熊白　浩丈　2020年6月中途入社
執行役員　CISO システム企画部長 兼 サービスマネジメント部長

2020年6月にインフキュリオンのCISOに着任した熊白。新卒で入社したクレジットカード会社を経て、野村総研では国内金融機関や自動車業界向けに、セキュリティ体制のあるべき姿をゼロから構築する支援を行ってきました。国内におけるセキュリティ分野の第一人者として活躍する熊白に、インフキュリオンへの参画の理由、現在の仕事と一緒に働くメンバーに求めること、セキュリティ組織の野心的な目標などについて語ってもらいました。

1990年代にキャッシュレスの可能性を確信し、新卒で決済業界へ

ー インフキュリオンに入社するまでの経歴を教えて下さい。

1995年に大学を卒業し、新卒でJCBに入社しました。きっかけは、学生時代に海外旅行で「現金よりもクレジットカードの方が信用される」という体験をしたことです。その頃はまだキャッシュレスなんて言葉がまったくない時代。でもこの経験から、いずれ日本にもこの流れが来ると確信して選びました。

同社では、多くの新入社員が担当するカード営業部門を皮切りに、システム開発、システム企画、情報セキュリティ管理、総合リスク管理の業務を担当しました。

クレジットカード事業はインフラ産業です。顧客にシステムを提供して、その利便性に対して対価をお支払いいただくビジネスです。この業界に入ったからには決済システム自体をきちんと学びたいと思っていたので、自らシステム部門への異動を希望しました。

最後に担当した総合リスク管理は社長直属の部門で、社内で事故や不測の事態が起きていないかを確認したり、世の中で起きている事件・事故が自社に起きた場合どう対処するのかなど、種々のリスクをあらかじめ想定して備えるような仕事をしていました。

ー キャリアの最初から金融業界のセキュリティに関わる仕事をされてきたんですね。

そうですね、その後もセキュリティ分野一筋です。JCBの次はアイ・エス・レーティングという会社で、国内各企業の情報セキュリティ体制に対して格付けを行う仕事をしていました。すでにグローバルの格付け基準はあったのですが、経済産業省のバックアップを受けて、日本独自の情報セキュリティ基準を策定して国内に浸透させようとしました。

その後セキュリティ業界で国内トップの実績を持つ野村総合研究所（NRIセキュアテクノロジーズ）に移りました。ここでは10年間セキュリティコンサルタントとして働き、セキュリティ領域の仕事を徹底的にやりました。なかでも特に、国内企業向けのCSIRT（※）の立ち上げが代表的な仕事だったと思います。

※ (CSIRT: Computer Security Incident Response Team、シーサート) とは、コンピュータセキュリティにかかるインシデントに対処するための組織の総称です。インシデント関連情報、脆弱性情報、攻撃予兆情報を常に収集、分析し、対応方針や手順の策定などの活動をします。（出典：日本シーサート協議会HP）

2010年頃からCSIRTが世の中で取り上げられるようになりました。当時、アメリカをはじめ欧米各国ではすでに必要性が認識され、CISCOやマイクロソフトなど多くの企業がチームを構築し始めていました。

当時、日本では日立製作所やNTTなど通信事業者やメーカーで一部取り組みが開始されていましたが、金融機関においてはほとんど認識されていませんでした。日本の金融機関が海外の金融機関と取引をすれば、CSIRTの構築状況について問い合わせが入ります。日本でも取り組みが必須となってくるなかで、その立ち上げを私のチームが担いました。

当時は国内に例が少なかったので、海外の事例を参考にしたり、日本CSIRT協議会が今後国内にCSIRTを広げていくにあたってのモデルケースにとりあげていただきながら、金融機関向けに“CSIRTのあるべき姿”を描くという支援をしました。

国内金融機関など向けにセキュリティのスタンダードを確立する仕事を歴任

ー 熊白さんは、“国内金融機関のCSIRTがどうあるべきか”を作った人なんですね！？

ちょっと言い過ぎですかね（笑）。実は、最初は国内にCSIRTがここまで広がると思っていなくて、少人数のチームで担当していました。手順書や組織のあり方など、海外のやり方をそのまま踏襲はできないので、日本企業に合わせた調整をしながら独自のCSIRTを構築していきました。

