1
/
5

「安全・安心」な仕組みの構築で、信頼獲得と事業成長に寄与する──カオナビのセキュリティへの取り組み


Contents

  • セキュリティに積極投資するカオナビの環境で、セキュリティの専門性を高めたいと入社
  • 事業成長に伴い、さらなる「安全安心」を届けるための攻めと守りの施策
  • 日々進化する生成AIへのガイドラインも刷新。最適なセキュリティ体制の構築に向けての取り組み
  • 事業成長に寄与する、幅広いセキュリティ領域を経験できる仕事の魅力

マルチプロダクト戦略を推進し、2024年に2つの新プロダクトをリリースしたカオナビ。さらなる事業成長を見据え、コーポレートからプロダクトまでの全領域をカバーするセキュリティガバナンス体制の構築が、ますます重要になっています。

昨今、AIや新技術が次々と生まれる中で、いかに「安全・安心」なサービス提供を実現し、事業を支えるか。この問いに向き合うのが、情報セキュリティグループです。

今回は、SIerでのエンジニア経験を経て、セキュリティ専門家としてのキャリアを歩んできた情報セキュリティグループマネージャーの太田 健介さんにインタビュー。カオナビのセキュリティ体制構築への挑戦や、「攻め」と「守り」両面からの取り組みについて話を聞きました。

Interviewee

コーポレート本部 情報セキュリティグループ マネージャー
太田 健介
SIer企業にて認証製品の開発・導入の経験を経て、暗号資産取引所にて全社セキュリティ関連業務に従事。執行役員直下でセキュリティチームを牽引。2022年、2023年のAWSセキュリティイベントではスピーカー登壇。2024年にカオナビに入社し、コーポレート、プロダクト両方の情報及びサイバーセキュリティリスク対策や他関連業務を推進。

セキュリティに積極投資するカオナビの環境で、セキュリティの専門性を高めたいと入社

──これまでのキャリアについて教えてください。

太田
新卒でSIerに入社し、10年以上、ID管理・認証認可ソリューションの開発・導入に携わってきました。最初はエンジニアの役割から、年次を重ねるにつれ、プロジェクトマネージャーの役割へとシフトしていき、自分はどの領域でキャリアを深めていきたいかを自然と考えるようになります。

太田
そして、「セキュリティ」に軸足を置こうと決めて転職したのが、暗号資産取引所を運営する会社でした。法令がまだ整備途上の最先端な領域で、攻撃を受けるリスクも非常に高く、セキュリティの担当者として最も多くの経験を積めそうな環境だと考えたからです。

──そもそも、なぜ「セキュリティ」をキャリアの軸足に据えようと考えたのでしょうか?

太田
新しいことへの知的好奇心が一番の理由です。セキュリティの領域は、とくにトレンドの移り変わりや技術発展のスピードが速く、常に適応する姿勢が求められます。そういった点が自分に合っていると感じました。それから、今後のキャリアにおいて自分はスペシャリストとしての経験を積んでいきたかったという理由もあります。

転職した2社目では、組織が50名から150名規模へと成長する中で、最終的に執行役員直下で全社のセキュリティを管轄するポジションを担当しました。事業推進とセキュリティのバランスを見極めつつ、どのような対策が必要なのか、最適な意思決定と実行を求められる経験は、非常に貴重でしたね。

──セキュリティ担当者としてキャリアを積んでいた中、カオナビへの入社を決めた理由は何でしたか?

太田
事業会社におけるセキュリティの経験が一通り積めたので、次は全社のセキュリティ責任者のポジションに挑戦したいと考えていました。その中で出会ったのが、カオナビです。

太田
入社の決め手になった理由の一つは、これまで以上に全方位でセキュリティに携われる点です。「カオナビ」は、すでに多くのユーザーを抱えています。マルチプロダクト化をはじめ、さらなる事業成長を目指す中で、セキュリティ投資に力を入れていく姿勢が伝わってきました。

もう一つ魅力に感じたのが、フレキシブルな働き方が叶う点です。スイッチワークやスーパーフレックスなどの制度が充実しており、自分の希望する仕事スタイルにマッチすると感じました。こうしたカオナビの環境で、コーポレートおよびプロダクトのセキュリティ体制構築に取り組みたいと考えたんです。

事業成長に伴い、さらなる「安全安心」を届けるための攻めと守りの施策

──入社後、全社を取り巻く情報セキュリティの状況をどのように捉えていましたか?

