サイバー攻撃の脅威が高まる中、金融インフラを守る仕事はかつてないほど重要性を増しています。三菱ＵＦＪ銀行のサイバーセキュリティ推進部では、各人がそれぞれの専門性を発揮し、高まる脅威に立ち向かっています。今回は、サイバーストラテジーチームを統率する2人に、この仕事ならではの魅力や課題について語ってもらいました。

社会の重要インフラで、セキュリティを追求したい

──三菱ＵＦＪ銀行に転職した理由を教えてください。

打田：私は大学院修了後、SIerに入社しメインフレームのセキュリティを担当しました。顧客にセキュリティ設計の提案などを行う中で、「実際に“守る”当事者となることで、セキュリティの本質を理解したい」と考え、外資系保険会社に転職しました。インシデント対応をはじめ、基本的な業務を一通り経験した後、より自身の知見やスキルを高めたいと思うようになりました。転職先を考えた際、業界内で強いリーダーシップを発揮し、他行に先駆けて新たな取り組みをしている三菱ＵＦＪ銀行に魅力を感じました。業界で名の通ったプロフェッショナルも多く、刺激を受けることが期待できる環境に身を置くことに強く魅力を感じ、入行しました。

設楽： 私は大学卒業後、銀行系の業界団体に入職し、業界共通のシステムの企画・運営などに携わりました。当行に転職するきっかけとなったのは、サイバーセキュリティに関する政策対応を担当したことです。銀行業界と金融当局の間に立ち、政策提言や企画立案などの幅広い業務に携わる中で、サイバーセキュリティへの関心が高まり、事業会社の立場からこの分野をより深く追求したいと考えるようになりました。転職活動では社会・経済活動への影響度が高い業界への貢献を志向し、金融インフラとしてグローバルな実績を持ち、先進的な取り組みをしている三菱ＵＦＪ銀行に魅力を感じ、入行を決意しました。

──現在の業務内容を教えてください。

打田：サイバーストラテジーチームのチームヘッドとして、MUFG全体のセキュリティ戦略を策定しています。また、予算運営や人材育成、ステークホルダーとのコミュニケーション、セキュリティアセスメントの実施など、幅広い業務を担っています。

設楽：私はチームヘッド補佐として、打田さんのチーム運営をサポートするほか、前職での経験を活かし、金融当局や他行、業界団体と連携し、業界全体で推進する施策を担当しています。

打田：管理職ではありますが、実務レベルで意思決定をするだけではなく、自ら動かなければならない場面も多く、一人では対応し切れない部分を設楽さんにサポートしてもらっています。設楽さんがチームヘッド補佐に就任した初年度は、とにかく対話を重ね、チームとしての方向性や業務分担についての認識をすり合わせました。お互いの理解が深まったことで、それぞれの強みを活かしながら補完関係を築けていると感じます。

設楽：打田さんはグローバルも含めたMUFG全体の戦略を把握しながら、銀行単体や他部署の視点も併せ持って中立・公正に判断を下すリーダーです。一方で、日常のちょっとした悩みについても相談しやすく、協働する中で多くの刺激や学びの機会を提供してくれる、チームメンバー全体にとって尊敬できる存在でもあります。

インシデント対応で、MUFGの組織力を実感

──特に印象に残っている業務はありますか？

打田：入行して約半年後に経験したサイバーインシデントへの対応が印象に残っています。海外拠点の顧客システムが外部から不正アクセスを受け、一部データが漏洩した可能性があることが判明しました。直ちにCISO（Chief Information Security Officer）を含めたエスカレーションや緊急対策チームの立ち上げを行い、現状把握のための調査を実施しました。影響範囲の調査は難航しましたが、各部門と連携し、攻撃の詳細や被害状況を特定しました。その後も原因分析や再発防止策の策定、金融庁への報告など、長期的かつ多岐にわたる対応が求められました。
このインシデントは当行にとって非常に重大なものであり、身をもって危機的状況を経験することとなりました。改めてこの仕事の重要性を痛感するとともに、トラブル発生時に迅速かつ的確に対応できる当行の組織力の高さも実感しました。

