2025.03.31
ビジネスとセキュリティ。
相反する概念のバランスを取る。
どこよりも、私を必要としてくれていた
私がITの専門性を身につけたのは、社会人になってからのことです。パソコン好きではありましたが、大学時代に学んでいたのは経済学でしたし、就職先に外資系のサイバーセキュリティソフトウェアベンダーを選んだのも、オープンでフラットな風土に魅力を感じたからでした。
前職では、主に官公庁向けの営業を担当していました。現代におけるサイバー攻撃は、より高度で狡猾です。さらには、攻撃者も個人のハッカーではなく、他国の軍や諜報機関、ハクティビストのような組織が中心となっています。そうした脅威からお客さまのシステムを守るためには、たとえ営業であっても専門的な知見を身につけておかなければなりません。どうすれば、よりセキュアな環境を実現できるのか。最先端の脅威に対して、どのように対抗していくべきなのか。自らの価値を最大化するために、私は自らの専門性を磨き続けました。
セキュリティを売る立場ではなく、実際の事業会社の中でビジネスとセキュリティのバランスを考えながら、セキュリティを実装するチャレンジをしてみたい。その想いを実現するフィールドを求めて、私は転職を決意しました。誤解を恐れずに言えば、セキュリティはどれだけ対策を講じても「絶対」があり得ない分野です。だからこそ「ビジネスとセキュリティのバランス」を取っていくプロフェッショナルの存在が必要不可欠となります。セキュリティに積極的な投資をしていること、そして重要な社会インフラを担う企業であることから、メガバンクという環境に大きな魅力を感じるようになりました。
その中で、三菱UFJ銀行を選んだのは、面接や内定後の配属先面談での対話を通じて、どこよりも私自身を必要としてくれていると感じたからです。実際に、入行後も責任ある仕事を任される機会が多く、充実した日々を過ごしています。

擬似的なサイバー攻撃テストで、セキュリティに確証を
現在、私はサイバーセキュリティ推進部に所属し、主に「脅威ベースのペネトレーションテスト(TLPT)」と呼ばれる、実際のサイバー攻撃者の活動を模倣したセキュリティテストの企画・運営を担当しています。
どれだけセキュリティに投資しても、そのディフェンス能力が「本当に確かなもの」かどうかは、実際に攻撃されてみないとわかりません。そして、その確証を得るのは、実際に攻撃されてからでは間に合いません。そこで、その確証を得るのが私の仕事です。システムに対して擬似的なサイバー攻撃を実施し、攻撃の可否や想定される被害、影響の範囲や程度を調査します。最も厳しいケースでは、実際に運用されている状態のシステムを対象にしたテストを行うこともあります。
私たちが仕掛ける擬似的な攻撃は、三菱UFJ銀行のセキュリティ強度を証明するためのものであり、そこで見つかった課題を解決することで、システムの信頼度はより強固なものになります。仕事において常に意識しているのは、テストの対象となる各部門やシステム担当者と綿密なコミュニケーションを取り、意思と目的を共有することです。たとえテストであっても、自分たちの業務やお客さまへのサービスに影響を及ぼす可能性がある場合、そのテストは心から歓迎されるものではありません。だからこそ相互理解が重要で、「なぜ、このテストが必要なのか」「テストによって、どのようなメリットが生まれるのか」を相手が理解・納得できるかどうかで、私たちの仕事の意味や、その後のセキュリティへの意識が大きく変わります。こうした地道な対話を一つひとつ重ねることが、ビジネスとセキュリティのバランスを取り、最適な環境を実現することにつながるのです。

そのやりがいと責任は、他では経験できないもの
三菱UFJ銀行のシステム群は、国内外のビジネスや人々の生活を支える「身近なインフラ」です。もしも、そのシステムになんらかの違和感や障害の予兆が見つかったときには、サイバー攻撃なのか、ただの障害なのかがわからない状況であっても、まずは関連する部門が一堂に集まり、それぞれに解決方法を持った技術者たちが意見を出し合い、一体となって問題を解決していきます。
こうした緊急時の姿勢は、私たちが向き合うシステムが社会にとっていかに重要かを示すものです。これまでに、サイバーセキュリティの専門家として、さまざまなお客さまの障害対応を見てきましたが、ここまで大規模かつスピーディーに対応できることは、私たちの大きな強みだと感じています。
担う責任が重く、一刻も早い対応が求められるからこそ、行内の風通しは良く、役職や部門に関係なくコミュニケーションが活発です。技術部門の役員であるCISO(Chief Information Security Officer)とも気軽に話をすることができますし、多様な知見や技術に触れる機会も豊富です。もちろん、ミッションクリティカルな金融の世界ですから、ある程度の承認手続きは存在します。しかし、その業務スピードは、一般にイメージされる「銀行」のイメージとは異なり非常にスピーディーだと思います。
また、大企業の仕事は「縦割りかつ部分的」というイメージを持っている人も多いと思いますが、グローバルかつダイナミックなフィールドを持つ三菱UFJ銀行では、その一部分にかなりの裁量が伴います。私が担当するペネトレーションテストを例に挙げても、その対象は国内のみならず、ニューヨークやロンドンにも広がっていますし、扱うシステムの数も膨大です。ここで経験する仕事のやりがいや責任は、他ではなかなか経験できないものであることは間違いありません。

誰からも頼られる「サイバー部」をめざして
ビジネスとセキュリティという相反する概念をどのようにバランスを取っていくのか。それが、私のキャリアにおける最重要課題です。そして、これらを的確に判断するためには、セキュリティ、システム、ビジネスのすべてに精通することが求められます。セキュリティはゴールのない世界であり、三菱UFJ銀行を取り巻く環境も刻々と変化していきます。自らを磨き続けることを怠らず、さらなる研鑽に励みたいと考えています。
ビジネスとセキュリティの最適なバランスを取るためには、ビジネスサイドの協力が必要不可欠です。だからこそ、私たちサイバーセキュリティ推進部は「何かあったときになんとかしてくれる」「あの人に聞けば間違いない」と思ってもらえる「頼れるサイバー部」にならなければなりません。あらゆる関係者と密な関係を築き、日本最大の銀行を牽引していけるプロフェッショナルでありたいと考えています。
サイバーセキュリティの強化は、三菱UFJ銀行にとって最重要課題の一つです。そして、私たちの取り組みやソリューションは、多くのステークホルダーの注目を集めています。グローバルでダイナミックなフィールドで、最先端のセキュリティを企画・運営する。このやりがいに満ちたチャレンジを共に成功へと導いていきましょう。
Profile
※所属およびインタビュー内容は
取材当時のものです。

阿部 健人
株式会社三菱UFJ銀行
サイバーセキュリティ推進部
サイバーセキュリティグループ エキスパート
2023年入行
サイバーセキュリティソフトウェアベンダーに新卒入社し、主に官公庁向け営業を担当。セキュリティに関する専門性を高め、顧客のセキュリティ向上に貢献。2023年に三菱UFJ銀行に入行し、現在はTLPTの企画・運営を担う。
この行員に関連する職種に申し込む