太田
振り返ると、非常に環境変化が大きかったと思います。まずは、2023年下期に子会社で発生したインシデントに最優先で対応しました。

事業の面ではマルチプロダクト戦略が進み、2024年4月に「ヨジツティクス」、7月に「ロウムメイト」を新たにリリースしています。新プロダクトのセキュリティ体制を整備するため、ISO27017の認証更新においても対応範囲を拡大し、開発チームとの連携を深めていきました。

太田
こうした新たな試み以外に、もちろん日常業務も回していかなければいけません。私を含めてグループメンバーの入れ替わりもあったため、これを機に既存業務のプロセス見直しや改善活動にも取り組みました。事業や組織の成長に伴い、自分たちに求められる範囲がどんどん広がっていった1年でしたね。

──非常に激しい環境変化に向き合う中で、情報セキュリティグループではどのようなミッションを掲げているか、改めて教えてください。

太田
私たちのグループでは「安全安心なデータプラットフォームの実現」を掲げています。ミッション達成のためには、守りと攻め、両軸の取り組みが重要だと考えています。

守りの面では、セキュリティという側面からリスクの特定・排除・被害の最小化など事業を安全に運営していくための施策を。攻めの面では、セキュリティ活動・体制を対外的にアピールすることに注力しています。お客様に「安全」なプロダクトだと信頼していただき、「安心」してご利用いただくことが、事業への貢献にもつながると考えています。

また、新しいトレンドや技術が出てきた際、カオナビ社内で何をどこまで取り扱ってよいかのルールづくりも重要です。「ここまでならOK」のラインをわかりやすく周知できれば、各現場でも導入の可否や方法についての意思決定スピードが早まります。

加速する事業成長を止めず、社内のメンバーがプロダクトの開発や提供に集中できる環境を整えることも、セキュリティ担当としてできる「攻め」の施策だと考えています。

日々進化する生成AIへのガイドラインも刷新。最適なセキュリティ体制の構築に向けての取り組み

──入社後、具体的にどのような整備を進めてこられたのでしょうか?

太田
社内外に最もインパクトのあった取り組みは、生成AIの社内ガイドライン刷新だったと思います。

2024年9月に「カオナビ」で、AIによるアンケート集計支援機能「インサイトファインダー」をリリースしました。その裏側では、生成AIという新しい技術を安全・安心に取り入れるためのルールづくりを進めていました。私が入社する前からAIに関するガイドラインは存在していましたが、日々急激に進化している領域のため、現状に合わせてアップデートしたのです。

次に、プロダクトのセキュリティリスク評価手法を確立し、導入しました。プロダクトのセキュリティ対策について、何をどこまで施すべきかの基準が明確になっていなかった部分も一部あったんです。サイバーセキュリティの国際的ガイドライン「CIS Controls」などを参照しつつ、自社に合わせたリスク評価をして、改めて線引きを示しました。

また、社内でのマルウェア感染などアラートが上がった際の対応プロセスの整備も行いました。インシデント対応の知見を言語化し、具体的な手順として落とし込むことで、最悪の事態でも被害を最小化できる体制を整えました。

──セキュリティ体制を整える中では、いかに事業の成長スピードを保ちながら、適切な対策を行っていくかのバランスが難しい側面もあると思います。その点はどのように向き合っていますか?

太田
バランスを取る上で意識しているのは、「ルールは、できる限り最小限に、シンプルにすること」です。

リスクは備えるに越したことはないものの、過剰なルール設定や、反対に「取り扱いについては都度相談してください」といった曖昧な運用にしてしまうと、事業のスピードを落としかねません。さらに、各部門のメンバーに、担当業務の専門知識に加えて「たくさんのセキュリティルールを常にすべて把握しておいてほしい」と求めるのは、現実的に難しい部分もあります。

ルールを作るのはある意味簡単ですが、それは私たち情報セキュリティ担当者が楽なだけです。メールフィルターや情報漏洩防止対策をした端末配布など、個人の判断に依存しない仕組みでリスクを防ぐことを重視しています。

──「個人の判断に依存しない」仕組みとは、具体的にどのようなものでしょうか?

