PEOPLE セキュリティ統括社員インタビュー
自らの意思で、やりたいことに挑戦できる。
セキュリティの最適解を導き出す面白さと
ビジネスの成長を支えていくやりがいを実感。
セキュリティ統括
セキュリティ統括部
セキュリティ戦略グループ
平塚 楓
Kaede Hiratsuka
意思決定に携わり、自ら推進していきたかった。
ボトムアップ文化のなかで多様なサービスに携わり、成長していける。
どのような魅力と可能性を感じて、リクルートを選んだのでしょうか?
前職は、大手コンサルティング会社でセキュリティに特化したITコンサルタントを務めていました。セキュリティの仕事は「守り」を担うため、費用対効果を数値化しづらく、絶対的な正解がありません。だからこそ状況をしっかりと把握し、ビジネスとセキュリティのバランスを取りながら最適解を突き詰めていける面白さがあるんですよね。しかし、考えに考えを重ねて「これが最適解だ!」と思える道を見つけても、最終的な意思決定権はクライアントにあります。段々と自分で決めて実際に動かしていくことができないもどかしさを感じるようになり、そのような動き方ができる事業会社に転職しようと考えはじめました。
数ある事業会社のなかでリクルートに興味を持ったのは、多様なサービスを展開していることがまず大きかったですね。サービスごとにユーザー、クライアント、ビジネスモデル、サービスの成熟度合いが違うことに加えて、担当する組織が変われば業務の進め方や考え方も違います。だからこそ、画一的な方法ではなく、それぞれにフィットするセキュリティが求められるだろう、と。多種多様な経験ができるから、ビジネスとセキュリティのバランスを取る肌感覚を養うことができると思ったのです。
また、ボトムアップ風土や働く人の魅力も大きな決め手となりました。リクルートの面談の際には、現場でマネジャーを務めている方に「リクルートはボトムアップのイメージがありますが、マネジメントする側にとっては正直、どうなんですか?」と率直に聞いてみました。すると、「ボトムアップのほうが、メンバーと上司の双方にとって、得られる利が大きいと思っています。トップダウンで意思決定をし続けてしまうと、メンバーが自主的に動く環境が醸成されない。そうするとメンバーは成長できずに悩むでしょうし、上司も常に指示を出し続けなければならないため、負荷が増えてしまうんです。だからこそ、ボトムアップで意見が上がってくる風土を作っていくことはとても大事です。その上で、個々の力をどう伸ばしていくかがマネジャーの腕の見せ所だと思っています」という回答をいただきました。自ら声を上げていくことを推奨する風土があると実感し、入社を決めましたね。
リクルートグループのセキュリティ戦略構築を担うチームで
海外グループ会社のグローバル規定を策定。
仕事内容とミッションについて教えてください。
入社当初は、セキュリティの評価を行うチームに所属し、リクルートの各サービスにおけるリスクレビューを担当していました。その後、機密情報を取り扱う環境におけるネットワークアクセスの制御や、オフィスのネットワークセキュリティ検討など、さまざまなプロジェクトを経験しました。
2022年から現職となり、セキュリティの戦略構築を行うチームに所属しています。海外を含むリクルートグループ全体のセキュリティ戦略を担うために新設されたチームです。以前から上司に「次はより上流の工程にチャレンジしたい」と話していたこともあり、設立と同時に異動することになりました。
当チームの主なミッションは、リクルートグループ全体の施策を広く見て、セキュリティの最適化やルール決めなど、大きな絵を描いていくことにあります。国内の一般的なセキュリティ基準を担保することはもちろん、世界のトレンドや事例もヒントにしながら、セキュリティの最適化を図っています。
チーム内ではさまざまなプロジェクトが動いていますが、私は海外グループ会社におけるセキュリティ規定を作るプロジェクトでリーダーを務めています。対象となるのは、アメリカ、ヨーロッパ、東南アジアなどに本社を持つ4社。各社の持つさまざまな背景を鑑み、セキュリティルールを最適化する取り組みを行っています。
そもそも海外と日本では、何をリスクとするのかが大きく違うもの。ルールのベースラインを作る際には、現地の文化や法律、ビジネスの背景などを知る必要があります。その上で、各国における外部基準やセキュリティのベストプラクティス、海外ベンダーの推奨設定集なども調べ、現状とのギャップを埋めるために何をすべきかを模索しています。
