採用サイト

keyboard_arrow_right

マネーフォワードCISOが考える、世界で戦うための情報セキュリティとグローバル化

# お知らせ

2023/07/11

マネーフォワードCISOが考える、世界で戦うための情報セキュリティとグローバル化のアイキャッチ

【マネーフォワードグループ執行役員 CISO　松久正幸プロフィール】
1997年日本ヒューレット・パッカードに入社、都市銀行を中心にシステム構築を統括。2011年から同社のシンガポール本社に出向し、プロジェクト・ダイレクターとしてアジア各国のITプロジェクトの責任者を担当。2016年に帰国し、アマゾンウェブサービスジャパンに入社。金融ソリューション本部本部長として金融サービス業界のクラウド活用に注力。2023年に当社に入社し、CISOに就任。

金融向けのシステムインテグレーションを20年以上経験してきた

直近では、7年ほどAWS Japanで、金融セクターの技術責任者をしていました。
2016年頃はまだ、金融業界でパブリッククラウドを使うことは少なかったので、トラディショナルな金融機関で使ってもらうよう尽力していたんです。

その前に働いていたHP Enterpriseでも、金融向けのシステムインテグレーションに携わっていました。日本のインターネットバンキングの黎明期から、この分野で仕事をしてきたので、もう20年以上になりますね。
当時はまだセキュリティワークのフレームワークもない状態でした。

もともと、金融やセキュリティに関わる仕事を意識していたわけではなかったのですが、足を踏み入れてみたら、金融の業務知識やセキュリティのことがわかってきて楽しくなり、どんどんのめり込んでいきましたね。

HP Enterpriseで働いていた2011年から5年間、シンガポールに駐在し、グローバルな環境にも身をおきました。

シンガポールに行ったきっかけは、本当に偶然の出来事です。
当時参加していた社内の幹部養成プログラムの中に、インドのオフショアセンターの立ち上げ、というミッションがあり、2ヶ月ほどインドにいました。その帰りのフライトでシンガポールに立ち寄ったタイミングで、大手の金融機関さんから、アジアのデータセンターを統合したいから手伝ってもらえないか、と連絡をいただき、そのままシンガポールに駐在することになったんです。

全く予想していなかったことですが、そのチャンスに乗ってみることにしました。

実は、以前は英語を全く話すことができなかったんです。
ただ、外資系の企業で働いていたので、30代のあるときにふと、英語ができた方がいいんじゃないか、と思い、TOEICの勉強をして高得点を取りました。もちろん、TOEICの点数が良いから英語が話せるというわけではなかったんですが、それをきっかけに海外での仕事をすることができたし、シンガポールでのマネージメント経験も含めて、今につながっていると思っています。

私がこの10年で経験してきたことは、まさに今のマネーフォワードがチャレンジしていることと重なるんですよね。

培ったスキルを別の次元に高めるために、マネーフォワードにジョイン

AWS Japanでの7年間は、非常にエキサイティングな時間でした。
50名弱のソリューションアーキテクトのメンバーたちをマネジメントする立場でしたが、非常に優秀なメンバーたちと働くのは、すごく楽しいんです。

一方で、AWSやその他のクラウドサービスプロバイダーは、素晴らしい技術を持っていても、その技術を使ってプロダクトを作ることができません。あくまでも技術を習得して、マネーフォワードのような事業会社のエンジニアの方々にそれを伝えていくのが仕事です。
それはそれでもちろん楽しさはありますが、技術というのは、学ぶとそれを使ってみたくなるものです。

だから、技術で自分たちの事業を動かす、ということをやってみたい、と考えていました。

ビッグテックと呼ばれる企業で働いていると、同じビッグテックからのオファーをいただくことがとても多く、その中で、人材が行き来していたりします。

私は環境が似ているビッグテックの中で、これまでの延長にある仕事をするよりも、今まで培ってきたスキルを、別の次元に高めていくことに挑戦してみたかったので、オファーをいただいたマネーフォワードにジョインすることに決めました。