そんな形で金融機関のご支援を3,4年行い、その後は、自動車や工場セキュリティ分野の仕事を担当しました。今や自動車や工場も、インターネット経由でさまざまなものに繋がっています。そうなると当然、攻撃対象にもなるので、そのセキュリティがどうあるべきかをゼロから設計しました。

大企業でのセキュリティ分野の仕事から、急成長中のスタートアップへ

ー 経験を活かせる場はたくさんあったと思いますが、インフキュリオンにした決め手はなんだったんですか？

そもそも、代表の丸山はJCB時代の後輩にあたるので、会社をよく知っていました。また、先程も話した通り、私はもともと決済業界にいたり、金融機関向けのセキュリティに関わる仕事をし続けてきました。インフキュリオンなら、こうした経験をすべて活かすことができます。

あとは、インフキュリオンの「チャレンジを推奨する文化」に共感できたことですね。これまで大企業で仕事をすることが多かったので、スタートアップならではのチャレンジ精神とスピード感を魅力に感じました。これまでの自身の経験を活かしながら、思いきりチャレンジができる点が決め手だったと思います。

ー インフキュリオンでは、どういった業務を担当しているのでしょうか？

大きく分けて3つの仕事をしています。一つ目は、インフキュリオングループ全体の情報セキュリティガバナンス責任者CISOとしての仕事です。

これまでも当社の事業領域や部門、サービスで、ISO27001（ISMS）の国際規格を取得したり、クレジットカード番号を扱っている部門ではPCI DSS（Payment Card Industry Data Security Standard）などの認証も取得してきました。ただし、Fintechという極めて高度なセキュリティ構築が要求される事業を行う当社は、今後も継続的にセキュリティのさらなる強化を図る必要があります。そこを牽引するのがCISOの仕事です。

私はこれまで日本を代表する大企業のトップレベルのセキュリティ体制を見てきました。ただ、スタートアップであるインフキュリオンに、そのレベルのリソースを割り当てるのは現実的には難しく、過剰とも言えます。インフキュリオンは、スタートアップでありながら決済という社会インフラを提供する立ち位置にある会社です。CISOとして、自社に見合った過不足のないセキュリティ体制の構築を進めている所です。

これに加えて、サービスマネジメント部とシステム企画部の責任者も務めています。サービスマネジメント部は、システムの運用・保守業務を切り離して専門特化させた部署です。各金融機関から求められる保守、運用に関する高い要求事項をクリアするため、日々の運用監視、保守管理を行っています。また、サイバーセキュリティに関するシステム構築、運用監視も行います。

システム企画部は、2021年の4月に立ち上げた部門で、当社のITガバナンス、IT統制を確立するための組織です。事業戦略に合わせて適切なIT投資が行えているかどうかを判断したり、システムの品質管理などを行っています。事務局として社内の品質管理委員会、セキュリティ委員会などの運営もします。

Fintech企業として盤石のセキュリティ体制を整えるためにさまざまな取り組みを行っており、それを統括するのが私の仕事ということになります。

垂涎の技術と化しているセキュリティエンジニアを育てる覚悟

ー 今回は熊白さんの元で働くセキュリティエンジニアの募集ということですが、どんな方を求めていますか？

理想から言うと、システムセキュリティのあり方を理解していて、当社の事業において最適な姿を作ることに意義を見いだせる方ですね。

スタートアップである当社には、日本を代表する金融機関並の予算はありません。限られたリソースで最大の効果をどう出していくのか、を考えられる人が必要です。セキュリティ分野をこれから学びたい、挑戦してみたい方も大歓迎です。

セキュリティ関連の経験はなくてもネットワークやアプリケーションに関する経験があってセキュリティに興味がある方、あるいは、ガバナンス系を中心にISO27001の事務局をしてきたような方でシステムを学びたい方などが合っていると思います。

特にネットワークスペシャリストは、文脈上セキュリティ領域の知識に触れているはずなので親和性が高いと思います。これまでもネットワークしか知識がなかった人が、入社後すぐに仕事に馴染んでくれた例をいくつも見てきました。