また、今後もあくまで自主自立でやっていけるようにすることが前提なので、セルフガバナンスができるような仕組み・体制づくりも支援しています。
リスクレビューの部署に所属していた頃とはガラッと仕事内容が変わったため、日々学びながら推進しています。
さまざまなビジネス要素とバランスを取って最適解を考える。
セキュリティを通じてビジネスの成長を支えるやりがい。
仕事のやりがいについて教えてください。
入社前のイメージ通り、サービスも取り扱う情報も多種多様なリクルートの中で、ビジネスとセキュリティの最適なバランスを考えていけることが面白いですね。
私は、ビジネスとセキュリティは天秤の関係にあると考えています。ただ単にセキュリティを強化すればいいわけではない、と。例えば、サービスが成熟し、利用者が増えるほど個人情報などの重要な情報も増えるため、セキュリティも厳重にしていく必要があります。逆に、成長過程にあるビジネスの場合は、セキュリティがビジネス促進の阻害要因にならないよう、柔軟な対応が必要となります。このようにビジネスの成熟度合いはもちろん、サービス内容や利用するユーザー、海外・国内などビジネスを展開する地域なども関係してきます。さらにリクルートの場合は、事業部門によって個性が違い、業務の進め方も違うという側面もあります。
それら全ての要素とセキュリティのバランスがうまく釣り合うところを見つけることが最も大切なのです。現在担当しているプロジェクトも、さまざまな要素が絡んでくるため、非常に難易度が高いと感じます。広く全体を把握し、さまざまな角度から考えていくのが非常に面白いですね。
また、ルール決めだけでなく、実際に動かすところまで考えていけることも、やりがいにつながっています。リクルートは、事業部門とコーポレート部門が対等な関係性にあります。事業の成長のためといってなんでも許容することは当然できませんし、逆に「コーポレート部門で決めたルールに従え」ということも通用しない。そのため私たちは、事業部門をどう動かしていくかも含めて全体を設計していくことが必要なのです。
海外グループ会社については、本社の指示通りに動くのではなく自ら動いてもらい、中長期的な視点でセキュリティに取り組んでいける体制を築くことを目指しています。常にセルフガバナンスができる状態とすることで、状況に応じて迅速な対応ができますし、ビジネスの成長には、各所が自主自立でやっていける体制の構築が必要不可欠です。そのため、どのようなコミュニケーションをすれば現地の方々が前向きに動いてくれるのか、何を根拠にどのような伝え方をすればより理解を深めてくれるのかを考えて推進しています。
ただ施策を考えればいいわけではなく、装着するところまで作っていくからこそ、「セキュリティを通じてビジネスの成長を支えていける」という大きなやりがいを実感できるのです。
自ら提案し、全社的な基盤更改プロジェクトに参加。
意思決定に携わり、組織を動かす面白さを実感!
これまでの経験のなかで印象に残っているエピソードを教えてください。
入社間もない時期、全社的なVDI(仮想デスクトップ)基盤の更改プロジェクトに、あるセキュリティ要件を追加することができた経験です。
実はこの提案は、リスクレビュー部署のリーダーと、今あるリスクについて発散的思考に基づいてディスカッションしたことが始まりでした。社員が会社のPCをネットにつなぐ際には、信頼性が低いサイトにアクセスさせないことが大事ですが、事業部門では、分析や情報収集のソースとしてそうしたサイトの利用を必要としている場合があります。セキュリティのことだけを考えれば一律でブロックすれば済みますが、それでは事業が立ち行かなくなってしまいます。
もちろんセキュリティを担保する最低限のライン引きはされていますが、ビジネスとセキュリティ、双方がよりバランスよく釣り合う方法はないだろうか、と考えました。ふたりで方策を話し合ううちに、社員の属性に合わせてアクセス可能なサイトを絞る方法を思いついたのです。この内容を上司に持っていったところ、「別の部署がリクルートのVDI基盤を更改するプロジェクトを推進しているから、一緒に推進したらどうだろう」と、アドバイスをもらいました。担当者につないでくれた結果、トントン拍子にプロジェクトの中に組み込んでもらえることに。このスピード感には正直、驚きましたね!