セキュリティ対策には「やらないこと」を決断する強さも必要

私の専門分野であるセキュリティの面から見ると、マネーフォワードは非常に大きな事業のポートフォリオを持ちながら、要所のセキュリティをしっかりと守っている、という印象でした。

セキュリティを守る仕事には終わりがありません。全ての脅威を完全に排除することは不可能ですし、ひとつ対策を講じても、次々に新しい脅威が生まれてくるからです。
だからこそ、誰かが「ここまでのリスクはしっかりと対策をして、ここのリスクは今は許容する」という決めを入れていく必要があります。

マネーフォワードは設立からずっと、この決断を前任の市川さんがやってこられました。
会社の予算には限りがある中で、これだけの規模と数のサービスを守っていくというのは非常に大変なことなんです。

もちろん、全体を見ていったときに、対策が不十分なところを洗い出していくということもできます。ですが、先ほども申し上げた通り、セキュリティ対策には、一定の「やらないこと」が存在するのは当たり前のことです。
なので、ここができていない、ということを見ていくのではなく、今の現状を把握した上でお金のプラットフォームとして、プラスでどんなことをしていくか、という発想で進めたいと思っています。

グローバルカンパニーを目指すための「3つの軸」を据えた3ヶ年計画

これから、マネーフォワードがグローバルカンパニーになっていくことで、さらにポートフォリオが広がっていくでしょう。SaaS×Fintechにおける成長を目指していくために、求められるものはなにか、という観点で、ここから3年のプランを策定しました。

大きく三つの軸があります。

①プロダクトセキュリティ
私たちはSaaSモデルのいろいろなサービスを提供しています。そこで扱うユーザー様のデータを守り、セキュリティをレベルアップしていくこと。これが大きな柱になります。

②コーポレートセキュリティ
メンバーが使う業務端末や、そこにログインする方法などを最新の環境に保つこと。見えないところできちんと守りながら、不自由なく使える環境を構築します。

③ガバナンス
ベトナムやインドといった海外拠点が増える中で、どのように共通の情報セキュリティのスタンダードを浸透させていくかを考えます。トレーニングやワークショップを通じて、安全なプログラミングはどういうものなのかを広めていきます。

グローバル化、という点で補足すると、情報セキュリティには国による違いはないんです。参照しているフレームワークがほぼ同じで、グローバルスタンダードなものがあるからです。
ただ、どの情報を守るのかという点が、日本と海外で異なる場合があります。日本には個人情報保護法がありますが、国によって守るべきデータの法的な観点が違うんですよね。なので、この部分は法務部とも一緒に動いています。

CISO室というのは、会社の安全装置なんです。

CISOの仕事を網羅的に定義した『CISOマインドマップ』というものがあるんですが、これは世界のテックカンパニーの優秀な人たちが組織するワーキンググループが作っているもので、全世界のCISOたちが参照しています。その膨大にあるタスクの中から何を削ぎ落としていくか、マネーフォワードにとって必要なものはなんなのかを考え抜いていくことも大切な仕事ですね。

マネーフォワードをオリジナルのビッグテックカンパニーに

マネーフォワードはグローバル化の真っ只中ですが、グローバル企業を目指すにあたって必要になるのは、共通言語だと思っています。
共通言語といっても英語のことではなく「共通の考え方」ですね。

NIST（National Institute of Standards and Technology）という米国立標準技術研究所が作っているサイバーセキュリティフレームワークがあります。これは多くのグローバル企業で採用されているものなので、マネーフォワードでもこれを使うことを提案しました。
これは世界で使われているものなので、日本でもベトナムでも、同じところからスタートすることができるんです。
それがないと、日本の常識を押し付けてしまうことになりかねません。

CTOの中出さんは、ビッグテックになる、ということを発信しておられますよね。
ただ、私自身は、それは既存のビッグテックのクローンになるという意味ではない、と解釈しているんです。ビッグテックのやり方を参考にしながら、オリジナルのグローバルカンパニーになっていけるといいな、と思っているんです。

