セキュリティガバナンスを強化し、すべての社員が安全に作業できるIT環境の実現を
ITセキュリティ
エンタープライズサイバーセキュリティガバナンスは、サイバーセキュリティのリスクを管理する部署。サイバー攻撃や情報漏洩に対するオリンパスのセキュリティ体制の強化を担っています。基幹システムや業務アプリケーション、コミュニケーションツールなどを安全に使用するために、私たちが出した要求事項に基づいて、社内のIT部門がセキュリティ機能を実装する、という役割分担で業務を進めています。
たとえば、シンプルかつ強力な多要素認証の推進など、すべての社員が特段意識しなくても安全に使えるIT環境の整備をサポートしていくことが私たちの役目だと考えています。中でも私は今、IT資産管理、多要素認証、SEIM、SOC、インシデントレスポンスの強化など、大規模なグローバルITセキュリティプロジェクトをサポートしています。
普段から海外のリージョンとやりとりする機会が多く、チームには外国人のメンバーも在籍するなどグローバルな環境があります。
セキュリティやITのバックグラウンドを持つメンバーが多く、とくにキャリア採用に限って言えば、「セキュリティ プロフェッショナル認定資格制度(CISSP)」や「公認情報セキュリティマネージャー(CISM)」の資格保有者がほとんどです。いわゆるセキュリティのプロ集団ですが、和気あいあいとした雰囲気があって仕事はしやすいと感じています。
高校卒業後、実はミュージシャンをめざして上京し、音楽活動をしていたのですが、そのかたわら生活のために始めたのがサポートデスク業務。OSのトラブル対応などの仕事に就いたことが、ITの世界に足を踏み入れたきっかけでした。
その後、個人事業主を経て2005年にシステム運用・保守の会社を設立。上場企業からSOHOまでさまざまな規模の企業から情報システム業務のアウトソースを請け負っていました。
当時、業務を請け負っていたある会社が情報システム機能を内製化することになったタイミングで社員としてのオファーをいただき、当時経営していた会社を現社長に譲渡し、2007年にその企業に入社しました。
入社後は、サーバーやネットワーク機器の保守、ユーザーサポートなどのほか、ERP(SAPなど)、グループウェア(Cybouz、Workflowなど)導入プロジェクトを担当。その後、2011年にオリンパスのグループ会社となったため、そちらに転籍しました。
当時オリンパスの主要システムだったNOTESをグループへ展開、動物医療遠隔診療のインフラ構築、物流システムリプレイスなどを担当。2014年にオリンパス本体に転籍となり、現在に至っています。
たとえば資料をつくる際、自分がどれほど頑張ったかを伝えたいがために多くの情報を詰め込みすぎてしまうと、要点の見えない煩雑な内容となってしまいますよね。そうならないためにも「Think Simple, Simple is best!」をモットーに、大事な部分だけをシンプルに伝えるよう心がけています。
また、「本質を見誤らない」ことも意識しています。情報セキュリティをはじめとするバックオフィスでは、それが本質的に必要な業務なのかがわかりにくい場合があります。そんな場合でも、経営方針や目標に照らし合わせながら、本当にそれをやるべきかどうかを常に自問するようにしています。
そして、相手の立場を理解し、きちんと話を聞くことも大切。たとえば、現在取り組んでいるITセキュリティプロジェクトでは、私たちはセキュリティを統括する立場であって、実装する立場ではありません。スムーズに仕事を進める上では、実装担当のIT部門との間で、ガバナンス側/オペレーション側と職務分掌を明確にし、お互いの立場を尊重し合うことがとても重要だと感じています。
数年前、海外の拠点がサイバー攻撃により、社内のシステムだけでなく、社外むけのサービスまで止まってしまうという大きな問題に発展したことがありました。そのときに感じたのは、当社のサイバーレジリエンスがまだまだ発展途上であるということ。軽度のものからクライシスレベルのものまでインシデントレスポンス力を高めるなど、体制の整備や強化が急務だと感じました。
オリンパスは今過渡期を迎えており、伝統的な日本企業からグローバルメドテックカンパニーへと変革するプロセスに立ち会える環境があります。入社当初はグローバルを意識する場面はありませんでしたが、今は規程整備ひとつを取っても、グローバル共通(とくにハイレベルでは)での検討が欠かせません。グローバルセキュリティシステムの構築など、グローバルで通用するスキルの習得が自身の市場価値の向上につながっていて、大きなやりがいを感じていますね。
また、情報セキュリティには正解がありません。NIST(National Institute of Standards and Technology/アメリカ国立標準技術研究所)のサイバーセキュリティフレームワークをはじめさまざまなフレームワークはあるものの、なかなか教科書通りにはいかないのが現実です。
難しいと感じる反面、たとえば「社内のこの部署にはこのフレームワークの機能を与えてみよう」とか、「このRACI(プロジェクト管理で用いられる、作業の責任と役割を明確にするためのフレームワーク)はこうしてみよう」とか、自分たちの裁量でドラフトを描いて取り組めるところに情報セキュリティ特有のおもしろさがあります。
以前、日本ではうまく機能していたフレームワークが、業務のテリトリーが厳密で人事制度も異なる海外では通用せず、各拠点に合わせて調整しながら別のアプローチを試みたことがありました。また、時差の問題を克服するために、CSIRT(Computer Security Incident Response Team)を各リージョンに分割したことも。グローバルに適したカタチを模索しながら、日々の業務に取り組んでいます。
会社を経営していたころと比べて、いつも身近に仲間がいること、チームで力を合わせて目標に向かっていけるところに魅力を感じています。以前、どう対応してよいかわからない仕事の依頼があったとき、社員のひとりが、「とりあえず進もう」と言って動き出してくれたおかげで周囲のメンバーにもモチベーションが波及し、チーム全体にエンジンがかかったことがありました。オリンパスには、そうやって組織の原動力になるようなメンバーがあちこちにいると思います。
失敗を恐れずに挑戦することを後押しする文化が社内に浸透してきている点も、当社の魅力のひとつですね。
昨今は工場などのセキュリティ対策も注目を集めていますが、その重要性が認知されるようになった今も、手つかずのまま対策を講じていない企業が少なくありません。製造業を担うオリンパスで工場のセキュリティ対策に関するスキルやナレッジを蓄積し、いずれはセキュリティコンサルタントのような立場で社外からも頼られるような存在になれればと考えています。
また、当社の製品にセキュリティ上の誤動作を起こさせないこともわれわれの部門の責務です。安全で安心な医療機器を世の中に送り出し続けるために、組織の一員として貢献できるようこれからも全力で取り組んでいくつもりです。
※ 取材内容は2023年7月時点のものです
