インタビューイー紹介

写真左：桐谷 平廉（きりや ただやす）
早稲田大学法学部出身。新卒で日本ユニシス株式会社（現BIPROGY株式会社）に入社後、EYアドバイザリー（現：EYストラテジー・アンド・コンサルティング）に転職。 その後、2018年1月にZEINへ参画し、Boxなどのプロダクトを用いたサービス企画やプロジェクト推進に従事。趣味は、料理・釣り。

写真右：長田 瞬（おさだ しゅん）
ZEIN株式会社 取締役 マネージングディレクター。1981年生まれ。
新卒でアクセンチュアに入社後、ITベンチャー起業、不動産投資ファンド、EYアドバイザリー（現：EYストラテジー・アンド・コンサルティング）、独立系ITコンサルティング会社を経て、ZEINを創業。

GRC Unitのミッション・役割

GRC Unit発足の背景を教えてください。

GRCとは、ガバナンス・リスク・コンプライアンスを指し、一般的には企業の業務やシステムにおける統制を意味します。また、法令や各種規制に準拠した業務を行うためのポリシーやプロセスを整備の上、業務環境を提供し、不正リスクへの対応を行います。

ZEINでは、その中でも特にシステム領域における統制やリスク・コンプライアンス対応に注力しています。
GRC領域がUnitとして誕生したのはFY24で、それまではセキュリティやIT統制に関する相談は、インフラチームが担当していました。しかし近年、サイバーセキュリティの重要性が一層高まり、不正に対する統制強化の必要性が増しています。こうした背景から、GRC領域の包括的な支援体制を構築すべく、専門チームとして「GRC Unit」を立ち上げました。

GRC Unitのミッション・役割を教えてください。

GRC Unitのミッションは、業務やITの統制です。具体的には、業務やシステムに対してポリシーが適切に整備・運用されているかを確認し、現状の課題を是正するための支援を行っています。
企業には、企業活動における業務上のリスクを排除するために、様々なポリシーの整備が求められています。日々の業務は、整備されたポリシーに基づいて業務上の職責や権限が適切に設定され、運用される必要があります。
システムは、業務に必要な情報を安全に管理・操作することを目的に設計されているため、安全に機能を提供できる環境を整えることが重要です。実際、企業では様々なシステムが導入されていますが、システムごとの運用方法が統一されていなかったり、IT資産を運用するリソースが十分に確保されていなかったりするケースも少なくありません。その結果、運用が曖昧になり、実態の把握が難しくなるという課題が顕在化しています。

こうした背景を踏まえ、ZEINのGRC Unitは、まずクライアント企業のIT環境の実態を正確に把握し、統制上の課題を明らかにすることをミッションとしています。そして、明らかになった課題をルール・体制・システムなどの多面的な改善施策へと具体化し、クライアントと共に一丸となって、実行していきます。

その中でもZEINが特に注力しているのはセキュリティ領域です。近年は社会的な背景からサイバー攻撃が増加しており、内部・外部を問わずに情報を窃取されるリスクが高まっています。こうした脅威に対応するため、GRC Unitでは課題の洗い出しから対策の検討や実行まで一貫して取り組み、企業のIT統制とセキュリテイ強化を支えています。

GRC Unitの組織体制

GRC Unitの組織体制を教えてください。

GRC Unitは全体の戦略を担うディレクター(D)と、プロジェクトをリードするマネージャー(M)によって構成されています。

ディレクター(D)は、GRC Unitとして短期的に取り組むテーマから中長期の戦略まで全体の方針を策定しています。そして、その方針に基づき、各メンバーを巻き込みながら領域ごとに担当者をアサインし、プロジェクトを推進しています。
マネージャー(M)は、大手SIer出身者やGRC領域の知見を持つメンバーが在籍しており、セキュリティ、インフラ、運用統制などの専門性を活かして各プロジェクトを推進しています。