実際にAWS Japanで働いてきて、良いところも悪いところも経験してきたので、その知見を共有しながら、みんなでマネーフォワードらしさを失わないグローバルカンパニーに成長していきたいですね。

高難度のセキュリティスペシャリストの仕事を、楽しめる人と働きたい

セキュリティスペシャリストという仕事は、とてもチャレンジングで、エンジニア職の領域の中でも難易度の高いポジションです。
私たちは、サービスを作るための言語やフレームワークはもちろん、その完成したものをクラウド上でどう動かしているのか、といったところまで、全てを理解する必要があります。
攻撃者と同じ目線になって全体を見ながら、問題がある箇所を見つけていかなければならないので、求められる知識の幅が非常に広いんですね。

なので、ものすごく難易度は高い仕事ですが、それができるようになったときの楽しさは格別です。

ただ、最初からその全体の知識が必要かというと、私はやりながら学んでいけばいいと思っています。
CISO室のスペシャリストたちもそれぞれに得意分野があって、お互いをフォローし合って学んでいます。

だから、そう言った意味では、セキュリティスペシャリストとして、マネーフォワードにジョインしていただく方には、幅広い知識を吸収することを楽しめるかどうか、ということと、新しいテクノロジーが生まれたときに発生する未知の脅威を楽しめるかどうか、ということを意識していただければと思います。
まさにCultureの「Fun」ですよね。

私は、技術はトレーニングによって伸ばすことができるものだと思っているので、入社の時点で全部ができなくても大丈夫です。
まずは一つでも詳しい分野があれば、そこから貢献していただいて、みんなで学びながら一緒に将来を築いて行きましょう。

CISO室のグローバル化。このチャレンジをポジティブなきっかけにしてほしい

マネーフォワードならではの仕事の面白さとしては、スピード感を持って仕事ができることですね。
エンタープライズ規模の企業だと、普通はある程度スピードが遅くなるものなんです。

極論を言ってしまうと、セキュリティ対策というのは、何も問題が起こらなければやってもやらなくても同じ、と考える人もいます。その意味で、事業に直接関係ないと判断されると、私たちCISOの目線でセキュリティー上の課題に対する打ち手を提案しても、なかなか優先順位をあげてもらえないことはよくあります。

でも、マネーフォワードのCISOは、CEOの辻さんの直下組織であり、辻さんが常にスピード重視で決断してくださるので、非常に速いんですよね。
たとえそれが「今はその対策はしない」という決断であったとしても、素早く判断してくださるので、納得しながら推進することができるんです。
そこはこの会社の大きな魅力だと思っています。

マネーフォワードがグローバル化する中で、CISO室もグローバル化していく必要があります。Non Japanese Speakerにもジョインしていただきたいですし、コミュニケーションを英語化していくことも考えています。

今、英語が話せない方にとっては、これは大きな変化になるかもしれませんが、私自身も30代でぐっと英語力を上げたことで、大きな世界が広がりました。
だからこのチャレンジを、ポジティブなきっかけとして捉えていただけると嬉しいですね。

日本のセキュリティ対策の、モデルケースになるために

先ほどもお話しした通り、セキュリティエンジニアは、とても難しい仕事です。やることとやらないことを決めていく必要があるからです。
この「決め」をどうするか、というところで、日本中のCISOが悩んでいるんです。

だから、私がひとつのモデルケースとして、こういう考え方でこういうジャッジをしている、という型みたいなものを作って行きたいと思っています。

「どんなリスクを最小化するために投資しているのか」をしっかり考えないと予算が無駄になります。

やらないことを決めるのは非常に難しい判断です。人は危機に晒されたときに、安全な方を選びたいと思うものですから。
だから企業のCISOの担当者が迷ったときに、参考になる存在にマネーフォワードがなりたいと考えています。そんな説得力を持てるように、まずはマネーフォワードのセキュリティをしっかりと守っていくことが重要です。

これからマネーフォワードの一員として、そんな未来を描いてみようと思っています。