことで、結果的に自身の成長に繋がったと実感しています。

写真左からセキュリティ部 高村さん、奥野さん、山邉さん

――　みなさんが所属する各チームがどういった役割を担っているのか教えて下さい。

高村：私が所属するセキュリティ診断チームは、簡単に言うとアプリの脆弱性診断を行うチームです。グリーは主にゲームを開発していますから、それらのゲーム内でどういったチート（不正行為）が行われるのかを調査して、不正行為が発生している箇所に対してどういった対策をとるべきかをプロダクト側と協議しながら進めています。

またいわゆる海賊版がどういう仕組みで行われているのか、自社のタイトルで海賊版が出回ったときにどう対処するか、インシデントが発生したときにどういった中身でどんな情報のやり取りが発生しているのかなどを調査して、技術的支援を行うといったことも担当しています。

奥野：セキュリティ企画チームはセキュリティに関するガバナンス全般を扱っており、大きく分けて3つの取り組みを行っています。1つ目は、会社としてのセキュリティルールを策定し、従業員が遵守するよう周知徹底することです。

そして2つ目は、グリーのセキュリティ対策の実施状況をISMSなど公的な基準に従ってスコアリングすることで他社のスコアと比較し、改善が必要な場合は課題とし解決に取り組むことです。

最後は社外向けの情報発信です。たとえばグリーのセキュリティ活動をまとめた「情報セキュリティ報告書」を毎年公開しています。また、、インターネット事業者合同のイベント「サイバー防災」の取り組みに参画し、サービス利用者のみなさまにセキュリティの大切さを学んでいただくための動画などを提供しています。

山邉：私が所属するセキュリティ推進チームは、社内のセキュリティを推進していくことをミッションとしているチームです。

インシデントが発生しないための仕組み作りを主な業務としています。セキュリティ製品の導入や運用を始め、従業員の教育やサイバー防災訓練の実施など、社内リテラシーの向上にも取り組んでいます。

そして社内でインシデントが発生した際の窓口にもなっており、内容の調査や他部門との調整など、インシデント解決に向けたハンドリングを行っています。

高村さんが所属するセキュリティ診断チームが「ユーザー」を守り、奥野さんが所属するセキュリティ企画チームが「会社」を守り、私が所属するセキュリティ推進チームは「従業員」を守るといった認識をしていただければわかりやすいかと思います。

机上の空論のルールには誰も従わない。事業理解が求められるからこそ、自らの知見も広がって成長していける

――　グリーのセキュリティ部の特徴を教えて下さい。

奥野：セキュリティ領域で言うと技術系とガバナンス系で所属する部門が異なる企業もありますが、グリーではセキュリティに関するチームはすべて同じ部門に所属しています。

そして “厳しく取り締まる” のではなく、「セキュリティの力で事業を支える」というミッションのもと、いかにセキュリティの側面から事業を守り、かつ事業成長を促進させるかという認識で活動しています。

――　技術系とガバナンス系が同じ部門であることのメリットはどういったところにあると感じていますか？

高村：セキュリティ部はグループ会社すべてのセキュリティの窓口になっています。そのため、「とりあえずセキュリティに関することは私たちに相談してください」といったスタンスで、相談内容に応じてどのチームで対応するかをハンドリングしているんですね。

同じ部内に様々なチームがいることで、情報共有も連携もスムーズに行えることは、非常に大きなメリットであると感じています。

また連携と言っても、資料を用意して稟議を上げてといった形式的なやり方ではなく、関係ありそうな人をどんどんチャットグループに追加していったり、出社していれば話しかけたりして、どんどん巻き込んでいくような形で進めています。

奥野：ルールの策定や事業部からの相談対応には、必ず技術的側面を配慮することが必要となります。しかしながら、以前、技術系とガバナンス系が別の部門に所属していたときは、気軽に技術的な相談をすることは難しく、スムーズな連携ができていませんでした。

