「技術を知らなければ、適切なリスクは取れない」 マネーフォワードCISO 松久氏：セキュリティリーダーの視座（1/3 ページ）

金融業でのシステム構築実績が豊富で、クラウド対応にもいち早く着手してきた松久正幸氏。現在、マネーフォワードにてCISOとCIOを兼務する彼は、どのような考えで組織とビジネスを守っているのか。技術とガバナンスの両輪を回すリーダーのセキュリティ戦略を紹介する。

[星原康一，ITmedia]

　サイバーセキュリティは経営の重要アジェンダだが、多くの現場では「統制（GRC）」と「技術」のバランスに苦慮しているのではないだろうか。統制を強めればビジネスのスピードが落ち、技術に走りすぎればガバナンスが効かなくなる――。

　このジレンマに対し、「技術を知るからこそ、リスクを許容できる」と説くのが、株式会社マネーフォワードの松久正幸氏だ。

　松久氏は、日本ヒューレット・パッカードで金融機関の堅牢なシステム構築を指揮し、その後、アマゾン ウェブ サービス ジャパンでクラウドの黎明期を支えた人物だ。金融業界の厳格な規制と、先端テクノロジーの双方を熟知する「エンジニア出身CISO」は、いかにして攻めと守りを両立させているのか。

　ビジネスを加速させるためのセキュリティガバナンスと、組織を動かすリーダーシップの本質を聞いた。

---

松久 正幸（MATSUHISA Masayuki）

――マネーフォワード 執行役員 グループCISO 兼 グループCIO

Photo by 山田井ユウキ

　1997年に日本ヒューレット・パッカードに入社し、システムエンジニアとして都市銀行をはじめとする金融機関向けのシステム構築を統括 。2011年からはシンガポールへ出向し、プロジェクト・ダイレクターとしてアジア各国のITプロジェクト責任者を務めた 。2016年、アマゾン ウェブ サービス ジャパンへ移籍 。金融ソリューション本部 本部長として、国内金融機関におけるパブリッククラウド導入や大規模移行プロジェクトを推進した 。2023年3月に株式会社マネーフォワードへ入社し、同年6月より現職 。現在はグループ全体の情報セキュリティガバナンスと社内IT戦略の指揮を執っている 。グループ執行役員 グループCISOに加えてグループCIOも兼務し、グループ全体の情報セキュリティと社内IT戦略を統括している。

---

金融とクラウド、2つの軸足がいかにして「CISO」を作ったか

――松久さんは日本ヒューレット・パッカードで金融システムに長く携わり、その後AWSへ移籍、そして現在はマネーフォワードでCISOを務めています。各社の経験は現在のポジションにどうつながっているのでしょうか？

松久氏：　振り返ってみると、「金融」と「クラウド」という2つの異なる領域に深く身を置いたことが、今の私の強みになっていると感じます。

　キャリアのスタートは日本ヒューレット・パッカードでのシステムエンジニアでした。たまたま配属されたのが金融業界向けだったのですが、そこで約19年間、業界特有の堅牢なシステム設計や商習慣を徹底的に叩き込まれました。30歳前後から金融業界のシステムを設計するようになり、この知見があれば役に立てるという実感を持っていました。

　転機となったのは2015年頃です。ITアナリストのレポートなどを元に今後のエンタープライズ・アーキテクチャを予測した際、「次は完全にクラウドの時代になる」と確信し、AWSへの移籍を決めました。

　ただ、闇雲に新しい分野へ飛び込んだわけではありません。私が常に意識してきたのは、自分の強みを活かしつつ軸足を「半歩ずらす」ということです。

――「半歩ずらす」とは、具体的にどういうことでしょうか？

松久氏：　環境を変える際にまったく違う分野に飛び込んでしまうと、即戦力にはなれません。私の場合は、「金融システム」という強みは残しつつ、新たに「クラウド」という領域へ半歩踏み出しました。

　当時、ベンチャー企業はクラウドを使っていましたが、大手金融機関での採用はまだ進んでいませんでした。だからこそ、金融の勘所が分かる私が、そこにクラウドの知見を掛け合わせることで、貢献できる余地があると考えたのです。

Photo by 山田井ユウキ

――その「掛け合わせ」が、CISOとしての独自の視座を形成したわけですね？

松久氏：　そうです。AWSでは三菱UFJフィナンシャル・グループ（MUFG）をはじめとするメガバンクのクラウド導入を担当しました。

　金融機関の方々は、FISC（金融情報システムセンター）の安全対策基準など、明確な規制やフレームワークをベースに議論をされます。私はその文脈を理解しているので、「何ができて、何ができないか」をセキュリティ統括の方々と同じ言語で話すことができました。

　そして現在のマネーフォワードへの参画も、この延長線上にあります。今や伝統的な金融機関はM&Aで新興企業を買収し、FinTech企業は決済ど真ん中に踏み込むなど、両者の垣根がなくなりつつあります。私が培ってきたエンタープライズの知見が、ベンチャー企業の次のフェーズに役立つと考えたのです。

――順風満帆に見えますが、その過程で「苦労」や「転機」となった経験はありますか？

松久氏：　日本ヒューレット・パッカード時代のシンガポール駐在は大きな転機でした。それまでは日本人だけの「あうんの呼吸」が通じる世界で仕事をしていましたが、海外では「常識のライン」が全く違います。

　例えば、日本ではプロジェクトの途中で転職することは「残された人が困るから」と躊躇（ちゅうちょ）されますが、現地のメンバーはより良い条件のオファーがあれば、プロジェクトの途中でも辞めていくのが珍しくありません。

　最初は戸惑いましたが、これは「人に依存しないプロジェクト体制を作る」ための訓練になりました。ドキュメントを整備し、誰が抜けても回る仕組みを作る。短期プロジェクトなら人に依存した方が効率的ですが、それに甘えていると海外では大変なことになります。

　英語も学生時代からずっと苦手でしたが、プロジェクトの合間に覚悟を決めて勉強し、TOEICのスコアを400点台から900点台まで引き上げました。もちろんスコアを上げただけでは実際の会話は難しいのですが、点数を公表したことで英語を使う仕事が回ってくるようになり、苦労しながら実務をこなすことで能力が磨かれていきました。

　この経験から若い方に対して、「結局どこかで苦労しなければならないなら、早いうちにやっておいたほうが、そのメリットを享受できる期間が長くなる」とよく伝えています。