こんにちは。
ONE COMPATH（ワン・コンパス）人事の山口です。

今回は、ONE COMPATHにおける情報セキュリティの要となる山本一城（やまもと かずき 通称やまかず）さんのインタビューをお送りします。現在情報セキュリティのポジションも募集中ですので、ご興味のある方は是非チェックしてくださいね。

山本さんはワンマイル賞（※後述）を2回受賞した「ミスター・ワンマイル」です。ONE COMPATHの前身であるマピオン時代から、会社やサービスを守る最後の砦である情報セキュリティを担当しています。セキュリティ担当と聞くと厳格なイメージのある仕事ですが、ONE COMPATHのセキュリティ担当は「情報セキュリティのやまかず」として親しみを持って社内に定着しています。今回はそんなやまかずさんに「厳格さと親しみやすさの両立」についてお話を伺いました。意外な失敗や挫折から立ち直った経験談だけでなく、ONE COMPATHの未来のセキュリティ像まで語っていただきました！

この記事は、こんな方にオススメです！
✓ONE COMPATHで活躍する人を知りたい方
✓ONE COMPATHの仕事やキャリアアップについて興味のある方
✓情報セキュリティに興味のある方
--------------------------------------
＜目次＞
・「ワンマイル賞」とは？
・ミスター・ワンマイル・やまかずさん
・「厳格さと親しみやすさ」を両立することの難しさ
・セキュリティが大嫌いだった過去とターニングポイント
・「答えのない仕事」情報セキュリティとは？
--------------------------------------

「ワンマイル賞」とは？

ONE COMPATHでは、企業ビジョンを「ワンマイル・イノベーション・カンパニー」と掲げ、身近(＝ワンマイル)な暮らしや人に寄り添いながら、日々の暮らしに新しい文化を作っていく会社を目指しています。ワンマイル賞は、「ワンマイル行動7ルール」を実行し価値発揮をした社員を表彰する制度です。全社員からワンマイル賞に推薦したい人と行動指針を実行したエピソードを募集し、社員投票によって最も多く票数を獲得した人に「ベストワンマイル賞」が贈られます。

本表彰制度は現在「シン・ワンマイル賞」にリニューアルをしています。新たな評価対象として「ワンマイル発想3ルール」が加わり、社員がもっと気軽に感謝や素敵な行動を発信し合うことでリアルタイムに賞賛を送りあえる制度へと進化しました。

◆今回山本さんが受賞したエピソード
「内容」：ISMS審査を前に、対応が不安な人向けに社内相談窓口を開設。気軽に相談出来る場を設けた。「該当ワンマイル行動7ルール」：想いを分かち合おう

ミスター・ワンマイル・やまかずさん

ーやまかずさん、まずは自己紹介からお願いします。
「コーポレート本部 経営企画部 法務・ 情報セキュリティGの山本一城です。会社全体の情報セキュリティを担当しています」

（▲いつも気さくに話してくれるやまかずさん）

ー初めてお会いした時からあまりにも自然に周囲から「やまかずさん」と呼ばれていたので、名字かと思っていました（笑）そう呼ばれることになったきっかけを教えてください。

「ONE COMPATHには「山本さん」が複数人いるのです。なので多分、愛称や下の名前で呼ばれている人が多いのではないでしょうか？自分が入社した当初は「山本さん」呼びでしたが、私はどうしようかなと。そんな時に当時CIO（現 CFO）の渡辺健太郎さんが「僕をナベケンって呼んでください」と仰っていて、みんなが気軽に声を掛けやすく定着しており、感心しました。これにヒントを得まして、山本一城（やまもとかずき）から私も「やまかずです！」と名乗りだしたのがきっかけでした。今では私のフルネームを知ってる人、実は社内にいないのではないのかな？と思っています。ちなみにですが社内の他の山本さんで集まり「やまもとかい」と称して、たまに飲みに行くこともあるんです（笑）」

ーやまかずさんは「ワンマイル賞」を2回も受賞されました。社内で2回の受賞をしたのはやまかずさんだけとなります。まさに「ミスター・ワンマイル」というところですね。

「ありがとうございます。「ワンマイル賞を取るため」とは意識した事は正直ありません。もしかすると社内チャットツールのSlackで定期的な情報発信している事で、ワンマイル賞のノミネート時に思い出して貰いやすかったのかもしれませんね。」