GRC Unitの業務・案件紹介

電子決済代行サービスを提供する金融事業者

【クライアントの業務内容】
国内の取引先企業が提供している各サービスにおける決裁業務を代行。

【課題】
システム環境の老朽化により金融業種に求められる規制に一部準拠できていない可能性が懸念されていた。そのため、現状のシステム環境が金融規制に適合しているかを確認し、課題に対して是正措置を講じる必要があった。

【提供した解決策】
まず、現状のアセスメントを実施し、現在の環境において各セキュリティ領域で使用されているツールや実施中の対策を調査。調査結果を評価し、課題を整理。その後、課題に対する打ち手を検討の上、セキュリティ高度化の構想として三か年計画を策定。

ファシリティ管理事業者

【クライアントの業務内容】
商業施設やイベント設備の施設管理や設備管理をメイン事業として行っており、日本国内だけでなく東南アジアへ事業展開を行っている。

【課題】
現行のID管理基盤の老朽化によるID管理基盤の更改の必要があった。加えて、業務システムやクラウドサービスの導入が進む中で、ID管理がサイロ化しており、ID管理業務の効率やセキュリティ水準の低下が課題として顕在化していた。

【提供した解決策】
新しいID管理基盤に求められるガバナンスやセキュリティ機能を整理し、全体の新しいID基盤のアーキテクチャを構想。実行計画を策定し、新しいシステムの構想・策定を推進。これにより、IDが情報として単に保管・参照されるだけでなく、現行のID管理の仕組みをよりガバナンスの効いたシステム基盤に再構築。

【IDの一元管理の重要性】
IDとは、社員が持つ1つのアカウント（代表的にはメールアカウント）や、各システムのアカウントを指す。業務システムが増加するにつれて管理すべきアカウントが増加し、個別に管理されている場合、「誰がどのシステムにアクセス可能で、どの権限を有しているのか」を把握することが難しく、セキュリティ上の抜け穴が生まれる恐れがある。
そのため、IDは一元的に管理し、アクセス権限を可視化して常に正しい状態を維持することが重要である。現在、この管理が十分にできていない企業も多い。DXの推進に伴い新たなシステムの導入が進む中、業務のデジタル化は進展する一方、社内のID管理におけるリスクは拡大している。この課題に対応するため、システムが増加した場合にもIDを一元管理できる基盤を新たに構築し、業務施策を安全に実行できる体制を整える取り組みを推進している。

大手金融機関グループ

【クライアントの業務内容】
銀行、証券、保険などの金融事業を提供する国内最大手の金融機関

【課題】
グループ全体に実施したペネトレーションテストにより、ID管理に関するセキュリティ面の課題が監査指摘として上がっており、監査指摘に対する是正策を検討の上、対応する必要があった。

【提供した解決策】
ID管理のうち、特権IDに関する課題に対して、NISTフレームワークなどの一般ガイドラインをベースに、ポリシー/プロセス/組織/ツールの観点から、あるべき姿を整理。その後、各グループ会社の施策展開の戦略を立案。

その他、GRCを実現するためのシステムツール(CyberArk、SailPoint等)の導入を、複数のプロジェクトで推進。

企業の社会的信用と業務の継続性に直結する価値提供

GRC Unitのやりがいを教えてください。

GRC Unitのやりがいは、企業の社会的信用や業務の継続性に直結する重要な領域で、クライアントに価値を提供できることです。これまでGRC Unitは会計監査が主流でしたが、近年は「サイバーセキュリティリスク」という言葉で語られることが増え、企業がIT投資に対して前向きになったことで、その重要性も評価されるようになってきました。つまり、サイバーセキュリティに強いコンサルタントは非常に高い市場価値を持つということです。

サイバーセキュリティは日々新しい攻撃手法やリスクが生まれる変化の激しい世界です。そのため、受け身で対応するのではなく、最先端の攻撃に対してどう備えるか、どう予防線を張るかなど、先を見据えた対策を考える必要があります。GRC Unitでは、クライアント自身が気が付いていない課題を論理的に整理して示すことで、「まさにコンサルティングをしている」という実感を持てることも大きな魅力です。

