これまでのキャリアと三菱UFJ信託銀行に転職した理由を教えてください。

電気通信会社に新卒入社し、ネットワークやデータベース設計構築、Webアプリケーションツールの開発などに取り組んできました。サイバーセキュリティに本格的に取り組み始めたのは2006年頃です。セキュリティ部門に異動して、PCIDSS/ISMS取得やセキュリティ診断、セキュリティ監視などの業務に従事。まだ「サイバーセキュリティ」という言葉が一般的でなかった黎明期からこの分野で経験を重ねてきました。転職を考えるきっかけとなったのはNISCへの出向です。そこで金融や通信、電気、交通などの重要インフラにおけるインシデント報告基準の作成に携り、特に金融を取り巻くサイバー脅威の大きさとその影響を改めて認識しました。サイバーセキュリティの専門家として、もっとも狙われる可能性がある金融分野で日本のサイバーセキュリティを守りたい。そんな使命感に燃えて三菱UFJ信託銀行の門を叩きました。

サイバーセキュリティ推進グループの業務内容はどのようなものですか？

三菱UFJ信託銀行で扱う全システムのサイバーセキュリティを確認し、安心安全なシステムを維持することが私たちの使命です。三菱UFJ信託銀行は幅広い事業を展開しており、基幹業務を行う勘定系システムから情報系システム、各種業務システムまで数百にも及ぶ情報システムがその多彩なビジネスを支えています。私たちは各部門と連携してシステムを監視、サイバー攻撃からの脆弱性を未然に発見してシステム改修や機器の交換を提案しています。具体的には防衛するブルーチームと攻撃を仕掛けるレッドチームに分かれて攻防戦を実施。システムのセキュリティホールを見つけてインシデント発生の可能性を分析、評価します。いわゆるホワイトハッカーと呼ばれる存在ですね。私はレッドチームのリーダーとしてサイバー犯罪者がシステムの脆弱性を発見する前に問題点を特定することに務めています。

キャリア入社社員にはどのような役割が求められていると思いますか？

セキュリティ分野、特にサイバーセキュリティは歴史が浅いこともあり、専門人材が不足しています。また、サイバー攻撃の進化も凄まじく、防衛側も常に最新情報をキャッチアップして自身の技術向上に努めなくてはなりません。サイバーセキュリティ対策をベンダーに委託する企業も多いですが、正直なところ費用対効果を無視した現実離れした対策を提案するケースも少なくなく、業務を熟知した企業側が現実に即したセキュリティ対応を主導することが重要です。とはいえ企業が1から専門人材を育成するのも困難であり、キャリア入社社員には即戦力としての能力と同時に、セキュリティ文化を構築・定着させていく役割も求められていると思います。現在所属部署の約半数がキャリア入社ですが、それぞれの経験を踏まえ、オンボーディングも含めたサイバーセキュリティ部門の教育体制、サポート体制の整備も進めているところです。

今後の目標、実現したい夢を教えてください。

サイバーセキュリティ分野では三菱UFJフィナンシャル・グループCERT（Computer Security Incident Response Team）とも連携しており、MUFG各社内でのセキュリティインシデント対応を支援するために、脆弱性情報・攻撃情報の共有やセキュリティ対策向上に向けた施策の立案・推進を行っています。また300以上の金融機関が参加する金融ISACにも参加し、日本の金融システム全体のセキュリティを考える機会も増えてきました。メガバンクを中心に大手金融機関のセキュリティ対策はかなり高いレベルにありますが、地銀などの中小金融機関はまだ十分とはいえません。短期間で高度化、多様化する攻撃に中小金融機関が個別に対応していくことは事実上不可能であり、業界全体で備える必要性は今後ますます高まるでしょう。私は、日本の金融システム全体をサイバー攻撃の脅威から守りたいと思っています。三菱UFJ信託銀行からスタートした知見や経験を三菱UFJ信託銀行グループやMUFGに拡大し、さらに金融業界全体へと広げていく。それが私の夢であり、必ず実現すべき目標です。