ユーザベースが手がけるさまざまなサービスの背後には、これらを支えるプロフェッショナルたちの存在があります。そんな彼、彼女たちはどのような思いでユーザベースに加わり、日々の業務にあたっているのでしょうか。このシリーズではユーザベースのコーポレートITと情報セキュリティ組織で働くエンジニアたちに焦点を当て、外からは窺い知れない仕事の舞台裏をご紹介します。今回登場するのはインフラエンジニア、社内SEを経験後、ユーザベースに入社しSecurity Architectに転じた、当真彰吾です。
Security Division Security Tech Team
Security Architect
当真 彰吾
新卒で金融系SIerに入社。会社からの要請で開発部門への配属から1週間でインフラ部門に異動。以来、約10年にわたり、顧客向けにオンプレ環境から仮想化サーバへのマイグレーションプロジェクトや、ID基盤やコミュニケーション基盤、ポータル基盤の導入プロジェクトなどに携わる。その後、不動産テック、大手飲食チェーン、顔認証AIスタートアップの社内SEを経て、2024年4月、ユーザベースに入社。現在は社内システムの安全な運用を支えるSecurity Architectとして、CSPMの全社展開を目指し準備を進める。
# 私が貫く仕事の流儀
ユーザベースが掲げる「レジリエンス重視」のガバナンス・セキュリティ体制をより確かなものとするため、CSPM(Cloud Security Posture Management)の導入に注力。現場の自由と創造性を守りながらも、堅牢かつ機動性に優れたセキュリティ環境の実現を目指し日々奮闘する。
インフラエンジニアから社内SEを経てSecurity Architectへ。転身の背景とは?
—— 当真さんはSecurity Architectだそうですね。どんな仕事なのでしょうか。
まず私が所属している「Corporate Company IT Domain Security Division」には、大きく「Security Talent Team」と「Security Tech Team」があります。私は後者のSecurity Tech Teamに所属するSecurity Architectとして、セキュリティ関連のシステムの導入や移行に伴う要件定義、導入計画の立案、運用設計のほか、関係各所との調整やセキュリティの観点からの助言などを担当しています。システムの安全な運用を脅かす可能性がある課題に対して、技術的にどう対処すべきかを考え、実現に導くのが私の仕事です。
—— どんな方々と一緒に仕事をする機会が多いですか?
同じ部署のSecurity Talent Team以外ですと、同じDomainのITオペレーションを担うチームや、スピーダやNewsPicksのプロダクトチームの人たちと関わることが多いですね。月次の定例会では、セキュリティ事案に関する情報共有や継続案件の進捗報告、追加施策の説明のほか、既存システムの改善や将来導入を計画しているシステムの仕様に反映するため、定期的に現場の困りごとや要望をヒアリングするなど、常日頃からコミュニケーションを図っています。
—— 施策と現場のギャップを埋めるお仕事なんですね。
その通りです。全社的なガバナンスやセキュリティ施策全般を取りまとめるSecurity Talent Teamと協力しながら、ユーザベース全体のセキュリティ対策を底上げしつつ、現場に施策を浸透させるのが私たちの使命です。こうした取り組みのほかにも、年間スケジュールに則った各プロジェクトの進捗管理やシステム監査への対応、さらに最近巷を賑わせているセキュリティインシデントについての情報収集などを通じて、施策の改善に努めています。
—— ところで、当真さんはそもそもどうしてエンジニアになろうと思われたのですか?
