攻めるための守りについて
サイバー攻撃や不正利用など、さまざまな脅威やリスクから、PayPayとPayPayユーザー、加盟店を守っている法務・リスク管理部門。
確かに脅威から守る部門ではあるが、PayPayの守る部門は、攻め続ける会社や人のために守りつつ、共に進んで開拓していくスペシャリスト集団。このシリーズでは、PayPayが圧倒的No.1であるため、あらゆるリスクを想定した全方位型の守りについての考えを、それぞれの部門の責任者に詳しく聞く。Vol. 2は情報セキュリティ対策の長、CISOの加藤さんが、常に最先端を走るPayPayのセキュリティ対策を語る。
加藤 誠(かとう まこと)
法務・リスク管理本部
SI(システムインテグレータ)を経て、2006年ヤフーにエンジニアとして入社。決済関連サービスのシステム開発部長を経て、2016年YJFX!(現外貨ex by GMO)にてCISOおよび情報セキュリティ・リスク管掌執行役員を歴任。2018年7月よりPayPay株式会社CISO就任。3児の父。
今、攻めるために守るには
情報セキュリティの守りの体制を教えてください。
上記図の通り、情報セキュリティに係る業務全般が担当領域になります。創業時から着実に成長を重ね、今では情報セキュリティ対策として不足ない態勢が整えられてきました。
守る部門でありながらも攻めていることは?
PayPayのアプリケーションは日々機能の追加、進化を続けています。
そのため、外部のセキュリティベンダーによる定期的なセキュリティ診断だけでは、不十分であると考えています。その対策として、社内のRed Teamによる脆弱性診断、ペネトレーションテストを専門に行う体制を構築しています。
残念ながら、悪意をもった攻撃者、攻撃組織からの攻撃による脅威は、常に存在します。そのような脅威からの想定外の攻撃によって、大事な情報が奪取されないように、SOCやCSIRT、システム開発を行うプロダクトチームと連携しながら、様々な攻撃手法を組み合わせた攻撃手順を分析。常時PayPay全システムに実際の攻撃を想定した診断を行い、その挙動を評価するなど、積極的な対策を続けています。
国内では、このような攻撃耐性評価を専任とする組織を社内に持つ企業は少なく、PayPayのセキュリティ組織の大きな特徴であると考えています。
今後、より強化したい領域はどこですか?
ある特定の領域だけでなく、全般の強化をしたいですね。
おかげさまで、PayPayは、多くのユーザーにご利用いただいており、日々成長しています。それに比例して、業務量、守るべき範囲が広がってきています。今では、4,400万を超えるユーザーの情報を預かる企業にまで成長しました。その成長に対する責任として、グローバル基準でトップレベルのセキュリティ態勢を目指しています。そしてその目標を達成するためには、セキュリティに係る全般の高度化が必要と考えています。サービスインから現在まで、どこかの領域に偏ることなく、セキュリティ全般を同時進行で成長させてきました。この同時進行の成長が、現在の態勢の強みであり、目標達成に向けての着実な歩みだと思います。
部門責任者としてメンバーに意識共有していることはどんなことですか?
私自身が意識していることですが、PayPayはサービスインから3年の若い会社です。セキュリティの対策もサービスイン当初と比べると大きく進化してきたからこそ、一定レベルの進化に満足しないように意識しています。悪意をもった攻撃者は日々、攻撃手法を進化させてきます。我々の対策が、ある地点で止まってしまったら、簡単に攻略されてしまうでしょう。
過去との比較や他社との比較結果等に満足せず、日々進化していくことをメンバーに意識してもらっています。
また、最新情報の収集も業務に必要不可欠なことです。それぞれのメンバーが専門領域をリサーチしていますが、日本国内に限らず、海外の事例も見ることが大事だと伝えています。昨今、経歴や国籍もさまざまなメンバーが集まってきており、かなり多様性のある組織になってきました。その多様性を活かせば、より全方位で万全なセキュリティ対策が図れると考えています。
PayPayの守りと攻め、求める人材
どういう人にPayPayへ来てほしいですか?
新たな課題や変化を、楽しんで取り組むことが出来る人に来て欲しいと思います。会社全体で態勢強化に取り組んでいますが、まだまだ出来ていないこと、課題は山積みです。そういった状況を楽しんで、PayPayとともに成長できる方に来て欲しいです。
また、月並みな回答ですが、コミュニケーション能力は必要だと思います。PayPayはリモートワークの環境です。対面でのコミュニケーションでなくても、誤解なく伝える、相手の意図を正確に理解するという能力が必要となります。日々の業務において社内で問い合わせを受けた際に、難解な専門用語や、複雑な事象をいかに他部署の担当者へわかりやすく伝えられるかが腕の見せ所でしょう。
PayPayの守る体制において求められるスキルは?
バランス感覚でしょうか。
PayPayはすごいスピードで新しいサービスが追加されるなど、日々新しいことが起こります。
その都度、既存のルールに適合しないものが多く発生しますが、ルールに適合しないからムリ、と言ってしまってはPayPayの成長は止まってしまいます。事実を正確に把握し、リスクベースでセキュリティリスクの有無、大小を判断し、かつセキュリティの大方針を見失わない。そんなスキルが必要となります。
また、PayPayのセキュリティ部門には、インシデントレスポンス(CSIRT)、セキュリティ監視、脆弱性診断、ペネトレーションテスト、規定、セキュリティルール策定、社内のセキュリティ相談と、さまざまな業務があります。すべての経験が必須でもなく、他者には負けないという業務領域がある方は、活躍できると思いますし、求める人材像になりますね。特定の業種経験の指定もありません。多種多様なスペシャリストが集まった結果、PayPayのセキュリティチームがスペシャリスト集団になればよいと思っています。
もちろん、どの領域にもある程度精通しているゼネラリストタイプもいます。スペシャリスト、ゼネラリストどちらも活躍できる場はあります。どちらにしてもコミュニケーション能力という土台は必要ですね。
応募者へのメッセージをお願いします。
まだ、道半ばですが、「一つの歴史を作っている」と思っています。過去にはソフトバンクが「Yahoo! BB」の名称でブロードバンドサービスを開始し、日本のインターネットにおける、価格とスピード革命のきっかけになったことは、今も語り継がれる大きな転換点となりました。
我々の仕事も既存の金融概念を大きく変化させるきっかけとなり、数年後、数十年後にも語り継がれるような仕事とすべく日々取り込んでいます。
一緒に「歴史を作りたい」と思われる方の応募をお待ちしています。
現在募集中のポジション
執筆:Makoto Kato / 編集:Keiko
※社員の所属等は、取材当時のものです。