太田
一つは、先ほどお話ししたメールフィルターのような技術的な対策です。それに加えて、わかりやすいガイドラインの策定もその1つと捉えています。例えば、「絶対に守らなければいけないライン」「できたらやってほしいこと」を具体的な行動ベースで示したり、専門用語や法律の文章をそのまま引用するのではなく、図や表を作成したり。

太田
ほかにも、ガイドラインを作るにあたっては、2つの観点から情報収集を行い、最適な形で落とし込めるようにしています。

まずは、外部情報の収集です。情報セキュリティグループでは、ニュースや流行している攻撃手法を常にチェックし「自社にとってもリスクになり得るか」を判断しています。また、他社製品のセキュリティ対策についても、なるべく把握することを心がけています。

もう一つは、社内の業務理解です。各部門がどのような業務をどのようなフローで行っているのか理解できると、新たな施策を導入するときの影響が想像しやすくなります。情報セキュリティグループ側で運用イメージを見立てた上で、「このような運用を考えているが、実態の業務に沿っていますか?」と、現場へ聞きに行く機会を積極的に設けるようにしました。

何よりも大切にしているのは、「ルールだから禁止」と思考停止するのではなく、セキュリティとして守るべきラインは押さえつつ「どうすれば実現できるか」を事業部と一緒に考える姿勢です。

事業成長に寄与する、幅広いセキュリティ領域を経験できる仕事の魅力

──カオナビで働く魅力はどのような点にありますか?

太田
私が魅力的に感じている点は、大きく2つあります。一つは成長フェーズの事業運営に、セキュリティの観点から関われることです。セキュリティ体制は一通り整っているので、いわゆる「マイナスをゼロにする」大変さはあまり感じません。一方で、新プロダクトのローンチをはじめ、新規事業立ち上げにも携わる機会が多いんです。安定した基盤の中で、変化に対応しながらセキュリティ対策を考え進めていけるのが楽しいですね。

もう一つは、カオナビが持つカルチャーです。セキュリティ側の意見もしっかり受け止めてもらえる環境があるので、部門間の摩擦が驚くほど少ないと感じます。法務など、横の連携も非常に取りやすいので、必要なときにすぐ社内の専門家に相談できて心強いです。セキュリティは開発や法務など関連領域が多いため、この連携のしやすさは大きな強みだと感じています。

──なぜ、そのような環境がカオナビにはあると思いますか?

太田
カオナビの事業特性や、企業理念の浸透が背景にあるかもしれません。私たちが提供するプロダクトの導入担当者はバックオフィスに所属する方々であることが多いです。そのため、社内でも私たちコーポレート本部の考えに理解があり、尊重してくれているのではないでしょうか。

また、私たちはタレントマネジメントの推進をはじめとして「個」の力を活かせる社会の実現を目指しています。そのためには、異なる立場の相手のことを理解し、協働する姿勢が欠かせません。だからか、建設的なコミュニケーションを取るカルチャーが自然と根付いているように思います。声が大きい人の意見だけが一方的に通るのではなく、対話を通じてお互いの意見を交換しやすく、それが働きやすさにつながっていると感じています。

──今後、情報セキュリティグループとして挑戦したいこと、整備していきたいことがあればお聞かせください。

太田
目指すのは、情報セキュリティマネジメント業務のシンプルな運用体制の実現です。また、今後さらにプロダクトが増えても対応できるよう、知見や判断ロジックを言語化し、情報セキュリティグループの特定の誰かに依存しない仕組みを整えていきたいです。

また、セキュリティリスクの監視体制も強化したいと考えています。今までは人の目で見る部分も多くありましたが、プロダクト増加に伴い、より効率的な監視の仕組みが必要です。

それから、個人的に高い関心を持っているのが、プロダクトのセキュリティに関わる領域です。社内の状況をキャッチアップして、機能開発や、新たな施策の構想段階から一緒にセキュリティ対策を考える体制を整えていくことで、ユーザーにもより安全・安心なプロダクトを届けていきたいです。

──最後に、情報セキュリティグループが求める人物像について教えてください。

太田
セキュリティの領域で専門性を高めたいと考えている方に来ていただけるとうれしいです。私自身、専門家としてのさらなる成長を目指してカオナビに入社し、実際に、SaaS事業者の全方位的なセキュリティ整備ができることを自身のコアスキルとして確立できたと思います。

現在グループに所属するメンバーは、コンサルティング業界出身者や、私と同じくSIerでのエンジニア経験者など、バックグラウンドも多様です。ベンダーで特定技術分野を担当していたけれど、もっと事業に絡んだ幅広い領域を経験したい方には、今のカオナビは非常におもしろい環境だと思います。技術の追求だけではなく、事業やより幅広いセキュリティに興味がある方と、ぜひ一緒に働けたらと思います。

▼その他インタビューをご覧になりたい方はこちら
kaonavi vivivi(カオナビの「人」と「組織」が見えるメディア)


Invitation from 株式会社カオナビ
If this story triggered your interest, have a chat with the team?
株式会社カオナビ's job postings
2 Likes
2 Likes

Weekly ranking

Show other rankings
Like カオナビ 採用担当's Story
Let カオナビ 採用担当's company know you're interested in their content