現在はすべてのチームが同じ部に所属し、定期的にセキュリティ部全員で集まり情報共有するミーティングやチャットグループを活用し、迅速に連携ができる体制となっています。

山邉：エンジニア職とビジネス職が同じ部にいるのは珍しいですよね。以前はフロアまで違ったため、距離感を感じていましたが、今は出社すれば顔を合わせる環境で、すぐに相談できたりと、部としてのまとまりがあります。

たとえばコロナ禍でリモートワークを突如導入するとなったときも、ガバナンス側としてはルールをどうしていくか、技術的にはどういったセキュリティ製品を導入し、どういった仕組みで運用するかを考えなければいけなかったのですが、同じ部内だからこそ即座に連携して調整を進めていくことができました。

――　そんなグリーのセキュリティ部で働くやりがいや楽しさはどういったところにありますか？

山邉：たとえばインシデント対策として、セキュリティ製品を導入するわけですが、ただ導入するだけではダメで、従業員への教育も必要です。それでも防げないイレギュラーな部分は社内ルールを改定したりと、多方面から打ち手を考えなければいけません。

しかしセキュリティ推進チームは、エンジニア職とビジネス職のメンバーの割合が半々。そして違う職種の人たちが同じチームにいることで、システムでセキュリティを守るアイデア、人力で守るアイデアなど様々な打ち手のアイデアが出てくるため、そうした様々な打ち手を組み合わせて進めていくことは非常に楽しい部分だと感じています。

奥野：セキュリティ企画チームは、全社に関わるルールを策定することもあります。たとえば、コロナ禍で急遽リモートワークが導入された際は、急いでルールを策定する必要性に迫られました。その際、ただ厳しくルールをつくってしまうと机上の空論になりがちで、誰も守れないルールになってしまいかねません。現実的なルールをつくる必要があります。

そこで事業部にもヒアリングをしながらルールを策定しましたが、そうした大きく影響するルールづくりは大変でもあり、非常にやりがいを感じるポイントです。

また、セキュリティ企画チームでは、グリーが新しい事業を立ち上げるというときのセキュリティルールの策定も行います。

たとえばマンガ事業がスタートするときは、マンガ事業のセキュリティはどうあるべきかを、事業内容も理解した上で策定していかなければなりません。そのため、部内外の関係者と協議しつつも各自で勉強するので、知見が広がり成長していけることにもやりがいを感じています。

高村：セキュリティ診断チームで言うと、プロダクト側と連携して一緒にゲームをつくり上げていくという楽しさがあります。

特にチートを見つけていく中で、「こんなやり方をする人はいるのだろうか」と思うくらい踏み込んだチートも見つけていき、対応していくのですが、それは私たちだけでなく、ユーザーにも恩恵のある改善。

そうしてユーザーのみなさんに安心して遊んでいただけるものをつくっているということが、とてもやりがいに感じています。

目的がズレていなければ手段は自由。裁量を持ってチャレンジできる環境がグリーのセキュリティ部にはある

――　各チームの責任者として、今後みなさんのチームをどのような組織にしていきたいとお考えですか？

高村：グリーは新しいものが好きな会社で、新しいフレームワークをどんどん取り入れて開発していってます。そのため、セキュリティ診断チームはそうした新しい知識を理解していく必要がありますから、常に技術を追いかけ、成長していくことが求められますし、面白いところでもあります。

そうした環境だからこそ、個々がより技術を身に着け、市場価値を高めていってほしいと思うんですね。そして技術を身に着けていくためには、主体性を持って取り組んでいく姿勢が大切ですから、チームとしてもより個々のやりたいことや好きなことに挑戦できるような組織にしていきたいと考えています。

奥野： “ガバナンスの業務” と聞くと、「つまらない」「地味」というイメージを持つ方もいるかもしれません。しかし現状を把握し、課題を見つけ、解決策を考えるというのはどの業務、どの業界でも必要なことです。セキュリティ企画チームはチームメンバー一人ひとりが、そうした論理的思考、課題発見、解決の力を向上させ業務に活用し、「楽しい」「やりがいがある」と思えるような組織づくりを大切にしています。

