教育のプロ、戦略のプロ、暗号のプロ、多彩・多様な人材が活躍するサイバーセキュリティの最前線

日々、新しい手法が生みだされ、国境や言語の壁を越えて攻撃が行われる仮想空間。金融機関はネットワークで結ばれ、一つの金融機関が攻撃を受けて停止しただけでも、他のすべての金融機関に影響が及ぶ可能性があります。さらに、国内トップバンクとして国民や企業の資産を守り抜く責任も大きい――。そんなメガバンクのサイバーセキュリティ部門は、高い技術力をもつエンジニアやアナリストと共に戦略や企画を担うゼネラリスト系人材にとっても、大きな活躍の舞台となっています。今回は、最前線で働く戦略系ゼネラリストから、働く魅力をお聞きしました。

株式会社三菱UFJ銀行が募集している求人はこちら

設楽 佑一郎
株式会社三菱UFJ銀行　サイバーセキュリティ推進部　サイバーセキュリティグループ
上席調査役
2024年５月中途入社

前職では全国の銀行をとりまとめる業界団体に勤務し、規模や業容が異なる銀行の意見の集約や金融庁など当局とのパイプ役として活動。その間、銀行間をつなぐネットワークの企画・運営や、サイバーセキュリティ領域の政策提言活動なども経験。これからのセキュリティに関するビジョンを俯瞰し、重要インフラ事業者の立場から次代のサイバーセキュリティ戦略を描きたいと三菱UFJ銀行へ。

これからのメガバンクの重要テーマに、本気で取り組める醍醐味とは？

―三菱U F J銀行のサイバーセキュリティ組織で働く魅力についてお教えください。

サイバー空間を取り巻く脅威は、年々、複雑化・多様化しており、そうした脅威はサイバー攻撃というかたちで私たちの前に現れます。そのような攻撃を受けるに際していかにして自組織のシステムや顧客の財産等を守るか、また、最前線で守りに当たるエンジニアやアナリストをいかにして支えるか。私が所属するサイバーセキュリティ組織では、技術とガバナンスの二つの観点から戦略を立案し、忍び寄る脅威に対抗しています。

当行も含めた銀行は、2015年に施行された本邦の「サイバーセキュリティ基本法」、その趣旨を踏まえて国により制定されている「重要インフラのサイバーセキュリティにかかわる行動計画」において、重要インフラ事業者として特定されています。

重要インフラ事業者においてサイバーインシデントが発生すると、インフラの利用企業や顧客の資産・データが漏洩等の脅威にさらされるだけでなく、他の重要インフラにも影響を与えかねません。銀行等の金融分野の重要インフラ事業者の場合には、金融ネットワーク全体や他の重要インフラにも影響が波及することで、社会経済活動の停止にも発展する危険性もあります。このため、重要インフラ事業者には、“サービスを安定的かつ適切に提供するため、サイバーセキュリティの重要性に関する関心と理解を深め、自主的かつ積極的にサイバーセキュリティの確保に努める”責務があると、基本法において謳われています。

金融分野の重要インフラ事業者は、銀行等の預金取扱金融機関、生命保険、損害保険、証券、そして資金決済の5業界で構成されるのですが、メガバンクは、その規模や業容から、サービス自体の先進性と、サービス提供の安定性の両立が強く求められる社会的責任が大きい存在の一角。「重要インフラのサイバーセキュリティに係る行動計画」の中でも、“事前対応のリスクマネジメントと障害発生時の危機管理の一体的な対応の推進”や、“組織の特性を踏まえた経営層による組織のリスクの明確化”などが求められており、サイバーセキュリティは、私たちにとって、経営陣のリーダーシップのもと組織全体で取り組むべき極めて重要なテーマとなっています。

このような組織としての責務があるなかで、私が担当しているのは組織全体のサイバーセキュリティ戦略の立案です。戦略の対象となる範囲は広く、例えばガバナンスやルールの在り方、技術的な防護策の検討やその実現に向けた投資計画、子会社やサードパーティなど自組織にとって重要な他組織をいかにして守るか。また、どのような教育を施せば組織全体のサイバーセキュリティが向上するか、実際にサイバー攻撃を受けた場合にどのような態勢で動くか、態勢の能力を維持するためにどのような訓練・演習を行うべきかを常に考える必要もあります。

様々な論点を、エンジニアやアナリストと、私たちゼネラリストが議論しながら共にかたちを作り上げていきます。サイバーセキュリティの世界は、技術もガバナンスを取り巻く考え方も変容を続けていますので、意識的に最新の情報に触れ、考え、動き続ける。飽きることのない刺激的な環境となっており、日々の充実感は大きいです。

