PayPay最高峰のCISO室をご紹介しましょう。

PayPayで働く圧倒的プロフェッショナルに迫るプロフェッショナルズシリーズ。 今回は、PayPayの情報セキュリティを管掌するCISO室 室長代理の中澤上明さんにお話を伺いました。他のメンバーから「圧倒的プロ」と言われる中澤さん、彼の魅力とPayPayの情報セキュリティについてご紹介します。

自ら実装を学び、自分が納得できるセキュリティを構築したい

PayPayへ入社した理由や背景について教えてください。

2018年のPayPayアプリリリースから約１年後、本格的に情報セキュリティチームを組織しようとしていた2019年12月にPayPayへ入社しました。PayPay入社前は、セキュリティベンダーにてセキュリティチェックの仕事やコンサルタントをしておりました。情報システムのあらゆるところにセキュリティホールがあるのを見てきたので、フィンテックという業態に半信半疑なところがありましたが、ユーザーとして初めてPayPay決済した時の速さに、純粋に「すごいなぁ」と感動したのをきっかけに入社したいと思いました。

PayPayのCISO室の役割とは？

大きく分けて5つの役割（ユニット）があります。この5つがそれぞれ上手く連携することで、ビジネス全体の安全性を維持しつつ、アグレッシブに進化することを支援しています。

私はその中でも、サイバー攻撃に関連する「Red Teamユニット」「CSIRTユニット」と「SOC(Blue Team)ユニット」を設計、構築段階から担当しています。ユニット構築にあたっては、一般的なセキュリティ対策に加えて、常に攻撃者の存在を意識することをポイントとしています。私たちの上司である加藤CISOはとても穏やかで冷静沈着ですが、前職はYJFXの執行役員で、フィンテック事業を長く経験してきたこともあって、決済事業提供者としてCISO室に求める要求レベルが非常に高いのです。彼のこだわりがきっかけとなって5つのユニットが組織され、常に強化されてきました。

Red TeamユニットとCSIRTユニットの構築

私がセキュリティベンダーでのコンサルタント時代にRed Team、CSIRTやSOCといった管理部署の提案や構築支援はしてきましたが、自分自身が事業会社に身をおいて構築した経験はありませんでした。自らやってみることで、初めてその難しさや課題を深く理解できるのではないかと感じ、実現できる会社を探しました。PayPayの採用面接で、加藤さんからRed Teamを内製構築したいという話を聞き、是非手伝わせてください！というところから意気投合し、入社後は前職までの経験に加え、実際に自分で作る部分は常に学びながら、チームメンバーの助けを借りて、Red Teamユニットを構築することができました。

その後、CSIRTユニットという、セキュリティ上の問題が発生した時の調査や解析などを担当するチームの構築を行いました。インターネットでビジネスをする以上、切っても切り離せないのが「情報セキュリティ／サイバーセキュリティ」です。万が一があると、これまでPayPayの全社員が一生懸命作り上げてきたものが、一瞬で消えて無くなってしまうことがあるのがセキュリティ事故です。だからこそ、Red TeamユニットなどCISO室全ユニットでは、信頼を失ってビジネスに大きな打撃を与えないようにすることを使命として取り組んでいます。

様々な脅威に対する守り

インターネット上での決済事業を主に展開するPayPayは、インターネットにおける様々な脅威に面しています。不正アクセスなどを起因とするシステムの停止や、それに伴うレピュテーションリスク、また情報漏洩のような事業への信用を脅かす攻撃や事故、ATO(アカウントの乗っ取り)や詐欺のような金融犯罪、そして内部犯行等、実に様々です。そうした想定するリスクの全方位に対策し、事業を安全かつ円滑に提供し続けるためにも、前述の3つのユニットが下記のように強く連携しています。

さらに、リサーチャーが常に技術文献・ネット記事・SNSなどから最新情報や攻撃情報を収集することで、PayPayが標的となった場合にどのような攻撃が行われる可能性があるのかをキャッチし、予測分析と対策を講じることも重要な業務の一つです。そうした情報をRed Teamユニットにて積極活用し、PayPayのアプリやシステムを壊す作業を最適化させます。システムを壊す、と聞くと、なぜ？と思うかもしれませんが、サイバーセキュリティにおける重要な施策の１つに、攻撃者よりも先回りして問題を検知／修正する活動があります。Red Team は PayPay のシステムや事業、会社自体をどのようにすれば壊すことができるのか、その壊し方を自ら見つけ出すことで、攻撃者より先に問題点を発見して解消させます。そしてこれを毎日様々な手法を駆使して繰り返し試行を続けます。インターネットは、誰がいつ侵入してきても不思議ではない世界だからこそ、先回りして先手を打つことで、徹底的に守りながら、闘うチームがPayPayにはあります。

PayPayの環境だからこそできたこと

PayPayでは本当に事業スピードが早いんです。私たち管理部門も同じスピードで進みます。たとえば、ISMSとPCI DSS認証は3ヶ月で取得しました。このような認証取得は、部署間調整やヒアリングなど大規模な社内チェックが入るので、3ヶ月で全てのレビューに対応し終えることはかなりチャレンジングでしたね。また、監督官庁など、社外の方とも調整をしながら迅速に進めていくことも多いです。日本政府によるキャッシュレス推進も後押しとなって、さらにスピードが上がっているのを日々実感しています。

