事業会社、MonotaROで僕らがセキュリティをやる理由
書き手の自己紹介
田中(写真左):
こんにちは、MonotaROでセキュリティ責任者をしている田中です。これまでは、比較的大きな規模の会社や規制業種で、監査、セキュリティ・システムリスクガバナンスの経験をしてきました。MonotaROに入社したのは、2021年5月で、現在は、コーポレートエンジニアリング部門というコーポレートITインフラを担当する4つのグループがある部門の責任者と、リスクマネジメント組織の責任者、そしてCISO(Chief Information Security Officer:最高情報セキュリティ責任者)の3つの役割を持って仕事をしています。
葛西(写真右):
こんにちは、2022年7月にMonotaROに入社した葛西です。入社以来、田中さんとともに情報セキュリティ全般を担当しており、現在は、コーポレートエンジニアリング部門に設置された情報セキュリティグループのグループ長を務めています。これまでのキャリアとしては、事業会社でのインフラエンジニアを約15年、セキュリティ担当を約8年経験しました。
なぜ、我々はモノタロウに入社したのか
田中:
入社前は、TVCM等で会社名を認知していた程度でした。転職エージェントからのスカウトをきっかけに、MonotaROが何をやっているのか理解し始めました。実のところ、当時は転職することはあまり考えていなくて、とりあえず話だけ聞いてみようと思ったのがはじまりでした。
さまざまな人とお会いする過程(当時はすべてリモートでしたが)で、最終的に3つのポイントにより転職することを決めました。
何らかのカオスがあって、カオスからの変革をスピード感をもって行動することを志向している企業であること
事業ドメインが大き過ぎず、成熟しきっていないこと
日本に本社があること
コントロール不能ではないものの、簡単には解決できない課題が会社にあって、それに対して自身が裁量を持てるイメージと、解決に対して経営層が前向きであること、これを面接で感じ取ることができました。その中でも「コントロール不能ではないものの、簡単には解決できない課題」が存在することは、私が働く場所を選択する際に、もっとも重要な要素でした。面接時に得た上記のような感触と入社後を比べて、今振り返ってみても、その予想は正しいものであり、満足しています。
葛西:
自分も田中さんと同じように、転職エージェントに声をかけられたときは「MonotaROの名前は聞いたことあるな。ECサイトを運営している会社ですよね。」という程度の理解でした。調べてみると、しっかりとした事業基盤があり、セキュリティに積極投資できる一定の規模感がありつつ、成長途上でこれからセキュリティ体制を整えていく段階の企業という感触を持ちました。
実際に中の人と面談してみると、解決すべきセキュリティ課題が多数あり、またセキュリティ専門組織ができてから日が浅いという状況であること、裁量のある組織で、スモールスタートでスピード感を持って取り組めそうだと感じました。また、自分は前職のWebメディアの企業で、技術面でのセキュリティを中心に、教育やアセスメント、インシデントレスポンスなどに一通り携わっていました。そういった経験を活かしつつ、物流倉庫やコールセンターのセキュリティ、国内外の個人情報関連など、前職よりもさらに関わる領域を広げることができそう、という印象が持てたので、MonotaROに転職を決めました。
MonotaRO内に、セキュリティの専門組織が立ち上がったのが2021年。まだまだ組織としての歴史は浅く、そのフェーズの中で必要な専門性や適性を持った人材を増やしつつ、セキュリティ体制の整備を勢いよく推し進めている、というのが現在の状況です。
MonotaROという組織の行動特性と、我々の目指すセキュリティの姿
田中:
そもそもセキュリティが面倒だということは間違いないのですが、MonotaROという会社に入社してまず思ったのが、セキュリティという面倒ごとに対しても組織全体が必要性を認識して、きちんと取り組む姿勢が確かに存在する、という点です。
MonotaROという組織の行動特性として、「周囲の声に耳を傾ける」、「周りに敬意をもって接する」ということが根底にあります。加えて、「現状にとらわれることなく自ら考え、改善をめざす」という点も、単なる看板(行動規範)ではなくて、組織の血肉となっていることを、ひしひしと感じます。これらがあるおかげで、一定のスピード感を持って、組織全体が物事、仕事の進め方を変えることに対して、前向きに進むことができていると感じます。これからもこのカルチャー(企業文化)と行動特性により、その動き方が変わらないことが当社の強みであり、魅力だと思います。
もちろん、改善すべき課題は山積していて、それらに優先順位付けをしながら、着実に課題を解決しているというのが現状です。固定的、安定的な「セキュリティ業務の運用」は少なく、日々改善していくことが求められる環境ではあるが、その改善に対するブロッカーが極めて少ないということは、MonotaROでセキュリティという仕事をするひとつの大きな利点だと考えています。
