セキュリティ監査部インタビュー

トークメンバー

規定やガイダンス周りのセキュリティ面を見直して新しいセキュリティ対策を提案する仕事をしています。
簡単に言うとシステム開発時のルール検討している仕事です。現在は二つの案件に携わっています。

一つ目はKDDI本体、グループのクリティカルシステム（他システムより最も重要なシステム）セキュリティ対策の検討やクリティカルシステム監査のフローの見直しを行っています。

二つ目、総務省が提供している日本の（政府機関の）5Gネットワークセキュリティガイドラインを見直し、
最新技術に当てはまるように特定のリスク分析モデルを使って5Gネットワークのリスクを分析し
ガイドラインを更新するという業務を行っています。

扱える人の数が少ない分析モデルを使って分析するという貴重なことが携われてすごくやりがいを感じます。
あと自分が分析した結果を提案してガイドラインに無事採用された時の達成感は半端ないです（笑）

主にKDDI本体、グループ会社が構築したシステムのセキュリティ監査、アセスメントしています。
新しく構築したシステムや改修したシステムがセキュリティを守った構築・運用ができているか確認を行っています。  
また適切に運用を行えているか確認する定期監査、アセスメントも実施しています。  

自分が監査を行ったシステムが問題なくリリースされたことを知ると、  
自分の仕事が陰ながら安定したシステム稼働に繋がっていると感じます。  

デジタルマーケティング戦略のマーケットリリサーチャーとして企業のサービス販売をデジタルメディア
（SNSや広告など）で戦略を計画する仕事をしていました。
SEOやコーディングなどに触れたIT系の仕事ではありますがメインは販売戦略のビジネス系の仕事です。

プログラマーとしてシステムを作る側でした。  
当時セキュリティについては、Webアプリケーションの脆弱性対策ぐらいしか考えておらず、
セキュリティに知見のある周囲のメンバーに助けられていた覚えがあります。  

学生時代にハッキングに興味があって少しハッキングのこと学びましたが当時ただの遊びだったので
セキュリティ（防衛側）のことは全く考えてなかった。長年違う領域（ビジネスやコーディング系）やっていて
セキュリティのことも何も思ってない私にある出来事が起きました。
私が管理していたマーケティング用のサイトが攻撃を受けました。
大規模事件ではないがそこからセキュリティの大切さをわかって”守る”側の仕事することに決めました。

同期の話なのですが、ファイアウォールの設定ミスで危うく大事故になりかけたことがあり、
IT業界で働く上では、セキュリティは必須だなと漠然と考えるようになりました。 

プログラマーとして働いていく中で、この先どのように働いていくべきか考えた際に、
ITでは欠かせないセキュリティ業務で働くことを志望しました。
セキュリティ業界で企業探しをしていた際に、KDDIとLACの子会社である弊社を見つけ、ご縁があり現在に至ります。

在宅でも完結できる仕事が多いので基本的には在宅勤務が多いです。
ですが週1日～2日で顔合わせをしてチーム内のコミュニケーションをちゃんと取るように調整しています。
私はもともと技術系の仕事やっていて個人的にはリモートの方が調査や研究などはしやすいですが、
オンサイトの仕事もちゃんとチームと直接話せてそれも魅力を感じます。 

基本的にはリモートで業務を行い、週に一日ほど、チームで集まって出社をしています。  

出社の良い面、リモートの良い面があると思うので、ハイブリッドで業務にあたっています。
リモートでも朝会や夕会を実施して、コミュニケーションがとりやすい環境づくりを行っています。 

当社は、多くのことに興味を持ち深く知ろうとする努力ができる方に向いていると思います。

監査という仕事は地道な作業が多く文字の地獄ともよく言われる仕事ですが監査の必要性や理由を考えると監査という仕事は一番相識を守る仕事です。相識に問題が発生しないのは事前に監査を通したお陰でもあります。守ることは非常に格好よく、誇れる仕事だと思います！

監査業務は地味な業務であり、セキュリティと聞くとイメージするような、
「大きなモニターで監視をして、アラートを検出したら対応する」みたいな華やかさはありません。 

地道にシステムの担当者とのやり取りを通して、リスクの洗い出し、対策、対応していく業務です。 

しかし、我々の業務によって、当たり前に利用できるシステムが当たり前に利用できることに繋がっています。 
「このシステム、実は私が監査しました」みたいなこともあるので、実は影響範囲も大きいのが監査業務です。 

縁の下の力持ちとして、システムの当たり前を支えることが監査の魅力だと思います。