—— 現在のお仕事内容を教えてください。

プロダクト開発やサービス運営上のリスクを具体的に把握し、予見されるリスクの低減施策を企画、実行するのが主な仕事です。このほかにも、脅威や脆弱性を検知した場合の対応や報告といった実務も担当しています。

—— セキュリティ業務に携わる前は、何をされていましたか？

大学と大学院を通じてカードベース暗号の研究をしていました。カードベース暗号というのは、トランプのような裏向きカードを「見えないデータ」として扱い、シャッフルや並び順で秘密計算を実現する手法のことで、互いの値を明かさず大小比較をしたり、投票結果のみを集計したりする暗号のいちジャンルです。

—— 暗号研究からセキュリティの世界に入られたんですね。

はい。暗号の研究はすごく面白くて、学部から修士にかけて約3年間、熱中しました。カードベース暗号の研究で身につけた知見を社会に生かすとしたら、どんな職業に就くべきか考えたとき、もっともしっくりきたのがセキュリティエンジニアでした。そこで、通信機器で知られるシスコシステムズに入り、セキュリティコンサルティングエンジニアになったんです。

—— 当時はどんな仕事を担当されましたか？

最初は、主にネットワークの異常を検知するNDR（Network Detection and Response）製品のデリバリーを担当し、後半は、仕様要件が厳しい認証基盤の導入支援や、ユーザーがクラウド経由でどこからでも安全にネットワークにアクセスするためのSASE（Secure Access Service Edge）基盤の導入支援などに携わりました。当時の主なお客様は官公庁や大手企業で、難易度の高いセキュリティ対策に携わる機会が多く、技術面と実務遂行面の両方で鍛えられた期間でした。

—— やりがいのありそうな仕事ですが、なぜ転職を考えるようになったのでしょう？

入社2年目にプロジェクトリーダーに抜擢されるなど、とても充実した日々を送っていたのですが、CISO（Chief Information Security Officer）経験者の方と仕事をご一緒する機会があり、その方の振る舞いを見て転職を考えはじめました。

—— 具体的には、何があったのですか？

その方は、技術的な知見の豊富さもさることながら、事業側の視点を踏まえた非常に洗練された提案をされており、「セキュリティを本当に強くするために必要な視点とは何か」を考えるきっかけになりました。私自身も、技術力に加えて、事業会社側の視点や顧客理解の深さも身につけたいと考え、転職を志すようになりました。セキュリティのエキスパートを目指すからには、一度は事業会社のセキュリティ部門を経験すべきだと思ったんです。

—— 事業会社といってもたくさんあります。なぜユーザベースだったのですか？

ユーザベースは、コーポレートITに関する情報発信が盛んで、外からでも取り組みの背景を理解しやすかった点が印象的でした。Security Architectの役割や期待値が、自分のこれまでの経験とこれから伸ばしたい領域の双方と重なっていたことが大きな決め手になりました。あわせて、ユーザベースには多様な事業やプロダクトがあり、セキュリティに関する課題も幅広いことから、実務の幅を広げられる環境だと感じました。この会社なら、自分の専門性を活かしつつ次のステップに進む経験が積めると思い、入社を決めました。

—— 高島さんは、ユーザベースのどんなところにカルチャーフィットを感じましたか？

当時、私が目指していたのは、経営や事業戦略、費用対効果、現場の状況などを踏まえて総合的にセキュリティ戦略を打ち出せるエキスパートです。面接でのセキュリティメンバーとの会話や、公開されているインタビュー記事などでも「世の中でよしとされているから」ではなく「自分たちにとって必要だから」選ぶというスタンスが感じられ、カルチャーフィットするだろうと感じました。また、ユーザベースのThe 7 Valuesには、自分が大切にしてきた価値観と重なる部分が多く、納得感を持って入社を決めました。

—— 入社して、どんなことに挑戦してきましたか？

プロダクトチームとセキュリティチームが一体となって、効果的な施策やインシデントへの迅速な対応を実現する体制づくりです。プロダクトチームとセキュリティチームのエンジニアたちが集まる月例報告会を通じて、セキュリティの知見や情報を共有し合ったり、検知しているアラートや脆弱性のトリアージ対応状況を一元化したセキュリティダッシュボードを構築、運用したりするなど、基盤となる仕組みを整えてきました。

