システムエンジニア

白石 龍亮

サイバーセキュリティ統括部 サイバーセキュリティ推進チーム

白石 龍亮Ryusuke Shiraishi

2018年入社

大学では情報システムデザインを学び、就職活動ではその知識を活かせる仕事を軸にした。当社が手がける金融系システムは社会にとってなくてはならない存在であり、システムが大規模なばかりでなく、要件定義といった上流プロセスから携われることに魅力を感じた。面接時などに感じた、穏やかな社風も自分に合っていると考えた。サイバーセキュリティについては入社後に興味を抱いた。

サイバーセキュリティは、
当社にとって重要な経営課題。
防御から発生時の対応、
教育研修まで幅広い取り組みを進める。

サイバーセキュリティ統括部は、その名の通り、当社のサイバーセキュリティにおける取り組みを統括する部署です。具体的な業務としては、社内システムに関するリスク評価、インシデント発生時の対応、さらには教育研修などの企画・推進などがあげられます。サイバー攻撃は年々増加し、巧妙化しており、それらからシステムを守るセキュリティ体制の強化は、当社にとって重要な経営課題。また、万が一インシデントが発生した場合、速やかな対応を図り、被害を最小限に抑えることも当部のミッションです。
その中で私は、サイバーセキュリティに関わる教育研修を担当しています。開発部門のエンジニアを対象にした啓発活動から経営層向けの研修まで、この業務の主担当として幅広い取り組みを進めています。その活動は社外にまで広がっており、サイバーセキュリティに関するイベントへの協賛や学生向けコンテストの運営にも携わっています。

「社内公募制度」を活用し、
現在の部署に異動。
意欲さえあれば、
どこまでもチャレンジできる環境がある。

入社して最初に携わったのは、クレジットカード系システムの大規模更改プロジェクトです。このプロジェクトでは、学生時代に培ったスキルを活かして、プログラミングまで担当しました。そしてシステムが無事にリリースされると、引き続き運用にも関わることに。システムの企画・開発から運用まで一貫して担当することによって得た知識は、現在の業務でも大いに活きています。
私のキャリアにとって転機となったのは、入社3年目に社内で行われたセキュリティ関連のコンテストに参加したことでした。このコンテストにチームとして応募し、上位に入賞。この出来事をきっかけにサイバーセキュリティという専門分野への関心が膨らんできました。そしてサイバーセキュリティに関する業務に携わりたいという想いが強くなり、社内公募制度を利用して、現在の部署に異動してきました。このように当社には、社員たちの好奇心を刺激し、自らの意思に応じてチャンスを手にできる環境があるように感じています。

「DDoS攻撃」など警戒すべき
サイバー攻撃に
備えるため、
もしもの時のシナリオを描き、
インシデントを設定した「訓練」を
実施。

最近増加しているサイバー攻撃の一つに「DDoS攻撃」があります。この攻撃を受けると業務の継続が困難になってしまう可能性もあり、インシデントを未然に防ぐための徹底した対策が必要です。こうした体制を充実させるためには、対策を講じるばかりでなく、その対策が実際に攻撃を受けた際に漏れなく機能するかを評価し、仮にインシデントが発生した際に適切に対応できる仕組みを整えておかなければなりません。
当社では、厳格な社内規定を設け、それに基づく研修プログラムを用意しています。なかでもシステム管理者に対しては、インシデント検知後の初動対応や関連部署との連携、システムにおけるログの解析など、あらかじめ対応を理解してもらう必要があり、私はそのための研修を企画しました。実際のサイバー攻撃を想定した架空のシナリオをつくり、起こりうるインシデントを設定。それらに適切に対応するための訓練を行っています。

サイバーセキュリティは、
社会にとっても大きな課題。
社外のさまざまな組織と
連携した取り組みを推進する。

これまでサイバーセキュリティに関わるさまざまな研修を担当してきました。なかでも印象に残っているのは、初めて企画・運営したシステム管理者を対象としたハンズオン研修です。実際にサイバー攻撃によるインシデントを体験してもらうために、座学による講義に加えて、演習を実施し、コンテンツの内容や現場環境の再現に工夫を凝らしました。自分で一からコンテンツを生み出していく難しさがありましたが、その分発見や学びも多く、教育研修の企画・運営という業務の醍醐味を実感しました。
また、学生向けのセキュリティコンテストでは、当社における現場リーダーを任され、貴重な経験を積むことができました。大学と協賛して実施したこの企画は、当社としては初めての試み。サイバーセキュリティは、IT企業ばかりでなく、幅広い分野の企業・団体にとっても重要な課題です。外部の組織と連携して取り組みを進めることは、当社にとって多様な知見の蓄積となり、プレゼンスの向上にもつながると考えています。

1日のスケジュール

  • 8:40

    業務開始(在宅)。メールチェック。

  • 10:00

    リモートで、メンバーと役員向け訓練の打ち合わせ。

  • 11:00

    勉強会。クラウド環境におけるセキュリティの課題など。

  • 12:00

    昼食。

  • 13:00

    社外のセキュリティイベントの運営に向けた練習。

  • 16:00

    チームでの進捗確認のミーティング。

  • 17:00

    システム開発者向け研修の企画書作成。

  • 18:00

    業務終了(出社は週一回程度)。

サイバーセキュリティの戦略立案、ガバナンス整備など、
リーダー的な立場で全社的な取り組みを推進していきたい。

サイバーセキュリティに対する当社社員の意識を高めていくことは、〈みずほ〉におけるITシステムの安定稼働につながり、ひいては社会インフラの品質を高めることになります。なかなか成果が目に見えにくい仕事ですが、取り組むべき意義はとても高いと感じています。教育研修の企画・運営では、経営課題にもつながる全社的な視点が求められる一方で、受講者と同じ目線も欠かせないため、広い視野で物事を考えることが大切です。前例のないようなコンテンツを作成することも多く困難なこともありますが、その分だけ自由度が高いというやりがいや面白さがあります。
これからも社外のイベントなどに積極的に参加し、サイバーセキュリティの有識者として知見を深めていきたいです。また、プロジェクトマネジメントなどビジネススキルの研鑽も、私にとっての今後のテーマの一つです。将来的には、サイバーセキュリティに関する戦略立案やガバナンス整備など、全社的な取り組みをリーダー的な立場で推進していきたいと考えています。

※所属部署は取材当時のものになります。