戦略や企画、教育など、組織全体として多彩な知識・経験が求められる

―エンジニアでなくても活躍できる職場なのですか？

サイバーセキュリティというと、まだまだ多くの方が、ITをはじめとする技術系のスキルを持った専門集団だと思っています。しかし実際には、技術的専門性の高い実働部隊だけでなく、彼らの能力を最大限に発揮できる環境や体制を構築し、円滑に運営できるような別の専門性をもつプロフェッショナルも必要です。三菱UFJ銀行は、戦略立案や教育企画などといったゼネラリスト系人材の層を厚くする取組みも続けています。

こうした人材に期待する業務の一例を挙げると、金融機関間や他の重要インフラである電力分野・通信分野等の事業者との連携、国内外の子会社やパートナー企業との相互支援体制の構築・運営などがあります。ゼネラリスト系人材の活躍の場は、サイバー空間を取り巻く脅威が深刻度を増すなかで、より広く、深く、急速に拡大しています。
常にサイバーセキュリティの在り方に考えを巡らせ、先進性と安全性を同時に担保するためには、エンジニアやアナリストだけでなく、ゼネラリスト系人材も含めた組織の総合力で取り組む必要があると考えています。

金融政策に関わった経験を活かし、現場の最前線へ

―なぜ三菱UFJ銀行への転職を決意したのですか？

私は、以前は銀行の業界団体で、サイバーセキュリティに係る政策対応に取り組んでいました。新たな政策が世に出てきた際には、銀行業界全体の受け止めや意見を取りまとめて国や金融庁に説明したり、逆に、銀行業界に国や金融庁の考え方を説明し、政策を浸透させる、といった役割です。
同じサイバーセキュリティに向き合う者同士でも、組織によって考え方や使う言葉でさえも異なります。それでは真意が理解されず、せっかくの政策が効果を発揮できずに、形だけの中身のないサイバーセキュリティに陥ってしまうのではないか、との危機感がありました。誰から頼まれた訳でもありませんでしたが、何とかせねばという想いから官民間の橋渡しを担うようになっていきました。

こうしたキャリアを積む中で、徐々に様々な組織から相談を受けるようになり、サイバーセキュリティに係る政策づくりに関わる機会を得ました。ある銀行の方と共に、一つでも多く銀行業界の意見を政策に取り入れてもらおうと活動していたなか、念願としていた「法律や行政文書に、1文字でも自分たちの考えを入れ込みたい」という思いが叶い、同時に、業界意見が取り入れられるかたちで政策の方針もまとまりました。

こうして区切りがついたとき、気になり始めたのが、自分が関与した政策が銀行の最前線でどのように取り扱われるか、ということ。もちろん、当時の所属組織と銀行の関係性であれば教えもらうことはできたと思いますが、客観的な立場から見ていた銀行のサイバーセキュリティの世界に飛び込んでみたら、自分の目を通して何が見えてくるのだろう、サイバーセキュリティ戦略を立案する現場では何が起きているのだろう、という冒険心や好奇心に似た想いを抱くようになりました。

いざ行き先を探し始めると、ありがたいことに様々な組織からお誘いをいただきました。これまでとは異なる道へのチャレンジであるため迷ったものの、最終的には三菱UFJ銀行へ。国内トップ行としての誇りや自負を感じたこと、国内で最も早くサイバーセキュリティに取り組み始めた組織の一つであること、グローバルでの活動実績も大きいことから、蓄積と先進性に期待して入行を決意しました。この選択は誤っていなかったと実感する日々です。

一方で、中途採用の応募に向けて準備を進める最中は、前職は業界団体であり銀行ではない、業種は異なる、文化も違う、関わる規制も随分変わってくるだろうと、不安から悩むこともありました。しかし、やはり最前線で何が起きているか知りたい、そこで新たな世界に挑戦したいという強い思いに背中を押されて、ここに飛び込んできました。

物事を大きく動かす環境で、与えられる成長と挑戦の機会とは

―三菱UFJ銀行で得られるキャリアの広がりとは？

実際に入社して感じるのは、一事が万事、想像以上に大きく物事を動かそうとしているなということです。当初は、銀行なのだから「きめ細かい動きが求められる職場」なのではないかと考えていました。銀行という業種柄、確かにそうした側面もあるのですが、サイバーセキュリティ組織に関していえば、常に自組織外に目を配って新しい考え方を取り入れようといった柔軟性や、経営層との距離が近いこともあり「これが必要」となればすぐに動こうとする機動性もあります。

そうした性質の組織ですので、中途入社した社員にプロジェクトが任されるケースもあります。もちろん、前職での経験や、個人の特性、希望する業務内容を踏まえたうえでとなりますが、私のような入社半年程度の社員であっても、戦略立案や新部署立上げをリードするポジションに就くなど、挑戦の機会は等しく与えられています。