設楽：私にとって印象的だった業務は、金融庁の耐量子計算機暗号（※1）への対応に関する検討会に参画したことです。量子コンピュータの発展により、社会的にさまざまな場面で利用されている既存の暗号の一部が解読され、セキュリティが突破される懸念が高まっているとされています。対応が遅れれば金融取引に支障をきたす恐れもありますので、早期の対応が求められます。
検討会では、当局や金融機関、セキュリティ専門機関それぞれが対応すべき取り組みについて、立場や役割の違いも踏まえながら合意点を見出すために議論を重ねました。また、検討会の成果物であるレポートの執筆に際しては、省庁や業界の構造、民間企業特有の事情なども考慮しながら、対応の必要性や具体的な対応事項が正しく浸透するように、論点一つひとつを慎重に整理しました。検討会はレポートの公表をもって一旦終了となったものの、金融ISAC（※2）での議論への参加や、MUFGの中での対応も検討する必要がありますので、引き続きこの課題に取り組んでいきたいと思います。

※1 耐量子計算機暗号：量子コンピュータが実用化されても、暗号化されたデータの解読が困難であるとされる暗号技術。

※2 金融ISAC：金融機関の間でサイバーセキュリティに関する情報を共有・分析し、業界全体の安全性向上をめざす一般社団法人。

世界最高水準のセキュリティをめざして

──MUFGならではの魅力・やりがいを教えてください。

打田：サイバーセキュリティには「敵を知ること」と「自分を知ること」の両方が不可欠です。攻撃者の手口や標的を把握し、対策を講じる一方で、自社のセキュリティ対策を評価し、それをもとに優先順位をつけて戦略を策定することが求められます。MUFGは国内外で無数のシステムを運用しており、拠点や担当者も多岐にわたります。グループ会社との共同利用システムや外部委託システムもあるため、全体像を把握することは容易ではありません。しかし、だからこそ得難い経験を積むことができると実感しています。こうした他にはないチャレンジングな環境で成長できることが、MUFGの魅力だと考えます。

設楽：サイバーセキュリティ組織単体でできることには限界があり、この仕事では社内外のさまざまなチームや専門家との連携が不可欠となっています。最先端の技術や対策を学ぶために、国内外の研究者やコンサルタントと意見交換をする機会も多いです。各分野のエキスパートにコンタクトを取れることは、世界有数の総合金融グループであるMUFGならではの強みだと思います。また、他行や他業界とも接点があることから、当行以外の課題やナレッジに触れる機会も多く、幅広い知見を得ることができます。こうしたつながりを地道に広げ、仲間を増やし脅威に立ち向かうことにやりがいを感じています。

──今後の課題やビジョンについて教えてください。

打田： MUFGでは、今後さらなるサイバーセキュリティの強化をグローバルに推進していきます。国内ではトップレベルの対策を講じていますが、経営層からは「グローバルでトップレベルをめざす」という方針が示されており、その実現には高度な知見やスキルを持つ人材の確保や、社内外の情報共有の強化が不可欠です。簡単ではありませんが、高い目標を持つことが日々の業務へのモチベーションにつながっています。

設楽： サイバーセキュリティの強化は社会全体の課題であり、取り残される会社が現れることで全体に波及するような事態を防いでいく必要があります。例えば、耐量子計算機暗号への対応においては、その重要性が浸透していないと感じます。それぞれの会社に正しく理解され、迅速に対応されることや、セキュリティ担当者にとどまらず経営層からも理解を得られるように伝えることが必要と考えています。積極的な情報発信を通じて、業界全体で認識を高めていきたいと思います。

──最後に求職者の皆さまへメッセージをお願いします。

打田：サイバーストラテジーチームは各専門領域にとどまらず、全体を包括する役割も担っています。戦略の立案や優先順位の設定、全体の取りまとめなど、幅広い視点でサイバーセキュリティに取り組むことが求められます。サイバーセキュリティの全体像を見据えながら、10年後のビジョンを描き実現へと導いていく意欲のある方に、ぜひ仲間として加わっていただきたいです。

設楽：われわれのチームには多様なバックグラウンドを持つメンバーが在籍しています。法務に精通する人もいれば、国際関係や教育プログラムの企画に強い人もいるなど、それぞれの知識やスキルを活かすことで、強固な組織を築いています。私自身、転職するまではサイバーセキュリティ業務に深く携わった経験はありませんでしたが、規制対応の分野を強みにチームに貢献しています。異なる分野とサイバーセキュリティを掛け合わせ、新たな視点を持って働くことに興味がある方は、ぜひご応募ください。