患者様の重要な情報を強固に守る。グローバルに活躍する情報セキュリティ部の挑戦">
患者様の重要な情報を強固に守る。グローバルに活躍する情報セキュリティ部の挑戦
IT系コンサルタント企業を経て2020年に中途入社した戸松 暁。現在はIT統括本部情報セキュリティ部でシニアアソシエートとして活躍し、プロジェクトのPMも担っています。グループ全体のセキュリティを担い、グローバルな業務にまで活躍を広げている戸松が、情報セキュリティ部門で働く魅力について語ります。
アセスメントから研修まで、グループ全体のセキュリティ施策を担う
2024年から情報セキュリティ部に配属となり、エーザイグループ全体のセキュリティ施策の立案や実行、管理に携わっています。具体的な業務内容は、SIEM(Security Information and Event Management)/SOC( Security Operation Center)のリプレースプロジェクトを中心に、社内向けの情報セキュリティ研修、CISS(Corporate IT Security Standard)セキュリティアセスメント支援の3つです。
1つめのSIEM/SOCのリプレースプロジェクトのミッションは、自動でログ情報の収集や管理、分析を行うセキュリティ技術の「SIEM」、24時間365日体制でネットワークやデバイスを監視し、サイバー攻撃の検出や分析を行う組織にあたる「SOC」をアップデートすること。自分はPM(プロジェクトマネージャー)として、全体の進捗管理や品質管理を担っています。脅威の検知に応じて必要となる行動を紐付けていくため、組織づくりの側面も意識しています。
2つめの社内向けの情報セキュリティ研修は、私が現在の部署に異動してから提起をして始まった取り組みです。もちろんこれまでもeラーニングなどを活用した研修体制はあったものの、各部門に寄り添った研修ができればと思っていました。そこで、情報セキュリティ部が各部門からの要望に応じた研修コンテンツを作成し、研修を行う体制を整えました。セキュリティ事故の原因は、必ずしもサイバー攻撃によるものではありません。
むしろ、その原因の大半はヒューマンエラーによるものとも言われています。人的要因による事故を極限まで減らすには、企業全体のネットワークからセキュリティを底上げしていく必要があります。そのため企業グループ全体である「ENW(Eisai Network Companies)」を対象に、さまざまな研修を実施しています。
3つめのCISSセキュリティアセスメント支援では、新たに開発するシステムにおけるセキュリティ要件のアセスメントを担当しています。CISSは、セキュリティを担保する上で求められる評価基準などをまとめたものです。この評価軸をもとに、安全性に穴がないかをチェックしていきます。担当部署やベンダーさんへのヒアリングをもとに改善提案をすることもあります。
同じ部署に所属している社員は10人ほどで、そのほとんどが中途入社です。受注からリアクティブに動けばいいという仕事の仕方ではなく、プロアクティブに自ら仕事を探していく積極性のあるメンバーが多い印象ですね。僕自身もその1人です。
また、それぞれのキャリアで培ってきた専門性や仕事の進め方を尊重しあう雰囲気があり、風通しは抜群にいいですね。チャットルームなどラフにコミュニケーションを取れる場や機会もあり、ストレスフリーで働ける環境が整っています。
セキュリティの重要性に惹かれて。患者様の重要な情報を徹底して守り抜く
現在はセキュリティ領域を専門としていますが、ファーストキャリアの時点では、まだこの道に進むと決めていませんでした。大学卒業後は、IT系のコンサルティングファームに入社しました。当時からITに興味があったものの将来のビジョンを明確に描けなかったこともあり、まずはコンサルで幅広い業界や業種を見てみたいと思ったためです。
実際にコンサルとしていろいろな業界、業種と関わる中で、セキュリティがIT領域において重要な役割を果たしていることを実感しました。Webサイトやアプリはもちろん、ネットワークやサーバーの側面からインフラの基盤であるともいえます。ほかにも、何をどこまでやるかには法律が関係してきます。幅広い領域に触れながら施策に取り組めるセキュリティ領域に魅力を感じ、セキュリティ部門を志望しました。
転職を考えるようになったのは、自分とクライアントの間にどうしても越えられない壁を感じたのがきっかけです。当時、コンサルの仕事では常に100点のものを提供するつもりでクライアントと向き合っていたのですが、実際にシステムを使用している方々の生の声を聞くことはできず、相手が抱えている課題感が見えてこないもどかしさがありました。もっとクライアント側の立場で核心を突いた課題解決ができればと、プレイヤー側として転職することを決めました。
