プロフィール

間宮 千恵 (システムセキュリティ推進グループ)

2004年11月にサイバーエージェントに中途入社。入社後は、広告代理店事業でのプランナー、 法務コンプライアンス室を経験し、３年前に社内制度キャリチャレをきっかけに現部署に異動。コンサルティング業務と社内啓蒙活動の広報業務に従事。

法務からセキュリティへキャリアチャレンジ

― 間宮さんのこれまでのキャリアについて教えてください。

入社時の配属はインターネット広告事業本部で、その後法務室にキャリチャレ（社員自ら他部署への異動を申請できる制度）で異動し、約8年ほど法務や経理の業務に携わりました。その後、再びキャリチャレ制度を活用し、現所属であるシステムセキュリティ推進グループに異動し、現在に至ります。

法務室からシステムセキュリティ推進グループに異動した理由は「もう一度プロダクトに近いところで働きたい」という思いからです。自分の経験してきた業務とキャリア志向にあわせて、未経験の分野でも果敢にチャレンジできるのが、キャリチャレの良いところです。

ー 法務でお仕事をしながらセキュリティに興味をもったのはなぜですか？

法務にいた時に、データを取り扱い方や事業部との連携のフロー作りやシステム構築業務などに関わっていました。例えば、あるサービスがキャンペーンを打つ際に、法務やセキュリティ面でリスクがないか、事業部と連携しながら進めていきます。

現在の上司である野渡とは、キャンペーンのスキーム作り等で一緒に仕事をする機会も多く、その縁もあってセキュリティ分野に興味をもつようになりました。

データの取扱い方やポリシー等、法務で培った経験を活かしつつ、セキュリティというサービスに欠かせない業務に関わる事で、時代に沿ったキャリア形成ができるような気がして、システムセキュリティ推進グループへの異動を考えるようになりました。

― 法務からセキュリティへの異動となります。当初に苦労したことなどはありましたか？

Slackで飛び交うエンジニアのみなさんの技術的な議論や、セキュリティに関わる多種多様な案件をさばくみなさんを見て「どうやってバリューを発揮したらいいのかな？」と戸惑うこともありました。

少し悩んでいた時期に、とても安心したのは、面談で野渡が言ってくれたセリフです。「間宮さん。他のメンバーと同じ仕事をしてほしくて異動してもらったわけじゃなんですよ。」と言われたんですね。

その時、「そうか、エンジニアと同じ仕事をやる必要はないんだ。」とハッとしました。すると、無駄にプレッシャーに感じていた心理的なハードルがフッと消えました。それからは、自分なりにできるセキュリティの仕事を手探りで探しながら、チームに貢献できるようになりました。

ー 間宮さんが見出したご自身の価値とは何でしょうか？

具体的にはリスクアセスメントに軸足を置くことにしました。法務の経験を活かして、利用規約にセキュリティリスクはないか精査したり、社内のキーマンにヒアリングをして、業務の流れの中にあるリスクを検証してみたりなどです。

サイバーエージェントは部署や組織の壁がなく、所属をまたいで気軽に声をかけあう企業カルチャーです。そして幸いな事に、これまでの業務で関わってきた方も多く、ヒアリングの効果はすぐに実感できるようになりました。

例えば広告部門であれば、広告の申込・受注・配信完了までどういう流れでどういうツールを使っていて、そこにはどんなフローが絡んでいるのか。ツールが蓄積するデータの保管先と閲覧権限。相手先からどういう許諾を得てそこにデータが貯まっているのか、といったフローがあります。

あらためて業務の理解を深めた上で、現場の営業やディレクターが扱っている機微なデータやそこに潜むリスクや影響度を考慮した上で、リスクアセスメントとしてどんな対策や予防ができるかを設計していきました。

バックオフィスの経験がセキュリティの仕事に活きている

― システム・セキュリティ推進グループのメンバーとして、成果を出すために日頃からどんな事を意識していますか？

私はエンジニアではないからこそ「この案件は技術絡みだからエンジニアの領域だ」と決めつけないようにしています。

セキュリティは、法律を理解した上で対処する場面も少なくありません。法務で取扱っていた商標が、実はドメインに関係があると分かったり、認証と認可の違いでサービスに影響が生じたり。自分の法務をはじめとしたサイバーエージェントで働いてきた実務で培った知識もまた、エンジニアリングと同じく「専門知識」なんだと思うと、非エンジニアである自分にも十分セキュリティで貢献できることがたくさんある事に気づきました。

そう思えるようになると、エンジニアに相談や対話するハードルはグッと下がりました。そういう機会が増えるにつれ、多様な職種のメンバーが集まるからこそ得られる知見やアドバイスできることの広がりも実感しました。

―セキュリティ・コンサルタントはどんな人に向いている仕事だと思いますか？

「セキュリティ」と聞くと一見ハードルが高く感じるけれど、例えば人事でも広告でも何かしらのデータを扱うような仕事をしている人であれば、実は少なからず普段の仕事でセキュリティには関わっているわけです。

弊社の場合はプロダクトが幅広いので、セキュリティ側も幅広い対応力が必要になります。中には自分でも何を相談すればいいのか分からないまま相談に来る人もいたりするので、相手の意図を汲んだり、要件を交通整理してあげられるようなコミュニケーション能力が求められると思っています。

社会的なニーズの高まりもあって他社でも、管理部門からデータガバナンスの仕事に移った人など、私と似たようなキャリアの人がいらっしゃいます。

私はセキュリティ・コンサルタントという職種名ですが、会社によって役割や呼称はそれぞれ。セキュリティの戦略を練ったり、課題を解決したり、予防策を講じたりと業務は多岐にわたります。私の場合は「セキュリティ・コンサルタント = 情報を守る」という意識で仕事に向き合っています。

― セキュリティ・コンサルタントとしての仕事の楽しさを教えて下さい。

開発の時点で当たり前にセキュアなサービスを作れる状態を作り、もぐら叩きのような仕事を減らしていく。システムセキュリティ推進グループは今そういう仕組み作りに取り組んでいます。ベストな理想は「診断時に何も脆弱性が出ないような開発工程を実現する」が理想なので、いかにその状態を目指せるかをチームでよく議論しています。

その中で、チーム内の様々な知識をもったメンバーや、事業部側の開発者のみなさんと日々やり取りしながら、少しずつ前進できているような実感をもてる日々の業務の学びは、仕事の楽しさややりがいに直結している気がします。

一方でビジネス職の中には「そもそもセキュリティチームに何を聞いたらいいのか分からない」という人も少なくありません。セキュリティの相談が出来る部署としてシステムセキュリティ推進グループの認知を広げつつ、会社全体のセキュリティのレベルを上げていくような仕事も引き続きやっていければと思います。