また、入社後に参加できる教育機会も充実しています。技術に対する理解度に応じた各種ハンズオンや、ガバナンスに係る国際標準の読み解き方を監査法人やコンサルティングファーム出身の社員から指導を受けられるなど、多岐にわたるプログラムが用意されています。

このほか、拠点内には、システム開発部門のほか、三菱UFJフィナンシャル・グループの主だった企業（信託銀行や証券会社等）のサイバーセキュリティ組織も所在していることから、各々のビジネスモデルにおけるサイバーセキュリティの在り方の差異に関する議論も活発に行われています。業界や組織が変わればサイバーセキュリティに対する考え方も随分異なります。常に他組織と議論できることから、自身の視野を広げ、戦略立案に必要となる多角的な視点の持ち方を鍛えることができ、恵まれた環境といえます。

進化する攻撃と戦う責任感

―反対に、大変だな苦しいな、と感じることはありますか？

実感しているのは、やはり国内トップ行としての責任が大きく、注目されやすいということです。例えば、私の前職のような業界団体は黒子役ですから、よほどのことがない限りは表に出ない。一方、メガバンクは、社会経済活動に強く関与する重要インフラ。何か新しいことに取り組もうとすれば必ず注目を集めますので、緊張感のなかで取組みを進めることになります。

他方、私たちが適切にサイバーセキュリティに取り組み、その結果がベストプラクティスとなれば、他の銀行や重要インフラ事業者により活用され、社会全体のサイバーセキュリティ向上に貢献できる可能性があるとも考えています。サイバーセキュリティの取組みには、人にもシステムにも大きな投資が必要ですが、すべての組織が満足いく投資活動を行うのは困難です。私たちも含めて、サイバーセキュリティの投資に積極的な組織が新たなチャレンジを継続し、その時々の脅威に対抗できるベストプラクティスを生み出し続けることに、困難さとともに社会的意義を強く感じています。

何かに立ち向かえる人、タフなところがある人。多様な人材が活躍中

―メガバンクの「サイバーセキュリティ領域」で活躍できる人材とは？

三菱UFJ銀行のサイバーセキュリティ組織で活躍できる人材とは、基本的なマインドとして「常に備え、いざことが起きれば立ち向かう」という精神や、「新しいことへの強い興味や好奇心」を抱けること、そうした特性がある人材だと思います。

また、ポストによっては直接当局や他組織との接点を持つことになりますので、メガバンクとしての責任の重さを使命感としてプラスに受け止めることができる性質や、何事にも過敏になり過ぎず、大きく受け止めるタフさを持った方にも適性を感じます。

スキルや経験においては、もちろん、サイバーセキュリティに直接関係するものがあれば望ましいものの、前述のとおり教育機会も充実していますので、むしろそれ以外のもの、例えば戦略立案や組織運営、リスク管理や監査、危機管理や教育プログラムを企画した経験など、サイバーセキュリティと融合させることで新たな価値を生み出し、自組織や業界に貢献できる人材は、活躍の機会がより多くなると思います。

最後に、私たちの組織では、属人性を排し、全員でセキュリティを守る環境を整備することを基本的な価値観としています。こうした価値観も含めて、何か一つでもご自身に当てはまると思っていただけたら、ぜひ、次の選択肢として考えてみてほしいと思います。

金融出身、IT、時には研究者。求めているのは、やりたいことが明確な人

―どんな転職者が活躍しているのか？

本当にさまざまな業界からこの世界に飛び込んで来ています。同じ金融業界はもとより、通信業界からの転職者や、コンサルタントから転身された方、やや意外なところでは、研究者や官僚としてキャリアを積まれて来た方もいます。総じて皆さん、職場に馴染んでいて、これは当たり前のことだとは思いますが、前職での経験や処遇のほか、新たに取り組みたいことといった希望も考慮してくれ、幾つもある専門チームのうち適切なポストに配置をしてもらえていることが大きいのではないかと考えています。

この領域への転職者の傾向としては、エンジニアやアナリストであれば、これまでの経験から得られた特性や、やりたいことが明確な人が多い印象です。他方で、技術に詳しくなかったり、業務として携わった経験はないけれど、今後新たにサイバーセキュリティに取り組みたいといった方も増えてきている実感もあります。そうした皆さんには、サイバーセキュリティ領域の戦略系ゼネラリストも選択肢の一つとして考えていただくのも良いのではないかと思います。

サイバーセキュリティ基本法から拡がる本邦重要インフラ防護の世界、金融分野のサイバーセキュリティの最前線で、トップクラスのエンジニアやアナリストと肩を並べて脅威に立ち向かいたいと思う人にこそ、挑戦してほしいと思います。

株式会社三菱UFJ銀行が募集している求人はこちら