ー セキュリティエンジニアの経験者が少ないということは、世の中的にも貴重な存在だということですか？

大学を含め、この領域を学べる場所自体が少ないですからね。日本政府が定める「科学技術基本計画」（5年後の日本のあるべき姿を提示する）でも、すべてがインターネットに繋がる世界で求められるセキュリティを実現すること、それを支えるセキュリティエンジニアの育成が急務だと明示されています。

セキュリティは、アプリケーション、ネットワーク、インフラの全てにおいて必須の知識です。金融はもちろん、あらゆる製造業や工場などがインターネットで繋がる世界の中で、セキュリティ技術者は垂涎の人材になってきています。

でも、学べる場所がとても少ない。その意味で、当社はセキュリティエンジニアにとって、とても貴重な実践の場です。特に金融系のセキュリティは必要最低限のレベルが高く、ここでこの技術を身につければ自身の「圧倒的な市場価値の向上につながる」と胸を張って言えます。

ー 市場価値という意味でも魅力的な仕事なんですね。熊白さんと働けることを若手エンジニアが喜んでいるとよく聞くんですが、その点はどのように感じていますか？

そうなんですか？　フィードバックをもらったことがないので分からないけど（笑）。意識しているのは、メンバーが会社を卒業する時に、“世の中に通用する人材になっている”状態にすることですね。

私自身、社会人になってから26年経っていて、セキュリティやシステム周りのキーマンとの繋がりは多いと思います。私のできることとして、メンバーが学会や社外のコミュニティに参加しやすい環境を作って、積極的にそういった人たちと繋ぐようにしています。

会社としても資格の取得や講習会、研修会の参加を支援する仕組みがありますし、当社の良いカルチャーだと思います。

あとは、現場が一生懸命考えて挙げてきた企画に対して、自分の知見や経験を踏まえたアドバイスをして、できる限り企画が実現するように後押しをすることですね。「経営の立場から見るとこの視点が足りないよ」とか、そういうのは意識してやるようにしています。部長なので当たり前ですけどね（笑）。

「稼げる事業」を創出する“攻めるセキュリティ組織”とは

ー 最後に熊白さんが描くセキュリティ組織の将来像について教えて下さい。

まずは、当社のお客様が安心できるセキュリティ基盤を安定運用させることです。当然これが一番やらなければならないことで、当社の最低限のお約束です。

その後、攻めに転じたいと思っています。セキュリティ部門はコストセンターですが、3から5年くらいかけて「稼げる事業」にしていきたいと思っています。つまり、セキュリティ組織で新規事業を立ち上げるということです。

インフキュリオンは、「事業創出をする会社」と謳っています。つまり、インフキュリオンから独立して事業を行う企業・新たな公器を目指す企業も出てくるはず。それらのスタートアップのセキュリティインフラをカバーして、本業に集中できるようにサポートする。3年以内にそれを担えるようになるのが最初の目標です。

そこからさらに踏み込んで、受託や資本投資などの形でグループ以外の企業を顧客にして、攻める保守運用サービスを提供していきたいと思っています。これが最終的な目標です。ここ最近、こうした挑戦を楽しめる心意気を持った優秀なメンバーがどんどん入ってきてくれているので、十分挑戦できると考えています。

ー ものすごい挑戦ですね。最後に求職者の方にメッセージをお願いします。

今の状況下では、多くの人が身を転じるのに不安を感じると思います。当社はベンチャーとはいいながら、創業から15年と長く堅実に安定して成長し続けています。自分自身の転職では、この会社が一朝一夕にここまで来たわけではないという点も後押しとなりました。

また私が、インフキュリオンで働くことに決めたのは、自分にとっても貴重なさまざまな経験を新たに積むことができると考えたからです。会社が大きく成長し、新たなステージに上がろうとしているこのタイミングを逃さず、ぜひ果敢にチャレンジしていただきたいと思います。

私自身の知見もフルに提供するので、一緒に成長していければ嬉しいです。セキュリティエンジニアとして成長したいという強い想いのある方に来ていただきたいですね。