学生時代～入社まで

大学と大学院では電気電子工学を専攻していました。通信に関係する研究室に所属しており、私はクレーンメーカーと協同で、クレーンのワイヤーを使って電力と情報を同時に伝送する研究を行っていました。研究は自分一人だけでは完結しません。自分の考えやその結果を他者と共有するという活動を通して、仮説を立ててPDCAサイクルを回すことの重要性を学びました。
学業以外では、硬式テニス、バドミントン、農業といった複数のサークルや学生団体に所属していました。新しい人と出会うと、新しい発見や新たな挑戦の機会を得ることができます。そのため、いろいろなコミュニティや活動に積極的に参加していました。

思い出深い仕事は、「ゼロトラスト」と呼ばれる、これまでとまったく異なる考え方で設計された環境への移行を目指した、大規模な端末やネットワークの更改プロジェクトです。私はセキュリティ担当として様々な面から携わりました。その中の1つが、新しい端末やOA環境を実際に攻撃してもらい、安全性を検証するTLPTというテストを担当したことです。
TLPTを行うには、とにかく多くの関係者の協力が必要でした。セキュリティ担当役員であるCISOやテストを実施してもらうベンダーだけでなく、社内・グループ内のシステムを所管する部門、各ソリューションを提供しているベンダー、疑似攻撃によってアラートが上がった際に対応するチーム、テストを実施させてもらう地方の拠点、開発環境のある拠点の方など、協力を依頼する先は多岐にわたりました。そのような業務の中で、合意を形成することの重要性を改めて実感しました。多忙な役員などに対して、プロジェクトが検討している方針やテスト後に発見した事項への専門家としての判断と対応方針などを伝え、合意を形成するためには、見ただけですぐに理解できる資料の作成が必要でした。簡潔明瞭な資料を作成し、その資料で関係者の合意を得ることで、業務を進めることができました。
当社は情報システムの開発や導入支援を行う会社ではなく、情報システムを利用してビジネスを行う会社です。その中においてIT部門やセキュリティ部門というのは、自社のビジネスを支援するために存在しています。社内の各部署が施策を進める際、そこで利用するシステムを扱うのが私たちの仕事です。そのため、他部署とのかかわりが多く、いろいろな人との調整が必要になります。人とコミュニケーションを図り、協調して仕事をすることが好きな人が向いていると思います。
また、専門的な領域であるうえに常に新しい技術や攻撃手法が生まれるという、変化の大きい分野でもあります。そのため、新たに学ぶことが好きな方が向いていると思います。ただし、私もそうだったように、学生時代からその分野を学んでいることは必須ではありません。入社してからの学びが大切です。

脅威への備えや万が一への対応、日々の業務支援など、
グループの安全・安心を守る

グループサイバーセキュリティ部では、グループ全体のセキュリティの統括を行っています。私が所属する情報セキュリティ室は、日本郵政単体のセキュリティの統括・対策推進を受け持っています。
情報セキュリティ室の主な業務の1つ目は、セキュリティ審査・テストです。ここでは、各部署が新しく使いたいクラウドサービスや、IT部門やDX部門が新たに構築したいシステムに対して、セキュリティ面の安全性を、システムの機能と社内の運用という側面から審査しています。また、既に利用しているシステムについても、適切に運用されているかを毎年確認しています。
2つ目は、インシデント対応の専門組織である「CSIRT」の運営です。CSIRTは、不審メールやウイルス検知、万が一のセキュリティインシデントなどへの対応を行っています。
3つ目は、社内の意識向上に向けた教育と訓練です。全社員がセキュリティへの意識を高められるよう、セキュリティ研修や攻撃メール訓練を実施しています。
4つ目は、セキュリティ人材の育成です。グループのセキュリティを担う人材を育成するため、キャリアパスの策定や研修の選定などを行っています。

現場と二人三脚で歩みながら
業務とサービスの信頼性を高めていく

私が担当している主な業務の1つ目は、セキュリティ審査です。この業務はシステムの導入に向けた企画などを考える段階から、開発の段階、さらに運用中のリスク管理までをカバーしています。具体的には、システム構成などを把握し、チェックリストを用いて、そのシステムが当社で利用するうえで必要とするセキュリティの機能を備えているか、利用部署が適切に運用できるような体制になっているかなどを確認し、承認の判断をしています。
2つ目は、ペネトレーションテスト・TLPTです。これは、当社のシステムの中でも特に重要なものやリスクが高いと思われるシステムを対象にしたテストです。テストを行う企業に委託して実際に攻撃してもらい、防御能力や検知能力に改善の余地はないかなどを調べます。対象システムの選定や調達、テストによって発見された事項への当社としての対応の必要性を分析し、必要に応じてシステムを所管する部署に対応を依頼しています。
3つ目は、CSIRT訓練の企画です。セキュリティインシデントに対応する組織であるCSIRTが、本番で対処できるように、当社の環境をベースに攻撃を受けたシナリオを作成し、CSIRTにはシナリオを伏せた状態で、正しい対応ができるかテストを行っています。私は、対象とするシステムやシナリオの検討などを受け持っています。

社内外とコミュニケーションを深め、
支え合って事業の成長を目指す

当社の魅力は、日本全国にユニバーサルサービスを継続的に提供していることです。そして、その実現に不可欠なシステムやお客さまの大切な情報を守り、セキュリティの観点からもユニバーサルサービスを支えています。
また、専門知識を習得のための手厚いバックアップがあることも大きな魅力です。私は、セキュリティ分野の知識がなく、まったくの未経験で入社したにもかかわらず、知識を身に付けて高度な資格を取得できるまでになりました。セキュリティ人材を育成するためのモデルが策定されており、それぞれの社員が目標とする資格に合わせた研修などを受講できる制度が整備されているのです。
今後は、現在の仕事で得た経験を活かして、自社のビジネスや業務を熟知したセキュリティのスペシャリストとしてより専門性を高めていきたいです。将来的には、日々進化していく技術を常にキャッチアップしつつ、全体のマネジメントを行う仕事に就きたいです。
仕事を進めるうえでは、ベンダーの方と同等の技術的な知識の習得に向けた努力を大切にしています。また、システムを企画している早い段階から相談をしてもらうことが大事であるため、気軽に相談できるように、日ごろからこまめにコミュニケーションを取ることを心がけています。メールだけではなく、実際に会って話すことでより相談しやすい関係を構築できると思うので、足を運んで対面でのコミュニケーションを大切にしています。
システムを導入する部署も、私たちセキュリティを統括する部署も、互いに自分たちだけでは業務は完結しません。協力し合って自社の業務を支える必要があります。助け合いとコミュニケーションが大事な仕事です。