社内要件としてもCISO室の承認が必要な案件も多く、ビジネススピードを緩めないように迅速に決断することがとても重要です。またスピード重視の１線（開発などの現業部門）がとりこぼすポイントを２線（私たち管理部門）としてしっかりフォローすることも意識しています。

安心できる情報システムを維持し続ける

優秀でグローバルなエンジニアメンバー

現在のチームメンバーは、高いレベルの対策をかなり早いスピードで実現できるので、一緒に仕事をしていてとても楽しいです。彼らの優秀さを、コンプライアンス＆ガバナンス（情報セキュリティ）とサイバーセキュリティの両面からお話しさせてください。

まず、情報セキュリティの側面では、ISO/IEC、NISTや官公庁およびグローバルな金融に特化したセキュリティフレームワークに精通していることが求められます。アセスメントはもちろん、成熟度評価やサプライチェーン評価ができる能力、さらには国内外の関連法規やGDPR/CBPRなどのプライバシー基準にも精通している必要があります。

もう一方のサイバーセキュリティの側面では、正しくリスクやサイバー攻撃を分析し、評価と対策を行うために、かなり幅広い分野に対する知見が必要です。求められたときに専門家としての適切なアドバイスができるように、様々なOS、プログラミング言語、モバイルやクラウド技術、ネットワークやデータベース、ライブラリやフレームワーク、暗号技術や統計、ログ分析基盤（SIEM/SOAR/UEBA）に対する深い理解が要求され、そしてそれらに対するサイバー攻撃技術／アーティファクト分析技術／フォレンジック技術に精通していることが大事です。

メンバーはこのような高い要件を兼ね備えているからこそ、毎年高い目標を着実にクリアすることができています。最終的には、ユーザーのみなさんに「あたりまえに」安心と安全をお届けできている、この点がチーム全体のやりがいに繋がっています。

さらにサイバーセキュリティは、英語・中国語・韓国語などの海外文献に新しい情報が書いてあることが多いので、いろんな言語ができるメンバーがいたほうがプラスです。多方面から情報収集ができて厚みがでます。チーム内で新しいアイディアも出るので、コミュニケーションがすごく楽しくなりました。大きなマーケットである外国の情報は貴重で、そうした情報ソースから、文化的背景も含めて読み解ける人をメンバーとしてアサインしています。情報セキュリティにおけるカントリーリスクを、グローバルなメンバーと一緒にやることで慎重に、かつ柔軟な判断ができればと進めています。

キャッシュレス決済のトップ企業としての未来

金融機関におけるセキュリティ基準に関しては、アメリカが高い水準を持っており世界を牽引しています。それらをいち早く採用し準拠し成熟することを目指しています。準拠が難しい高い水準の様々なガイドラインを私たちの高度化のスタートラインと位置付け、今年の目標を”グローバルスタンダードに高い成熟度で準拠”としています。そこに向かって、まずは金融機関がグローバルな視点で求められるレベルまで、しっかり到達することを推進しています。また、その中でもイノベーティブな試みができないかということを考えながら、成熟度をレベルアップしていきます。併せて、常に進化し続ける攻撃を常にキャッチアップして対応できるようにすることで、現金よりも便利で安全なプラットフォームを実現していきたいです。

また、この先も速いスピードで進化し続けるビジネスとセキュリティのバランス、業務環境や開発環境とセキュリティのバランスを常に意識して、安全と柔軟性を両立させることにも重きを置いています。そのことが、お客様の資産を様々なリスクから適切に保護し、安心してご利用頂けるプラットフォームの実現、維持に繋がると信じているからです。

ジョインしたいひとにむけて

一番大事にしていることは、視野の広さです。情報セキュリティ、サイバーセキュリティに関する様々な知識がないとできない業務ですから、広い視野を持ちつつ、あらゆる角度から物事を柔軟に考えられる力が必要です。私自身、自分の手で安全にしたいと思いPayPayにきましたので、自ら変化を起こしたい、実現させたいという気持ちや懸念点に対してコミットしていきたいという方への環境が整っています。

受け身でなく、行動力が備わっている方はPayPayでは楽しく働けると思います。与えられた課題に対する推進力をお持ちの方はもちろん、特殊な専門職の方、例えばホワイトハッカーといったモノを壊すのに長けている方も活躍できる場です。なので、幅広い経験がある方や情熱の強い方は、是非、一緒に高いゴールに向かってチャレンジしていきましょう！

中澤さんは、取材前からとても知識が豊富であらゆる角度から物事を見れる人物だと感じていました。対面の取材で穏やかな口調でセキュリティについて語る姿から、彼の真面目さとセキュリティに対する真剣な気持ちが伝わってきました。時々、微笑みながらメンバーについてお話しされる中澤さん。他のメンバーから「圧倒的プロ」と言われる理由がわかりました。PayPayの圧倒的セキュリティ対策に安心安堵し、PayPayを使って下さる方が増えてほしいなと感じました。

※募集状況は取材当時のものです。

協力：Nobuaki Nakazawa / 執筆・編集：Danata（PayPay Inside-Out編集部）
※社員の所属等は、取材当時のものです。