「人に配慮した、厳しくも前向きなセキュリティ環境づくり」 - ライフネット生命 竹山氏:セキュリティリーダーの視座(1/3 ページ)
機微情報を扱うネット生保で開発とセキュリティを担う竹山真人氏。非IT人材を巻き込むCSIRTや親身な相談窓口で全社のセキュリティレベルを底上げしている。施策の根底にある考え方と彼の歩みを紐解く。
機微情報を扱うネット生保で、システム開発とセキュリティを担う竹山真人氏。非IT人材が積極的にセキュリティ情報を交換するCSIRT(Computer Security Incident Response Team:インシデント対応チーム)作りや、ユーザーが相談しやすいセキュリティ窓口の運営など、全社をアクティブにする施策でセキュリティレベルを大きく向上させている。
本稿では、竹山氏が歩んできた経歴を振り返りながら、同氏のセキュリティ施策に対する考え方の根本を紹介していく。
竹山真人(TAKEYAMA Naoto)
――ライフネット生命 IT戦略部 部長 兼 システム企画部 部長
Photo by 山田井ユウキ大学卒業後、金融機関向けITコンサルとして設計・開発・保守運用を経験した後、スポーツ・ヘルスケア向けアプリ開発会社でエンジニア責任者から事業部長、セキュリティ責任者へ。2021年秋にライフネット生命に入社して現職。システム開発およびセキュリティ領域を管掌し、全社的なセキュリティ施策の計画・推進を担っている。
金融業から五輪の仕事を目指したら、気づけばセキュリティ畑に
――まず経歴を教えてください。
竹山氏: 最初は金融機関向けのITコンサルティング企業に入社しました。とはいえ、私の担当は、設計や開発、コーディング、テスト、その後もアプリケーションの保守運用というかたちで、いわゆる開発エンジニアの仕事でした。2010年代の話です。当時の取引先にライフネット生命があり、その頃から現職と縁がありました。
その後、2014年に転職を決意します。2014年は、東京2020 オリンピック・パラリンピックが決まった翌年なんです。スポーツがとても好きなので、ITエンジニアの経験を活かせるオリンピック関連の仕事を探していました。
そのタイミングで出会ったのが、体調管理サービスなどを提供するスポーツ向けアプリ開発企業です。思いっきりベンチャー企業でしたので、入ってすぐにCTOとして開発を統括することになりました。
その所属先は、入社して約3年経ったときに買収されます。企業合併後は一事業部門となり、私が事業部長を務めましたが、一度仕事を離れて海外で暮らし、帰国後、同じ会社に戻ることになります。所属していた部門はすでに別の事業部長が管轄していたので、私はセキュリティ部門に配属されて責任者になりました。
東京オリンピックに直接関わることはありませんでしたが、スポーツに携わる仕事ができて楽しかったですね。
Photo by 山田井ユウキ――ライフネット生命に入社された経緯を教えてください
竹山氏: 最初の会社で一緒に働いていた、現在のライフネット生命 代表取締役社長 横澤が役員になるタイミングで、「一緒に仕事しないか」と声をかけてもらい入社しました。2021年の秋ですかね。
当時は、システムリスクに関わるセキュリティ施策を計画・推進する立場で参画しました。現在はシステム開発も含めたIT部門の長も担っています。
総合力が問われるセキュリティは面白い
――セキュリティは、もともと好きだったのでしょうか。
竹山氏: 昔、アプリを開発していたときは、正直「最低限やらなきゃいけないタスク」くらいの認識でした。
ただ、いざ担当すると、セキュリティは幅広い。アプリだけでも、インフラだけでも、ネットワークだけでもダメで、どこかに穴が開くと脆弱性(ぜいじゃくせい)になります。全部見なきゃいけない、総合力が問われる仕事でありつつ、突き詰めていくとさまざまな専門分野があるという、本当に奥が深い業務ですね。
――開発者としての経験は現在に生きていますか。
竹山氏: 何も考えずに開発していると脆弱性が生まれてしまうので、「脆弱性が生まれそうな処理は開発者が書かずに済むようにする」「サービスインする前に何をチェックするか整理する」など、全体の仕組みづくりは意識していました。
――開発者視点からセキュリティ全体へと視点を広げていくうえで大変だったことはありますか。
竹山氏: 先ほどのような開発面の整備も進めましたが、実は最初の取り組みは「会社のガバナンス」でした。経営層からセキュリティについて聞かれたときに「大丈夫です」と言えるための情報を集めるところから始めました。
この情報を収集していると、開発現場や新サービス、外部調達などで問題が起こることがわかり、そこに手を入れていく流れでセキュリティを強化していきました。
――エンジニアとマネージャーで意識する違いはありますか。
竹山氏: エンジニアは「物を見る仕事」だと思っています。システムがどう動いているか、ログに異常がないか、などですね。一方マネージャーは「人を見る仕事」だと思います。同じ目標に向かって、チームのモチベーションをどう高めるか、どう意識を統一するかが大事です。
――「人を見る」にはどうすればよいのでしょうか。
竹山氏: 同じメッセージを発しても、人によって受け取り方が違うんですよね。全体で説明した後に個別で話をすると「あれってどういう意味ですか」と返ってきたり、全然違う解釈をしていたりします。各人の認識を合わせて、全体を同じ方向に揃えていくのがマネジメントかなと思っています。型を押し付けすぎると嫌われるので、1対1の人間として向き合うことは意識しています。
Copyright © ITmedia, Inc. All Rights Reserved.
ITmedia エグゼクティブのご案内
「ITmedia エグゼクティブは、上場企業および上場相当企業の課長職以上を対象とした無料の会員制サービスを中心に、経営者やリーダー層向けにさまざまな情報を発信しています。
入会いただくとメールマガジンの購読、経営に役立つ旬なテーマで開催しているセミナー、勉強会にも参加いただけます。
ぜひこの機会にお申し込みください。
入会希望の方は必要事項を記入の上申請ください。審査の上登録させていただきます。
【入会条件】上場企業および上場相当企業の課長職以上
アクセストップ10
- これも詐欺? セキュリティ導入時に起きる悲劇をなくせ──「登録セキスペ」で地方・中小企業を救うIPA
- 「ごく普通の会社」がランサムウェア被害で直面した損失と再生の記録――菱機工業 小川弘幹氏
- 「社長、これだけは覚えておいて」――NTTグループ250人のトップが学んだ、有事の際の4つの定石
- 「頑張りすぎるリーダー」ほどチームを停滞させる? 「自己犠牲」が主体性を奪うメカニズムとは
- 見つけにくい「心不全のリスク」が分かる血液検査 保険適用、自覚症状なくても受けて
- 群馬の山で「国産レアアース」新鉱物4種発見 山口大が発表、国際鉱物学連合で承認
- 「さっぽろ雪まつり」が開幕 サラブレッドなどの雪像や氷像、初日から観光客でにぎわい
- 「法律以前に、やるべきことがある」──ANA和田氏×SBT辻氏が語る、能動的サイバー防御の本質
- なぜコーポレートITはコスト削減率が低いのか――既存産業を再定義することでDXを推進
- 採用の勝敗を分けるのは“違いの言語化”――秋山真氏が語る「選ばれる企業」の条件
アドバイザリーボード
早稲田大学商学学術院教授
根来龍之
早稲田大学大学院国際情報通信研究科教授
小尾敏夫
株式会社CEAFOM 代表取締役社長
郡山史郎
株式会社プロシード 代表取締役
西野弘
明治学院大学 経済学部准教授
森田正隆
過去記事カレンダー
ITmediaはアイティメディア株式会社の登録商標です。