# 職務概要
コーポレートセキュリティを中心にプロダクト・サービスも含めた社内のセキュリティ全般をメインの業務として担当、サブでいわゆる情シス業務を担当しています。
## チーム構成、業務環境
- トップはCISOで、プロダクトセキュリティ中心のチームがマネージャーと担当各一人ずつ、コーポレートセキュリティ中心のチームがマネージャー一人と私一人になります
- 誰が何を中心に担当するということを一応決めてはいますが、少人数ということもあってチームの壁を越えて意見を出し合う機会が多いです
- リモートワーク主体(どうしても出社しなければならないとき以外、出社しない。おそらく、入社初日以来出社していない人もいる)で個人情報を多く扱う事業を行っているため、セキュリティに関してはかなりシビアな環境で真剣に取り組んでいます
- CEOが他社のセキュリティインシデント事例に社内チャットで言及・発信するくらいセキュリティに注意を向けていて、期待と良い意味でプレッシャー(真剣に取り組む動機付けなど)を感じながら日々業務に取り組んでいます
## セキュリティ業務
- クライアント企業様からのセキュリティチェックシート回答
- クライアント企業様のセキュリティ監査対応
- セキュリティチェックシートや監査対応の感触(設問内容や監査対応で対面でやり取りした時の先方の反応)からクライアント企業様のセキュリティニーズを探り、社内に還元しています(私が自発的に取り組み始めました)
- 監査の受け答えは責任者が行うルールとなっていて、
- 過去(入社前も含め)の監査の議事録から先方の関心事を読み取り、再度の監査の際の回答の材料を揃えて準備するようにしています(私が自発的に取り組み始めました)
- 例えば、次のようなことです(議事録の予定稿にあらかじめ書いておく)
- 回答で引用している規程類のアップデートを確認し、整理しておく
- 質問があった数字の最新の数字を確認しておく、など
- 社内のセキュリティに関するルールメイク、規程類アップデート
- 最近はとくに生成AI系のツール/サービスの利用ガイドラインの策定に取り組んでいます
- 現職の会社はリモートワークをメインにしており、そのためのセキュリティ対策にも注力しています
- 社内に導入するツールやサービスのセキュリティチェック
- 基本方針は、安全に使ってもらうためにどうしたら良いか、というのを伴走型で支援しています
- ただ、あまりにもダメなモノはダメ、としたこともあります
- 新規サービスのセキュリティ設計伴走
- 既存サービスのセキュリティ改善提案
- 既存サービスのセキュリティ診断、ペネトレーションテストの実施ベンダさんの選定から結果検収までの対応
- 社員向けセキュリティ教育コンテンツの作成、啓発活動
- 社内で起きてしまったインシデントやヒヤリハットの対応
- 幸い私が入社してからは大きなインシデントは発生しておりません
- 小さなインシデント、ヒヤリハットは何件か経験しました
- その際、ほとんどのケースで私が最初に対応しています
- ひとがやりたがらないことを積極的にやる、というポリシーで取り組んでいます
## 情シス業務
- 新入社員のPCのキッティングとオンボーディング
- Macを利用しており、私が引き継いだ時点でMDMでかなりの部分が自動化されていました
- 入社当日のPCのセットアップ支援
- 以前は入社する人も少なく、マンツーマンに近い状態でやれていたようなのですが、最近は入社する方も増え、ドキュメントの充実に力を入れています
- 各種SaaS管理
- 主な管理しているSaaS
- Google Workspace、Slack、Zoom、1Password、JamfPro