セキュリティとして仕事をしやすいから、無尽蔵に他の組織のリソースを使えるかというと、そういうことではなく、達成が必要なことに対して、いかに最小の工数でやり切るのか、という観点は常に必要です。教科書・ベストプラクティスに沿ったやり方に収まるのではなく、そこを一段超えて、負担が少なく、持続可能なセキュリティというものを如何に構築・運用していくかという視点で課題に取り組んでいます。
例えば、セキュリティソリューションを導入するにしても、ソリューションを導入するたびに、運用担当者を追加で必要とするようなやり方は、今のMonotaROにとって正しい方向性ではありません。小さく実証実験をし、ソリューションがセキュリティ課題を解決できることに加え、その上で運用コストを上げない(自動化を実現できるのか)ことも我々にとっては、極めて重要なポイントになります。
また、セキュリティに関しては、正解は存在しないと思っています。セキュリティ事故が起きなければ、それは一側面としては正しいのですが、それによって、業務効率・業務スピードを著しく阻害するのであれば、別側面から見ると正しくはない。「何を守って」、「何をリスクテイクするのか」という点に関しては、常に意識しています。やみくもに「完璧なセキュリティ」を目指さない、潔癖症にならないということも、必要なことだと感じます。
葛西:
いざ入社してみて、解決すべき課題は実際たくさんあったのですが、自分の手を動かして検証を行い、スモールスタートで対策を進めていくことができました。
例えば、自分が入社してすぐに担当したセキュリティソリューションの導入案件では、数人での検証から各部署への小規模導入を経て全社展開へと広げていきました。社内でもPoC・先行導入に積極的に協力してもらえたので、非常に進めやすかったですね。進める中で明らかになった、当初想定していなかった課題についても、様々な部署の人が解決に協力してくれました。
私も一部関わったGitHub Enterprise Cloudの導入などもそのような形で進んだ事例のひとつです。
小さく始めて大きく育てる、最初から完璧を目指さず、運用しながら課題を解決していくという姿勢が定着しており、これは行動規範にある「小規模な仮説検証を繰り返し、大きな成果を実現する」を体現していると思います。
スペシャリストとジェネラリストの間、事業会社でのセキュリティキャリアについて
葛西:
私たちのような事業会社のセキュリティ担当に期待されるのは、自社の業務やビジネスをよく理解し、その上でセキュリティとビジネス側との橋渡し役となること。また、ビジネス側、セキュリティ側のどちらかに偏りすぎずにバランスを保って課題を解決することだと考えています。
セキュリティ専業の会社にいる方、事業会社にいる方、みなさん何かしらの専門性・得意分野をお持ちだと思います。その専門性を足がかりとして、「セキュリティ領域でご自身の強みを広げていきたい、新たな領域にチャレンジしたい」、「セキュリティからビジネスに貢献したい」という方に、MonotaROのセキュリティポジションはフィットするのではないかと思います。
自分の例で言うと、入社前はWebサービスやエンドポイントのITセキュリティの知識・経験が中心でした。MonotaROに入社してからもその領域は担当しつつ、最近では新たに物流倉庫の制御設備、いわゆるOT(Operation Technology)領域でのセキュリティに取り組んでいます。OTのセキュリティはITと違った観点も必要となりますが、今までのITセキュリティの経験を活かしつつ、領域を広げることができています。
また技術的な領域以外では、個人情報に関連する業務もあり、法務部門と連携して対応しています。関連する法律はアップデートされていきますし、諸外国の法制度についての理解も求められます。田中さんや法務部門など専門性の高いメンバーから情報収集をしたり、自分で調べたりと方法はさまざまですが、オーナーシップを持ちながら対応しています。
社内でセキュリティに関する相談を受けることは多々あります。セキュリティとビジネスサイド両方の知識があることで、的確なソリューションで解決ができると実感しています。
田中:
葛西さんが話すように、一つの専門性とそこからのピボットを楽しめて、さらに異なる専門性を獲得することが楽しむことができる方と働きたいし、そこが、事業会社であるMonotaROでセキュリティをやるということの大きな意味だと思います。自分の幹となる専門性を確立しつつも、他の隣接領域にもピボットができるジェネラリスト、それを志向する方がMonotaROのセキュリティ人材としてフィットするのではないかなと思います。
組織が少数精鋭であることの重要性
田中:
セキュリティ組織が少数精鋭であるべきという考えは、セキュリティに限らず、「戦略や優先順位付けの業務」は、アウトソースしてはならないというのが大前提にあります。セキュリティに関するテクニカルな理解や、関連する法令・制度の要求等、セキュリティを構成する「個別要素の理解の深さ」という縦方向と、「複数の要素を理解する横方向」の両方がないと、戦略立てや優先順位付けが正しくできないからです。
「縦方向」の深さだけでは、個別具体的なセキュリティソリューションや仕組みの導入だけ、運用だけの話しかできなくなってしまう。「横方向」に深さがなければ、絵に書いた餅や、地に足がついていない「どこかで聞いた、実現性の薄い話」しかできなくなってしまう。両方が揃わないと、「なんとなくやった感しか残らないセキュリティ」が出来上がってしまうという理解です。