山邉：セキュリティ推進チームが担当する業務は非常に幅広く、ひとりでできることは限られています。だからこそ、個々の得意領域をお互いにリスペクトして補完し合い、メンバー全員でチームを底上げしていけるような組織にしていきたいと考えています。

――　そういった組織を目指していく上で、どういったマインドセットの方が向いていると思いますか？

高村：やはり技術の理解があれば、どういった攻撃が起こり得るのか、そしてどういった対策を取るべきかがわかりますから、技術を自ら学んでいける人、学んでいきたい人というのが前提条件としてあります。そのため、開発経験がある方のほうが向いていると思います。

ただ、セキュリティ部に配属になったからと言って、今後のキャリアをセキュリティだけに絞る必要もありません。

セキュリティ部で身につけたことを将来的には開発に活かしたい、運用に活かしたいといったモチベーションでも良いと思っていますし、実際にそのような自身の活躍の場を広げていける環境や制度があるのがグリーです。

そのため、シンプルに「セキュリティって面白いな」と思った方にはぜひ入ってきてほしいですし、どんどん技術を身につけていってほしいと思っています。

奥野：まず、ガバナンスの意義を理解し、やりがいやキャリアとしての魅力を感じられる方がよいと思います。
また、論理的な思考力をもちつつ、状況や背景を汲み取り、現場に寄り添って臨機応変に対応できる方、文章にまとめたり伝えたりするのが好きな方、気負いすぎず人に聞いたりやってみたりする度胸がある方が向いています。

山邉：セキュリティ推進チームはインシデントに対処しつつ、同時に従業員とコミュニケーションを取ることが求められます。そのため、社内のセキュリティ構築が好きで、人に教えるのも好きだという人が向いていると思いますし、実際にメンバーにはそうした人が多く在籍しています。

またインシデントは一種のプロジェクトとして動いていかないといけないため、プロジェクトマネージャーを経験してきた人であれば、その経験を活かせる場が多くあります。

――　最後にみなさんが思うグリーで働くことの魅力、また求職者の方へのメッセージをお願いいたします。

高村：グリーには技術力が突き抜けている人たちが多くいて、そういった優秀なメンバーとコミュニケーションを取りながらプロジェクトを進めていく環境です。そのため、業務の中で学べる機会があるというのはとても魅力だと思いますし、そうした人たちから技術をどんどん盗んでいってほしいと思います。

またキャリアアップの選択肢としてスペシャリスト職、マネジメント職とふたつ道があり、さらには他部門への異動など、自身の可能性を最大限広げられる会社。そうした環境で、ぜひ自身のやりたいこと、好きなことを突き詰めていってください。

奥野：セキュリティ部だけでなく、グリーは自社のことが好きな人が多く、会社を支えるためそれぞれの専門性を活かして働いている会社という印象があります。それは展開している事業への共感はもちろん、働く環境が良いからだと思いますし、私自身グリーでの勤務は11年目となりましたが、これからもグリーを情報セキュリティという面で支えていきたいです。

最近であればDX推進の動きもあったりと、新鮮な環境でチャレンジして、自身を成長させたい方はぜひ一緒にグリーを守っていきましょう。

山邉：セキュリティの仕事をしていると聞くと堅そうな雰囲気のイメージがありますが、実際はそんなことはなくて、とても自由な環境があるのがグリーです。

実際に業務でもセキュリティ推進の一環として、オリジナルのキャラクターをつくって、ステッカーをつくったりしたこともあるのですが、目的がズレていなければ手段は自由で、技術的にも企画的にも裁量を持ってチャレンジできる会社です。

そして情シス部門がセキュリティも担っている会社も多いと思いますが、グリーはセキュリティ部が独立して存在しています。そんな他社では感じられないセキュリティを体験してみたい方、ぜひグリーでいろいろと挑戦していってください。