「厳格さと親しみやすさ」を両立することの難しさ

ーやまかずさんには定期的にSlackでセキュリティについての情報発信を頂いていますが、その元となる「情報収集」はどうしていらっしゃるんでしょうか？

（▲やまかずさんからセキュリティ関連情報が不定期にシェアされています）

「僕らの仕事は情報のアップデートがなかったら、みんなに助言をしたり、伝えることが出来ません。なのでまずは自分の知識・考え方をアップデートするようにしています。「どんな事件が起きたかな？」とか「どんな対処をしたのかな？」と知っていくことが、自分の趣味なんです。事例を見ながら「もしうちの会社だったらどう対処すれば良いか？」という想定をしてみたり。
そして社内に情報を共有した時にも「このケースだったらその不正競争防止法だけじゃなくって不正アクセスの方の話も出てくるんじゃないんですか？」なんて意見をもらってディスカッションが生まれるのも楽しいです。違う視点を知ることも出来て、勉強になるんです。また、世の中の情報セキュリティの分野では私よりもっともっと凄い人たちがいて、どうやったら近づけるのかな？っていう視点もあります。」

ーやまかずさんの中で興味があって調べた事を、誰かのためになるのではと自然に共有される姿勢や思いがあるからこそ、ワンマイル賞にもつながったのかもしれませんね。

「ここはあまり意識していません。意図してやってしまうとどうしても押しつけがましい情報になってしまいます。企画や開発者など現場の人たちはサービスを作る上で「あれをしたい」「これもしたい」と思いがあり、一方でセキュリティについては重要性を頭では分かってはいても、足枷（あしかせ）のように感じられてしまう。だからこそ、セキュリティもスリムな形で実現したいと考えています。
情報セキュリティを整えていく時、現場の人たちも積極的にセキュリティのことを考えられる気持ちになっていないと、僕ら情報セキュリティが実現したいことも出来なくなります。だったら先にアプローチして、前向きに考えてもらえるような下地づくりをしておきたい。その辺りは戦略的にやってます。さっき「自然にやる」と言っていたばかりですが（笑）情報発信は自然に親しめるように。でもその裏にはベースとして戦略的意図があるのです。
「やまかず」という呼び名の話でもそうですが「セキュリティの人間は山本さん」よりも「セキュリティはやまかず」って覚えてもらった方が、みんなに親しみやすい固有名詞のようになる。これに関しても意図的にやっています。」

ー普段の業務の中で、大切にしている考え方があればあれば教えていただけますか？

「考え方、マインドという話ですと、なるべくみんなに目線を合わせるように考えています。本来は駄目なのかもしれませんが、ガチガチにやるセキュリティの仕事の仕方は好きになれません。もちろん守るべきところはうるさく言いますが、リスクをそこまで考える必要のないようなところまで1から100まで抑え込むみたいなやり方はしたくありません。
この見極めをどのラインでやるのか？っていうのが大切で、そこが「目線を合わせる」って話だと思うんです。いろんなセキュリティ担当者を見てきていますが、セキュリティを極限まで厳しく人もいますし、バランスを取る人も見てきています。私は両方の良いところを取ってやっていきたいと考えています。」

（▲普段は照れ屋なやまかずさん）

セキュリティが大嫌いだった過去とターニングポイント

ー情報セキュリティに関わることになった経緯を教えてください。

「実は私が本格的に情報セキュリティに関わることになったのは他のキャリアを経験してからでした。
それまではセキュリティは「本当に大嫌い」な人間で（笑）実は私、情報セキュリティの事で大変な叱責をされた経験があったんです。いわゆる「情報セキュリティの事故」をやらかしてしまった経験のある人間なんです。そこですっかり苦手意識が出来てしまった私は、「セキュリティの制止って正直めんどくさいな」って思ってて（笑）なので皆さんがセキュリティの対応を嫌がる気持ちや視点も理解出来るのです。」

ー本当ですか！？「セキュリティは趣味の一つ」とまで仰っていた現在の姿からすると想像もつきませんね。そこから「セキュリティに目覚める」ようなきっかけがあったのでしょうか？