MonotaROの現状のセキュリティ組織を鑑みるに、細分特化的な能力は定常的に必要にならないことが多いので、葛西さんの話す「スペシャリストとジェネラリストの両利き人材」が、MonotaRO規模の事業会社では必要であって、専門特化部分はアウトソースするのが最良選択になると考えています。
また、人材の数と組織が創出する成果は完全な比例関係ではなくて、一定数を超えた時点で、組織が創出可能な成果の増加率は下がり、やがて頭打ちになると考えます。業務量に比例して人材の数を増やすのではなく、業務プロセスを組み立てて、ルーティンワークを自動化させることなどの取り組みが重要になると思います。
ですので、我々は限られた資源の中で、全員が頭を動かし、優先順位付けして、小さな仮説を立てて、手を動かす。手を動かして、型化できた仕事は自動化する。自動化によってルーティンワークを減らし、その時間を「次の打ち手」のために使う。これらが私たちが追い求めたいセキュリティ・リスクマネジメント組織の形です。
取り組んでいる課題(どのような人と働きたいか)
葛西:
今取り組んでいる課題の一つとしては、セキュリティ領域をいかに自動化・効率化していくか、という点があります。田中さんが「少数精鋭」と言っていましたが、従業員やシステム・情報が増えていったときに、手動によるオペレーションやアセスメントはスケールしなくなりますし、非効率で不確実性が高い。貴重なセキュリティ人材をそのような手動の業務に費やすというのは、もったいない。そのような、人を無尽蔵に増やさなくとも回る仕組みを実現するために、システム化を進めています。
とはいえ、セキュリティに関わる全部が自動化出来るわけではありません。例えば、システム設計や業務設計などの段階で考慮すべき事は、従業員へ教育・啓蒙を行い定着させていく、という業務も必要です。ですので、私たちの考える「セキュリティ」を実現するためには、技術・自動化と人的・文系セキュリティ(※)の両輪が必要です。MonotaROには、この両方に興味を持てる方に来て欲しいですね。今できることは片方だけでも大丈夫ですが、両方できる機会があるので、ぜひチャレンジしてほしいです。
(※)ガバナンス、アセスメント、教育啓蒙など、非技術系の領域のこと
人的・文系セキュリティ(※)の担当も、手動オペレーションを減らすためにシステム化する取り組みを行っています。例えば、教育を担当しているメンバーでも、簡単なSQLを書いたり、ノーコード開発ツールを使って業務の自動化・効率化を行っています。また、新しいシステムを導入する際もシステム会社さんに提案してもらってお任せではなく、自分たちで製品を検証し選定しています。技術系の担当であれば、関係する技術領域についてある程度の知識を持ち、自ら手を動かして製品理解を行っています。
田中:
MonotaROは、CISOや管理職だからといって、誰かがレポートとして、まとめた情報から物事を考えるだけではなく、必要であれば自分で手を動かして、自分でやる会社です。我々も、セキュリティログを見るし、SQLを書くし、関連する法律の条文を読みこむし、インシデントハンドリングもマネージャであろうが、関係なくやる。たとえば、LLM(Large Language Models、大規模言語モデル)のような新しいテクノロジーに対するリスクを考えるとき、サービス規約を読み込むのは当然すべきこととしてやる。こういう泥臭く、遠い道のりに見えるが、実は意外と最短距離であることが多い。
泥臭いかもしれないが、一次情報にあたって、実際に起きていることを自ら手を動かして理解し、解決すべき課題を特定する。それに対して、社外の事例やアドバイスに耳を傾けつつ、最終的には組織のメンバーと一緒になって決定する、そんな仕事の仕方をしたいと思っています。
あとがき
この記事作成にあたってサポート(編集等)をした、人材開発グループの長尾です。田中さんと葛西さんに「編集後記を書いてよ。色々大変だったでしょ?」と言ってもらったので、本文とは違う角度として、記事制作の過程を少しだけお伝えしたいと思います。
今回の記事は、「セキュリティポジションのブログを書いてみませんか?」と私から田中さんに直接チャットを送ったことがはじまりです。すぐに「前向きに、前のめりで、検討します」と返信があり、次の瞬間には「書くならこんなテーマですかね」と大量のアイデアが送られてきて、あれよあれよとSlack上で企画がスタートしました。本文にも似た話がありますが、このスピード感にモノタロウらしさを感じながら、嬉しくなったのを覚えています。
いざ執筆がはじまったあとは、ドキュメント上に無数の修正コメントを入れたり、進行管理のためにショートミーティングを入れ続けたりと、編集担当としてフォロー(追い込み)をしていたのですが、笑いながら「締め切りドリブンなので!」と、二人ともすすんで手を動かしてくださったので本当に感謝しています。
大変だった話にはなりませんでしたが、本文にある当社の特性や二人の雰囲気をよりイメージいただくための材料の一つとなれば幸いです。このブログ制作に限らず、役職関係なくフラットに仕事ができる点もモノタロウの魅力だと思っています。カジュアル面談、もしくは採用選考へのエントリーをお待ちしております!