転職活動ではさまざまな事業会社を検討しましたが、高度なセキュリティが求められる環境に身を置きたいと、製薬会社であるエーザイに入社しました。エーザイで取り扱うのは、健康情報をはじめとする大事な情報です。患者様の生活や命を守ることに直結するような情報ですから、情報は徹底して守らなければなりません。この情報の重要性とハイレベルなセキュリティが必要となる環境が、入社の決め手になりました。
実際に入社してからも、社会的な意義の大きさを実感しています。患者様の安全性や社会の公衆衛生など製薬会社が担っているものをふまえると、セキュリティ面で生じた問題から起こる影響は計り知れません。自社の情報を守らなければいけないプレッシャーもありますが、大きなやりがいです。
日本にいながら、日本のタイムゾーンでグローバルな仕事ができるのは大きな魅力
エーザイに入社後は、テックスクワッドという少数精鋭の部署でセキュリティとプライバシーを守るためのプロジェクトに参画しました。
テックスクワッドの情報に対する意識は高く、データの使用には個人情報を匿名化する必要があるのですが、そこで各部署と連携しながら、必要となるデータ加工を行っていました。法律を守りながら、どこまで加工を行うかは定性的な側面もあり、擦り合わせのため丁寧なコミュニケーションを意識して取り組んでいました。
その後はテックスクワッドを含む部署の統廃合にともない、DXテクノロジーセンターのインフラ基盤管理グループの配属になりました。そこで私が担当することになったのが、海外の子会社を含むクラウドのグローバル統合の業務です。
実は私は英語が得意でなく、入社当初は「英語が必要な業務は避けたいです。パフォーマンスが10分の1になります」と伝えていたくらいなんです(笑)。しかし、いざ英語を勉強して国外にいるメンバーとの業務に携わってみると成長を感じられる部分もあり、グローバル業務のおもしろさを実感しました。
今となっては、英語が苦手でもグローバルな業務に携われる選択肢があったことに感謝しています。現在はアメリカ、イギリス、中国、イスラエルなどさまざまなリージョンのメンバーと仕事をしており、いい刺激になっています。
一般的にグローバルな業務をメインとする場合、出向という形で現地駐在になったり、海外のタイムゾーンに合わせて勤務したりするイメージをお持ちの方は多いんではないでしょうか。その点、日本にいながら、かつ日本のタイムゾーンでワークライフバランスを保ちながら働けるのは、大きな魅力です。グローバル業務での発見が国内業務に活かされる場面も多く、シナジーの生まれやすい環境もエーザイグループならではの強みです。
社員のセキュリティ意識の向上で、さらなるリスクヘッジを目指す
今後は、社内におけるIT統括本部情報セキュリティの存在感を高めるとともに、セキュリティに対する社内意識と知見をより高めていきたいと思っています。
セキュリティの質を高めることはもちろん重要なのですが、それだけでリスクを下げるにはどうしても限界があります。その点、システムからアラームが発せられる前に利用者が異変をキャッチし共有してくれる体制が整えば、セキュリティの安全性はさらに高まります。社員全員の目をセンサーにする仕組みづくりが、何よりの防御壁になると考えています。
そもそもエーザイ社員の情報に対する意識はとても高く、それは入社して驚いたことでもあります。ヒューマン・ヘルスケア(hhc)の理念が隅々まで浸透していて、そこから派生して「患者様の情報は当然守らなければならない。最重要な情報だ」という意識が全社員に根付いています。それはエーザイならではの感覚ですね。セキュリティへの関心が高いからこそ、研修や教育には力を入れて、積極的に展開していきたいと思っています。
個人的には、今後も裁量権を持って仕事に挑戦していきたいと思っています。これまでのキャリアを振り返ると、どの部署でも自分の裁量でコントロールしながら、自分が心からやりたいと思える仕事に取り組んできました。モット―は「遊ぶように働きたい」(笑)。もちろん与えられた仕事をこなした上での話ですが、裁量権の大きい環境ではより楽しく、やりがいを持って働けるように思います。
エーザイには手を挙げれば挑戦させてもらえる環境があり、自分には合っていると感じます。今後も挑戦を楽しむ気持ちを忘れずに、仕事と向き合っていきたいですね。
※ 記載内容は2024年9月時点のものです