さらに、会社全体の統制や規定・ルールの見直しに関わることも多く、難易度は高いですが、企業の仕組みそのものを横断的に見直す機会に触れられる点もやりがいのひとつです。

常に最新情報をキャッチアップし、変化に対応する

GRC Unitの案件の特徴を教えてください。

特徴は大きく分けて3つあります。
1つ目は、トレンドの移り変わりが非常に早いという点です。日々、規制の改訂が行われたり、新しい攻撃手法による脅威やそれに対する防御策が登場するため、常に最新の情報をキャッチアップする必要があります。
2つ目は、発言や提案により重みがあるという点です。金融庁やデジタル庁の規制、関連する法律をしっかりと抑え、それらを根拠に論理的に説明することが求められます。
3つ目は、企業全体に影響を与える仕事であるという点です。全社的な規程やルールの見直し、セキュリティレベルを高めるための組織の組成やプロセスの構築など、企業全体の運営に関わる重要な業務です。

GRC Unitで活躍できる人材像を教えてください。

セキュリティの脅威は日々進化しています。そのため、常に最新情報をキャッチアップし、自分自身の知識だけでなく、会社として提供するソリューションやサービスもアップデートできる方が活躍できます。また、規定やそれを実現するためのプロダクトへの理解や知見がある方も、力を発揮しやすい環境です。
さらに、自分の強みを発揮しながら、他のメンバーと協力して不足部分を補える方は、十分に活躍できると思います。

どのような人と一緒に働きたいですか。

マインド面では、「GRC Unitを今後どのように拡大し、サービスを充実させていくのか。そして、GRC領域を強みにしている他社とどのように差別化していくのか。」を一緒に考えながら、中心メンバーとして主体的に動いてくれる方と働きたいと考えています。
また、私たちはクライアントに理想の状態を明確に示し、その実現まで伴走することを大切にしています。そのため、クライアントが安全に業務を行うことのできる基盤の構築に価値を感じ、それを実現するまで伴走できることにやりがいを持てる方と一緒に働きたいです。

スキルや経験の面では、規程とソリューションの両方の視点を持っている方と働きたいです。ワンストップのサービスを提供したいと考えているため、「どの規定に基づき何を行うべきか」を正しく理解し、その実行に必要なシステムについての知識を持っている方を求めています。

お客様のセキュリティ領域全体に訴求できるサービスの開発と提供

GRC Unitの今後の目標を教えてください。

GRC Unitの目標は、総合的なソリューションとして、お客様のセキュリティ領域全体を支援できる体制を構築することです。
現在GRC Unitは、複数のプロダクトのパートナーとして活動しています。そのため、各プロダクトのサービスを確立し、一つひとつ着実に実績を積み上げていきたいと考えています。そして必要に応じてプロダクトを組み合わせることで、総合的なソリューションとして、お客様のセキュリティ領域全体に訴求できるサービスの開発と提供を目指しています。

ZEIN JOURNALをご覧の皆さまへ。

ZEINのGRCサービスは、まず現在どのような課題があるのかをアセスメントすることから始まります。そのうえで、GRCのあるべき姿を企業全体のルールや体制、システムを含めて統括的に構想し、実行までワンストップでサポートするスタイルです。
そのため、GRC領域に関心がある方にとって、クライアントに非常に高い価値を提供することができる環境だと思います。
例えば、現職でSIerとしてセキュリティ領域には携わっているものの上流工程の経験は少ない方や、コンサルティングファームで上流工程を経験しているものの実行フェーズには携わっていない方にとっても、一気通貫で支援できる経験を積めることが大きな魅力です。

自分のこれまでの経験を活かしながら、新しい業務にもチャレンジできる環境が整っているため、今後のキャリアをさらに広げていくことができます。そのため、「自分の市場価値を高めたい」、「GRC領域で活躍したい」、「活躍の場を広げたい」と考えている方にはぜひご応募いただきたいと思います。

＜執筆/撮影：細矢 真那＞
※本記事掲載の情報は、公開時点のものです。