そこからは、どう実現するかを考えていきました。既に決まっている計画にこの案件を入れ込むためには、プロジェクトの実施スケジュールに間に合わせねばならず、急ピッチで形を作っていきました。特に難しかったのは、「アクセスを絞るために、1万4千人もの社員をどのように属性分けして、どういった制限をかけるのか」「属性とアクセス範囲をどう紐付けるか」という制御の方式を決めるところでしたね。仮説を何度も立てては検証し、関係各所にも相談に乗ってもらいました。現場での運用推進を手掛けるセキュリティ推進担当者には、リスクポイントに加え「どう切り分ければ事業部門が業務を回せるのか」まで聞くことができ、開発を担うエンジニアには、システム上で実現可能なことや基盤との両立ができるかどうかを教えてもらえました。これらの情報を整理した上で、さまざまなパターンのリスク評価を行い、どうにか自分なりの最適解を導き出すことができました。
リーダーとの会話から始まった施策がまさかこんなに大事になるとは思っていませんでしたが、埋没していたリスクを自分たちで探り当て、自ら意思決定に携わり、実際に動かしていく面白さを味わいました。まさに私がやりたかったことを達成できたと思います。また、この経験によって、物事を大局的に見ることができるようになりました。全社的なプロジェクトを通じて、セキュリティの視点だけでなく、システム側、ビジネス側、そしてシステムを使うユーザー側の視点まで考えることの大切さを学び、大きく成長できたと感じます。
やりたいことに挑戦できる風土と、協力してくれる周囲の環境。
多くを学び、経験を重ねながら成長していける。
リクルートで働く魅力と、今後の目標について教えてください。
リクルートには年齢や経験に関係なく、個々の想いをリスペクトしてくれる文化があります。私自身、入社数ヶ月で、自ら発信すれば後押ししてもらえる風土があることを実感しました。責任は伴いますが、手を挙げれば任せてもらえますし、自らの意思で業務をハンドリングしていけるので、チャレンジングな経験を重ねながら成長していくことができます。
さらに、所属部署を超えてさまざまな人たちが積極的に協力してくれる環境もあります。上司が相談先を紹介してくれることもあれば、社内で問い合わせ先がわからない時に、まず初期相談に乗ってくれる部署もあって、カジュアルにも公式にもウェルカムで話を聞いてくれる協力体制が築かれていています。チャレンジングな業務のなか、皆で話し合って物事を進めていくことができるのはとても面白いですね。オンボーディングの環境もあり、勉強会や施策の共有なども積極的に実施しているので、自ら学ぶ意欲とコミットしていく意志があれば、成長していける土壌があると思います。
そしてもうひとつ、柔軟な働き方ができる点がとてもいいと思っています。私は1年前に静岡県に移住し、現在はリモート中心で仕事をしています。私だけでなく、ほかの部署にも移住している方がいると聞き、リクルートにおける働き方は本当に先進的なのだと実感しました。仕事で自分のバリューをちゃんと出していれば、働き方も自由に選択できる。これもまた大きな魅力だと思います。
今後の目標は、まず、現在取り組んでいるグローバル規定のプロジェクトを走り切ることですね。3年間で目標達成をやり遂げ、ゼロから生み出す実績を作りたいと思っています。将来的には、今のグループで全く新しいプロジェクトにも挑戦してみたいですし、実際に現場への装着を担うセキュリティ推進などの分野も経験してみたいです。さまざまな経験を重ね、多くを吸収しながら、より深い問題解決に役立てていきたいと思います。
記載内容は取材当時のものです。