大学の一般教養課程でプログラミングを学んだことがきっかけでこの道に入りました。卒業後、金融系SIerの開発部門に採用されたのですが、配属からわずか1週間後、人手不足を理由にインフラ部門へ異動することに。当時は戸惑いましたが、おそらく新しもの好きの性格がよかったのでしょうね。次第にインフラ構築にやりがいを感じるようになりました。異動したからといってプログラミング経験が腐るわけじゃありませんし、むしろ役立つことのほうが多いくらいでした。
—— ご経歴を拝見すると、ユーザベースは5社目になるんですね。
はい。2009年に新卒入社した金融系SIerでは、主に顧客向けにオンプレ環境から仮想化サーバへのマイグレーション、ID基盤やコミュニケーション基盤、ポータル基盤の導入など、仮想化後のインフラ構築を丸ごと請け負う仕事を担当しました。その後、不動産テック、大手飲食チェーン、顔認証AIスタートアップの情報システム部門を経て、ユーザベースに入ったのは2024年4月のことです。
—— セキュリティのプロになろうと思ったのはいつごろですか?
そもそもセキュリティ対策に厳しい金融系SIerにいましたし、不動産テック時代にフォレンジック対応を迫られたことがあったので、セキュリティについて意識は少なからずありました。しかしながら、当時は新しい技術や仕組みを組織に導入するのに夢中で、セキュリティを自分の強みにしようという意識は乏しかったように思います。ただ、その後入社した顔認証AIスタートアップで、ガバナンスやセキュリティの学びを深めるうちに、少しずつ重要性に気づき、興味を抱くようになりました。
レジリエンス重視の「攻め」のセキュリティ方針に惹かれ、入社を決断
—— そんな当真さんは、どうしてユーザベースに入ろうと思われたのですか?
たまたまガバナンスやセキュリティについての知識を深めたいと思っていたタイミングで、人材エージェント経由でカジュアル面談の誘いが届いたので、軽い気持ちで受けたのがきっかけでした。実は当時、それほど転職したいとは思っていなかったんです。
—— そうだったんですね。カジュアル面談の印象はいかがでしたか?
ユーザベースのCIOとCISOを兼務している王(佳一)さんと話したのですが、これまで自分が携わってきたセキュリティの考え方から一歩も二歩も進んだ指針や施策についての説明を受け、非常に興味をそそられました。
—— どんな点に感銘を受けたのでしょう?
セキュリティというと、どうしても厳しいルールで現場を縛りがちです。そのほうが管理しやすいですからね。でもユーザベースは違います。現場の手足を縛って「鉄壁の守りを固める」のではなく、現場の自由を確保しながら「起こってしまった事象に迅速に対処できる準備を整える」という方針のもと、さまざまな先進的な施策を打ち出していたのです。いうなれば「レジリエンス重視」のガバナンスですね。当時私は、親会社が定めた「守り」一辺倒のセキュリティ対策に少し疑問を感じていたので、王さんの話はとても刺さりました。
—— 「攻めのセキュリティ」を貫く姿勢が、当真さんの琴線に触れたわけですね。
はい。どんなに対策を重ねたところで必ず隙はできるもの。100%守りきれる防御策はありません。それより不測の事態が起こってもいち早く対応できるよう、十分な対策を練っておくほうが現実的だと感じました。しかもそれを遠い未来の夢物語としてではなく、すでに着々と既存のシステムに反映している。そんな点にも興味を惹かれました。
—— どうやって実現しているか知りたかったのですね。
ええ。ユーザベースは自社の価値観として「自由」や「創造性」「スピード」を掲げる会社です。いずれの価値観も「規律」を重んじるガバナンスやセキュリティとは相容れない関係にあります。どうやって折り合いをつけているのか、詳しく知りたいと思いましたし、ユーザベースで体験したいと思わずにはいられませんでした。
—— それが入社の決め手に?
もうひとつ、一次面接でいまの上司にあたる白石(憲昭)さんとお話しできたのは大きかったですね。白石さんはとてもクールな方とお見受けしたのですが、話してみるととてもオープンで、チームが抱える課題やこれからのことについて詳しく話してもらえました。その上で、私にとって「どんな状態がベストか」「どうなりたいか」と、とても丁寧に質問してくれ、素直に「こんな人と一緒に働きたい」と感じたのもユーザベースを選んだ理由のひとつです。
セキュリティ環境の高度化を目指し挑む、CSPMの導入
—— 当真さんにとって「入社後のチャレンジ」というとどんな取り組みが思い当たりますか?
