あらゆる攻撃から金融システムを守り
安全で安心なサービスを提供し続ける。
サイバーセキュリティの世界を知り
一生の仕事にしようと思った。
私がサイバーセキュリティの世界に入ったのは、当行に来る5年ほど前です。
もともと大学では法学を専攻していて、就職先も業務の規模と社会的使命の大きさに惹かれ政府機関を中心に考えていました。実際、その一つに入りましたが、配属先は予想もしていなかったシステム部門。知識といえば学生時代に趣味でコンピュータを使った音楽制作をしていた程度です。弱ったなと思って面倒見のいい先輩についてまわって教えを乞い、休日には自宅でサーバーを自作したりして知識と技術のキャッチアップに努めました。仕事も少しずつ覚えて、システム部門での経験を5年ほど積んだころ、今度はサイバーセキュリティ部門に異動になったんです。
これも知らない世界でしたが、研究してみるとなかなかおもしろい。自分が疑似的な攻撃者になって自作のサーバーを攻めてみたこともあります。着任した部署では、国内のセキュリティ団体への出向や、米国でのトレーニングへの参加などの貴重な経験も積ませてもらい、国際的な情報セキュリティのプロフェッショナル資格CISSP(※)も取得しました。当時世界で資格保持者が3万人くらいいたのですが、日本にはわずか1,200人ほど。私の所属組織には一人もいないという状態でしたから、ぜひ取ろうと思ったんです。
この資格取得も契機に、私はサイバーセキュリティの世界でキャリアを積んでいきたいと考えるようになりました。しかし、所属機関では定期的な人事異動があり、いずれは部署を離れることが明白でした。せっかく得た知識やスキルを世の中のために使いたいと思い転職を決断。業務が重要インフラであることやシステム部門がきちんと評価されていること、海外との連携がイメージできることなどを軸に探して当行が浮かび上がりました。
※ CISSP:Certified Information Systems Security Professional
数千を超える情報システムを
あらゆる脅威から守り抜く。
現在はサイバーセキュリティチームのリーダーとして、国内外で数千を数える情報システムをサイバー攻撃から守り抜くことをミッションとしています。業務の幅は非常に広く、私のチームでは全システムが共通して守るべきルールの策定や遵守状況のレビュー、サイバー攻撃への対応がどの程度できており、弱いところはどこか、といった評価を行っています。チーム内のあるラインでは、日米で連携し24時間365日切れ目なく攻撃の状況を監視し、異常を検知したらアラートを発し、原因究明や緊急対応を行う態勢を取っています。
また、サイバーセキュリティは個々の事業者が単独で対応するだけでは限界があります。金融業界はもちろん、重要インフラを担う他社・他業界や、国や法執行機関とも連携し、一体となってセキュリティ対策を進めています。自社の枠にとどまらず広く日本の産業や社会、国に貢献できる点は、サイバーセキュリティ業務の大きなやりがいであると感じます。
サービスをいかに継続するか
銀行のサイバーセキュリティの難しさ。
サイバー攻撃に繋がる不審な動きを見つけたときは、最悪のシナリオを想定してシステム部門や業務部門、マネジメント層を巻き込んで意思決定を行う場を即時に設けます。限られた時間内に、集めた情報をもとに対応方針を考える必要があり、何度経験しても緊張します。試されるのは瞬発力で、一分一秒を争って最短距離を走らなければなりません。
冷静な対処のために必要なのは、やはり日常からの備えです。最新の脅威動向に常に目を光らせていること、銀行システムの構成や防御能力、インシデント発生時の対応プロセスを正しく理解していること、そして定期的にプロセスの実効性を確認できていることがポイントです。
さらに銀行におけるサイバーセキュリティには大きな特徴があります。それはサイバーセキュリティだけを知っていてもだめだということ。銀行のシステムは、安易に止めることができない。銀行にはお客さまを最優先に考え、社会インフラとしてサービスを維持するという責務があります。システムを止めないためにどういうことが可能か、そのためにどういう準備が必要か、もし止めた場合、社会や経営への影響はどの程度かといったマネジメント層の判断に必要な情報を事前にそろえておくことが欠かせません。
サイバーセキュリティのプロとして
属人性を排し、全員でセキュリティを守る環境を整備する。
情報窃盗、不正送金、システム破壊――さまざまな意図の攻撃が日々、絶え間なく銀行システムに襲いかかっています。これで充分といえる対策の決定打が存在するわけでもなく、IT分野の進化や変化に伴って常に新しい脅威が発生している。終わりなき戦いが続きます。それに耐えるタフなメンタルを備えたチームをつくりあげ、維持していかなければなりません。その鍵の一つは、属人性の排除であると思っています。この人が頑張らなければだめ、この人でなければできないという状況は避けなければなりません。メディアでもサイバーセキュリティ人材の不足が話題になっている通り、今後もその傾向は続くでしょう。人を育てていくことは当然必要ですが、並行して「この人しかできない」という業務を極力減らし、標準的なオペレーションや自動化で代替する。この点は積極的に取り組んでいるところです。実は、業務を正しく標準化できるのはその業務を細部までよくわかっている人だけなんですね。業務プロセスを標準化した結果「なんだ、そんな簡単な話なのか」と言われる瞬間が実はうれしい。その簡単な話に落とし込むところはプロにしかできないんですよ、と心の中で思っています。
銀行のシステムは絶対に守らなければなりません。ひたすら守り続けるという厳しい戦いですが、誰かがやらなければいけないし、それができる人も限られている。私はこれからも、銀行におけるサイバーセキュリティのプロフェッショナルとして、金融インフラを守り抜くために戦いたいと思っています。