セキュリティエンジニアは「守る」だけでいい? ユーザー企業ならではの役割に気づいたエピソード
「効果が見えないものに多額の投資はできない」 自らの役割を見つめ直し事業に寄り添うと決意した日
リクルートのWebサービスをサイバー攻撃から守る組織のなかでリーダーを務める安東美穂。自分の役割を強く意識するようになったきっかけは、入社2年目のプロジェクトにあったという。
リクルートグループ報『かもめ』2021年4月号「あの日、あの時。」からの再編集記事です/敬称略
私には知識も経験もない。早く自信を持ちたかった
前職では、エンジニアでもセキュリティの専門家でもありませんでした。私がリクルートテクノロジーズ(現リクルート)に入社した当時は、セキュリティ専門部署の立ち上げ期。次々とセキュリティのスペシャリストが入社してくるなか、私だけが素人同然。プレッシャーと不安を抱きながら、組織の役に立てることは何でもやろうと必死でした。
そんな1年を過ごした後、2年目に大型案件のリーダーを務めるという転機が訪れます。リクルートグループ各社の44サイトにサイバー攻撃を早期検知するための監視システムを導入するというプロジェクト。早く成長して一人前になりたかった私は、やってみたいと手を挙げました。専門知識は発展途上でも、プロジェクトマネジメントや、事業とのコミュニケーションならば私でも価値を発揮できるかもしれない。そんな考えもありました。ところが、実際に各事業へ説明してみると、反応が良くない。ついにある事業では、責任者からこんな言葉を投げかけられました。
「そんなにコストをかけて、サービスや事業にどれだけの価値があるのか。効果が見えないものに多額の投資はできない」
セキュリティの仕事を否定されたような気がして、しばらくはただ落ち込んでいるだけでした。でも、いろいろな事業の方と話すうちに発言の真意に気づかされたのです。事業は他にもさまざまな施策を検討する必要があるなか、優先順位をつけ、限られたリソースを配分している。それなのに私はセキュリティのことしか頭になく、自分本位な進め方をしていた。相手の立場を考えず、自分のプロジェクトを成功させることしか考えていませんでした。
ビジネスとセキュリティをどうバランスさせるか
この出来事から、事業サイドとのコミュニケーションのスタンスが大きく変わっていきます。セキュリティ起点での意見を伝えながらも、コストとリスクを踏まえながら、ビジネスとセキュリティのベストなバランスを事業と模索するように。その結果、各事業との調整が円滑に進み始め、44サイトへの監視システムの導入が実現。一番厳しいご意見をいただいた事業には、テスト運用の第一号になってもらうこともできました。
プロジェクトを通して私が一番考えさせられたのは、「ユーザー企業におけるセキュリティエンジニアの役割」です。私たちの仕事は、リクルートのサービスを利用いただいている方全ての安全を守り、安心を提供することですが、かといって事業成長を阻害しては本末転倒。成長を加速させ、サービス価値を高めるものだと社内の皆さんに認めてもらえるような仕事でなければならないと思うようになりました。
実は、私がリクルートに転職した理由は、「自社サービスを持つ会社で、サービスをより良くする仕事がしたい」と考えたから。入社後は早く一人前になろうと忘れがちでしたが、私が本来やりたかったことを再認識させてくれた、大切な仕事になりました。今、世の中ではますます情報セキュリティの重要性が高まっています。安全性はユーザーがサービスを利用する判断基準にもなっている。だからこそ私は、自分の仕事を「守るだけの役割」とは思いません。サービスの魅力にも関わっているという信念で、これからも事業に向き合い続けたいです。
プロフィール/敬称略
※プロフィールは取材当時のものです
- 安東美穂(あんどう・みほ)
-
リクルート セキュリティ統括室 セキュリティオペレーションセンター インシデントレスポンスグループ
サーバーホスティング会社でクラウドサービスのテクニカルサポートを経験。2014年12月リクルートテクノロジーズへ入社。未経験からセキュリティエンジニアとなり、リクルートの各種Webサービスにおけるセキュリティ監視・分析を担当