「はい。前職で私は社内SEをやっていたのですが、情報セキュリティの室長がある日「山ちゃんちょっと来て」と。「俺、ちょっと退職することになったから、情報セキュリティ推進室の業務を兼務してほしい」と突然言うんですよ。それがセキュリティを担当するきっかけだったのです。その任された情報セキュリティの仕事を内心嫌々やることになって数ヶ月後、自分の書いた書類で多方面に迷惑をかけてしまった事がありました。
顧客のセキュリティチェックの回答をした時の話です。情報セキュリティの仕事は、嫌ではありましたが、決して舐めていたわけじゃない。自分の持ってる知識を総動員してしっかり書いたつもりだったのに、それが相手の情報セキュリティの方にとってはとんでもない答えだった。更にはそのやり取りを数回繰り返してしまった。すると当然営業さんが顧客から凄く怒られてしまって。それを聴いて大きな挫折を感じました。
どうしようかと随分悩みまして当時の情シスの上司と、情報セキュリティの上司を巻き込みながら、その３人でお客様の納得がいく回答を作ろうと必死になって対応しました。それでなんとか最終的にOKをもらえたんです。その経験から、心を入れ替えることにしました。
「知識が足りないという状態は、仕事をやっていないのと一緒だ」と痛感しましたね。そこからです。「情報セキュリティの仕事をするためにはどんな資格が必要なんだろう？」
「どんな分野の知識が要るんだろう？」「どんな言葉を選べば、相手に伝わる話になるんだろう？」
というのを突き詰めるようになりました。」

ー「スイッチが入った！」感じが伝わってきました。情報セキュリティという仕事の魅力について教えて頂けますか？

「情報セキュリティの話って「答えがない」と思うんです。正答となるものが用意されていない。いろんな要因がある中から、自分が適切だと思える答えを相手に渡し、その結果を見るというようなプロセスを取る仕事なので、自問自答を延々と繰り返す仕事です。そこが面白い。非常に泥臭いし、日々出てくる「壁」も楽しめるくらいじゃないと続かない。自分の持つ情報が足りてないとか、この分野は得意じゃない、って事実を突き付けられることも多くて、結構落ち込むんですよね。対応範囲も広いのでどこに力を入れれば良いのかも日々手探りです。単純にその知識をアップデートして使おうとしても、それが必ずしも正しいとは限らない。ただ単純にセキュリティをやっているだけではうまくいかない難しさがあります。その分、上手くできたときに達成感も大きく感じることもできるんです。」

「答えのない」仕事。情報セキュリティ

「実際にこれから情報セキュリティの部門に入社いただく方には、最初はISMS関連の業務を中心にお任せすることになるかと思います。ISMSの業務は1年間を区切りとしてある程度決まったルールでPDCAを回す業務をやっています。その中にそれぞれの相談対応業務やプロジェクトが入ってきます。
最初にそういうところに携わっていただいて、個人情報の取り扱いについても法律の部分から学んでいただきます。特にONE COMPATHでは個人情報を重視している分、扱いも丁寧に行わなくてはなりません。ONE COMPATHは継続的に新たなサービスを立ち上げてる会社ですので、そのサービスをどのように守っていくのかも一緒になって勉強しながら進めていきたいですね。
"リーンセキュリティ”という言葉があります。筋肉質なセキュリティという意味合いです。無駄なところまではやらず、抑えるべきところに絞ってやりましょうという考え方ですね。今いるメンバーだけではONE COMPATHの描くリーンセキュリティ像には到達できていないので「一緒にやっていきましょう！」と言ってくれる人が理想ですね。」

ー一緒になって作り上げていける人がONE COMPATHの情報セキュリティに向いているんでしょうか？

「まずは情報セキュリティに興味があることが第一、そして情報セキュリティに関する知識や経験は多少お持ちだと嬉しいです。とはいえ仕事してるときには挫折するのは当たり前だと思っています。それを恐れずに一緒になって新しいことにトライしていただける方がこのポジションには合うと思っています。先ほどお話した通りで私も挫折から成長が出来た人間なので、そこはバックアップしながら一緒に試行錯誤して業務を推進していきたいです。
僕らの仕事はお天道様にはなれないと考えています。お天道様になるのは営業さんだったり企画の人だったりサービスをやっている人たちなので、そんな人たちを後ろから見守るお月様にならないといけないと思うんです。僕らは会社の皆さん一人一人のところを回って、前線に出ていく人たちのバックアップをする。そこに仕事の喜びを感じます。もちろん、セキュリティの事故があれば僕らは表に出ていかなくてはなりませんが’、そうならないようにする為には嫌われ者にもなる覚悟も必要です。『嫌われ者の干渉であっても、どこまで良いコミュニケーションを取れるだろうか？』については、日々自問しています。だからこそ、そういうところも楽しめる人と一緒になって理想のセキュリティに向けて歩みを進めていきたいと思います。」

ーお話を伺って難しくもやりがいのある仕事であることが分かりました。会社にとっても重要なポジションである情報セキュリティ。良い採用につなげていきたいと改めて感じました。
ありがとうございました！

※現在募集中の「情報セキュリティマネジメント」の求人ページはこちらです※
https://www.wantedly.com/projects/1576618