—— なぜ、プロダクトチームとの連動が必要なのでしょう？

プロダクトは事業の中核であり、同時に扱う情報も多様です。とくにユーザベースは秘匿性の高い情報を扱う機会も多く、事業の様態もさまざまです。守りを固めるのは大事ですが、プロダクト開発に携わるみなさんの手足を縛ってしまってはいいプロダクトは生み出せませんし、事業成長も望めません。プロダクトチームとセキュリティチームが目線を合わせて協調することで、ユーザベースにとって本当に効果的なセキュリティが実現できると考えています。

—— ほかにはどんな取り組みを？

主だったところだと、コーポレートセキュリティとしてのアラート対応体制の整備・運営や、セキュリティの国際標準であるISMS/ISO27001の認証更新に取り組みました。後者の仕事は本来、Security Divisionの別チームが担当する領域なのですが、体系的な運用プロセスを理解したいと考え、手を挙げて担当させてもらったんです。実はつい先日、審査通過の知らせが届いてうれしかったですね。チャレンジしてよかったと思います。

—— 結果が出てよかったですね。改めてコーポレートセキュリティに携わった感想を聞かせてもらえますか？

当事者としてセキュリティに携わるようになり、ユーザベースにとってどんな状態が「ちゃんとしている」といえるのか、また「そのちゃんとした状態はどうやって実現するべきか」について、事業やカルチャーを踏まえて考えるようになったのは、コーポレートセキュリティらしい捉え方だなと感じます。皆でそのような会話ができているので、このチームに入れて良かったと思います。

—— 職場環境についてはどんな印象がありますか？

入社前から聞いてはいましたが、実際に働いてみてもオープンコミュニケーションが徹底されている印象がありますね。セキュリティに関する話題についてはもちろん、何事においてもフラットに会話できるので、自由に意見を表明できますし、率直なフィードバックを受けてより良い活動もできます。組織として本質的な営みを志しているので、自分の思想と非常にマッチしています。

—— 入社して戸惑ったことはありますか？

実は前職にいたころ、自分はプロジェクトマネジメントが得意だという自負があったのですが、ユーザベースに来て、事業会社におけるプロジェクトマネジメントは、前職とは前提やゴールの置き方が大きく異なることを実感しました。

—— と、いいますと？

プロジェクトより大きな単位である、ポートフォリオやプログラムのマネジメントを学び、求められているのが「成果物」ではなく「成果」であることを理解できたのが大きかったです。また、組織は一つの生命体のように連動しているため、関係者と丁寧に対話しながら進める重要性も実感しました。ウォーターフォール中心の経験にアジャイル的な要素を取り込み、状況に合わせて進め方をデザインできるようになったことは、大きな転換点でした。

—— なるほど。コーポレートセキュリティの本質に触れたのかも知れませんね。ユーザベースのセキュリティを支える立場として、今後の目標を聞かせてもらえますか？

プロダクトやチームごとに適切な形でセキュリティが機能し、その状態が持続可能であることを目指しています。そのためには対策を増やすのではなく、判断の基準やプロセスを整え、負担を最小限にしながら強度を確保することが大切です。事業環境の変化を前提に、ユーザベースにとっての「適切なセキュリティ」を定義し続け、その価値観を“哲学”として共有できるレベルにまで育てていきたいと考えています。

—— ありがとうございます。では最後に読者のみなさんにメッセージをお願いします。

ユーザベースでは、特定の役割に閉じず、組織やプロダクトをより良い状態にしていく取り組みに主体的に関われるのが魅力です。コーポレートセキュリティも領域が広く、異なる強みを持つメンバーが協力しながら仕組みをつくっています。課題を自分ごととして捉え、意味や目的を共有しながら前進できる方とご一緒できればと思います。一緒にユーザベースのセキュリティをより確かなものにしていきましょう。