まさにいま担当しているCSPMの導入を成功させることが、私にとって大きなチャレンジです。
—— 詳しく教えてください。「CSPM」とは何でしょう?
CSPMは、Cloud Security Posture Managementの略で、ひと言でいうとクラウド環境の「態勢管理」の仕組みを指します。ユーザベースではAWSやGCPなど、複数のクラウドサービスを利用しており、その用途は多岐にわたります。サービス間の連携も複雑化しており、新たな機能が続々とリリースされるなか、クラウド環境の設定漏れやミスがあらぬ問題を引き起こす可能性を見過ごすわけにはいきません。情報漏洩や外部からの侵入リスクを事前に検知して、迅速に対応するにはどういう運用が適切なのか、現場のみなさんと相談しながら CSPM の導入に向けた検証を進めています。
—— このプロジェクトで大変な点は?
たとえば、セキュリティの異常を自動検知するCSPM上のアラート設定があります。問題は1700項目あるさまざまなアラートが上がった後の対処です。誰にどのようなプロセスで連絡が回り、それぞれが何をすべきかを決め、正しく対処できなければせっかくのアラートも意味をなしません。また、将来的に組織体制が変わる可能性もありますし、担当者の異動や退職もあり得ます。こうした要素をすべて踏まえて適切なプロセスを設計するのはかなり難易度が高く神経を使います。
—— 考え抜いた「理想的なプロセス」が現場の状況に合わないこともありそうですね。
その通りです。先ほど自由と規律の関係についてお話しましたが、安心・安全を追求するための仕組みやプロセスが現場の自由を奪うようでは本末転倒ですし、かといって現場の自由を楯に、ガバナンスやセキュリティを疎かにするのも違うでしょう。設計したプロセスが本当に現場で回るよう、実態に即してカスタマイズするのは一筋縄ではいきません。
—— セキュリティのプロとして、どうやって解決しますか?
そこは泥臭く関係者と密にコミュニケーションを図りながら、現実的な落としどころを見つけるしかないでしょうね。ただ、私が入社するまでにいくつかの施策が形になっているので、それらを踏まえて問題点を洗い出し、対策を練り上げ、2024年10月以降は全社展開を進める計画でいま細かな調整に取り組んでいます。
—— 一般的にセキュリティに携わる人たちは、平時には目立たず、インシデントが起こると矢面に立たされがちです。当真さんはこの仕事のどこにやりがいを感じますか?
確かに売上目標のように定量化できる要素が少ない仕事なので、人によってはやりがいを感じにくいかもしれません。そもそも、あらかじめ準備していた対策が功を奏するようなインシデントを招かないことがベストなのでなおさらです。私がやりがいを感じるのは、炎上案件の火消しのような武勇伝ではなく、何が起こっても適切に対応できると胸を張れる状態を維持し、セキュリティ目線で従業員の皆さんの業務に貢献すること。こうした営みそのものにやりがいと使命感を感じて仕事に取り組んでいます。それがセキュリティのプロとしてのこだわりです。
—— 最後に、これからの目標を聞かせてください。
いま取り組んでいるCSPMの全社展開を成し遂げたら、たとえば、生成AIを使って、日々生み出される膨大なログを自動的に解析するなどして、潜在的な問題を検知するような仕組みを実装するような、先進的な取り組みにチャレンジしたいと思っています。実は入社面接の際に「普段あまり表に出ることがないセキュリティ対策の効果を見える化するような施策に取り組みたい」とお話しました。こうした施策を通じて、レジリエンス重視のガバナンス、セキュリティ体制をより確かなものにしたいですね。ユーザベースは社員のチャレンジに前向きな会社。きっとやれると信じています。