栗田未希

ドコモのサービス、そして社会の安心安全に
“セキュリティ人材”として貢献していきたい

スマートライフビジネス本部　金融ビジネス部
dカード制度　dカード制度担当

2009年に大手電機メーカーに新卒で入社し、広報やWebマーケティング業務に従事。その後、情報漏えい事故のニュースが世間を賑わせセキュリティ人材の重要性が高まってきたことをきっかけに、防衛事業の情報セキュリティ推進や、脆弱性情報の発信、セキュリティアセスメント等のセキュリティ関連業務に携わった。ドコモには2021年に入社。dカード事業において、クレジットカード業界のセキュリティ基準であるPCI DSS※1準拠対応の業務を担当している。

※1：Payment Card Industry Data Security Standardの略。クレジットカード会員データを安全に取り扱う事を目的として、国際ペイメントブランド5社(American Express、Discover、JCB、MasterCard、VISA)が共同で策定したクレジットカード業界のセキュリティ基準のことを指す。

“セキュリティ”を軸に新たな経験を積みたい

前職では約6年間セキュリティ業務に携わっていましたが、今までの知見・経験を活かし自身の市場価値をさらに高めたいという想いがあり転職することに決めました。新卒時から社会貢献度が高い企業で働きたいという想いがあって、ドコモには周囲の方が知っている身近で会員数からしても影響力が大きいサービスが多いので、自分がそのサービスのセキュリティ強化の一翼を担い、社会の安心安全に貢献していきたいと思い入社を決めました。また、dカードはスマートライフ事業の主力事業になっていて、PCI DSS準拠対応を通して高いセキュリティレベルを確保することは非常に魅力的でした。

実際入社してみて、自分が携わるプロジェクトのスケールの大きさには驚きました。予算規模が大きく、複数の部署や外部の協働者が関わっていて会社をあげて進めているダイナミックなプロジェクトだということを実感しました。私が所属している金融ビジネス部は中途社員が多く、皆さん熱い想いを持って様々な企業から転職されてきているので、日々良い刺激を受けて仕事をしています。

現場の実態に沿ったセキュリティの設計をしたい

現在はdカード事業におけるPCI DSS業務に携わっています。PCI DSSの審査では、ドキュメントやクレジットカード情報を扱う端末の確認、インタビューを通して、セキュリティ対策状況をチェックされます。審査で必要となるドキュメント量が非常に多く、関係部署が多岐にわたるため常に連携を図り、当日すべてのPCI DSS要件に対して対策状況を答えられるように日々準備しています。また、システムごとのアクセスログから内部不正を見つけるための仕様検討も進めていて、ログ調査手順をまとめたマニュアルを作っています。大規模な前例のないプロジェクトのため、予期せぬ問題が生じることは多々あって、部署間連携が多いプロジェクトだからこそ、事前の調整や問題発覚時のスピーディな対応を非常に大切にしています。

「dカードについて詳しくはこちら」

私はセキュリティの業務に携わるうえで、“ビジネスのためのセキュリティ”を大切にしています。“セキュリティ”と“利便性”はトレードオフと言われていて、セキュリティ担当者は現場部門から煙たがられる存在になりがちです。法律に即した形でポリシーを作るけれども現場はついていけてない、そしてユーザーはそれをすり抜けるための方法を考え出すということがあります。こういった形はあるべき姿ではないので、なるべく現場が意識しないで済むようなセキュリティ対策を講じていきたいと思っています。例えば、ルールで不要な操作を禁止させるのではなく、不審な動きがあればAIで検知するなど、なるべくシステム側で自動化して制御していきたいと思っています。また、ルールを作っても実行されないと意味がないので、セキュリティと利便性のバランスを考えて、セキュリティ設計ができる人材になっていきたいです。

整った研修制度、他部署と隔てなくコミュニケーションが取れる環境を活かせば自分の活躍領域が広がる

新たな価値提供に向けた個人のスキルとして、ニーズや課題を発見・予測して実現する力が求められますが、ドコモでは研修制度や資格制度が充実しているため、自分が必要とするスキルを身につけて自己成長できる環境が整っていると感じます。自身のセキュリティの知識を深めるためにセキュリティ関連資格を取得することで、奨励金がもらえてモチベーションが高まりましたし、数万人登録されたチャットのグループで部署を超えた繋がりが持ちやすいのも非常に魅力的です。在宅ワークがメインになっている中でも所属の部署以外の方と繋がりを増やすことができます。たまに気分転換でサテライトオフィスを使っていて、そこでも部署以外の方とコミュニケーションをとることができています。

また、5Gのネットワーク基盤や膨大な会員データ、幅広い業界のパートナー企業という巨大なアセットがあるのもドコモの魅力の一つです。様々なアセットを活用して新たなコンテンツサービスやソリューションを創出して新たな価値提供にチャレンジできる環境があります。そして今まで経験したことのない大規模なプロジェクトに携わるチャンスが転がっています。目標をしっかり持ち自組織の課題を見つけ、解決に向けて周りに積極的に働きかけができる人であれば、活躍の領域も広げることができると思います。

「各種制度を見る」

これまでの経験として、ISO/IEC 27000シリーズ※2、NIST SP800シリーズ※3、IEC 62443※4などセキュリティ基準に基づいた監査を通じてリスクを見える化し、ポリシーを策定して運用する機会が多かったので、これらの知見を活かして数年はPCI DSS対応業務を遂行し自分のポジションを確立していきたいと思っています。また、日々の業務の中でもリスクは多く存在しているので、リスクを見つけるための監査などを通じて現場の実態を把握して、事業のリスク評価と対策ができる人材になりたいです。

※2：国際標準化機構 (ISO) と国際電気標準会議 (IEC) が共同で策定する情報セキュリティに関する国際規格群を指す。
※3：NISTはNational Institute of Standards and Technology(米国国立標準技術研究所)の略。SP800シリーズはNISTから発行されているコンピュータセキュリティ関連の文書。
※4：制御システムのセキュリティに関する国際規格。

※所属部署・記事内容はインタビュー時のものです。