システムエンジニア

竹内 裕紀

IT本部 第6事業部第4部

竹内 裕紀Hiroki Takeuchi

2012年入社

就職に際して考えたことは、社会的に重要な役割を担う仕事がしたいということだった。さらに、チームとして大きな成果を上げることができる職種を考え、IT業界を志望。当社は、みずほ銀行のシステムを担っている会社であることから、社会的に重要な役割を果たせると感じ、入社を決意。入社以来、主にSAPシステム(企業の基幹システム)の保守や更改を担当。2018年11月より、現職。脆弱性診断等業務に従事。

サイバー攻撃に対し、
〈みずほ〉の情報を守る仕組みを
整備。

現在、あらゆるモノがインターネットにつながり、利便性が増した一方で、課題とされているのがサイバーセキュリティ対策です。ネットワークを通じて行われる、情報の窃取や改ざん、破壊といったサイバー攻撃は昨今ますます巧妙さを増しており、システムや情報の安全性を確保するための対策には高度化が求められています。これは、インターネットにアクセスするすべての企業、団体等にあてはまることですが、金融という重要な社会インフラを担い、多岐にわたる機密データを運営管理する銀行にとっては最重要課題の一つです。そういった中で、私はみずほ銀行に対する脆弱性診断の推進や、〈みずほ〉各社で制定されているシステム設計の標準化基準、セキュアコーディングガイドライン、脆弱性診断手続などセキュリティに係る規定の改訂等を担当しています。

システム実装の段階から
「セキュリティホール」

作りこまないためのルール策定。

サイバー攻撃による不正アクセスでシステムが破壊され、情報が盗用される事件が、度々メディアで取り上げられています。その原因はシステムの「脆弱性」にあります。「脆弱性」とは、プログラムの不具合や設計上のミスが原因となって発生した情報セキュリティ上の欠陥である「セキュリティホール」のことで、悪意あるハッカーはそこを攻撃してきます。
「セキュリティホール」を作り出さないためには、システム設計・開発の段階で、不具合やミスを極小化する必要があります。そこで、システム更改や新たなシステム構築の際に、共通設計標準(ルール)を設けることで、「セキュリティホール」を作り込まないような取り組みを進めています。その一つが「セキュアコーディングガイドライン」としてまとめたもので、ガイドラインに準拠したプログラミングの推進を図っています。こうした「脆弱性」対策に関わるチームメンバーは私も含め9名います。その中で、リーダーとしてチームを運営していますが、最近では、これまで培ったナレッジを活かし、〈みずほ〉以外の金融機関に対するサイバーセキュリティ対策のコンサルティングや営業活動も進めています。

ホワイトハッカーとして
セキュリティホールを探し出す。

本来「セキュリティホール」はあってはいけないものですが、システムが複雑かつ大規模になるにつれ、そのリスクは増していきます。当社が扱っているのは、〈みずほ〉のシステムですので、その規模や影響力は非常に大きく、加えて近年の銀行システムの高度化に伴い、複雑さはますます高まっています。そこで私たちが行っているのが、擬似サイバー攻撃を仕掛け、「セキュリティホール」を見つけ出す「脆弱性診断」です。万が一、「セキュリティホール」が見つかった際には、そのリスクと対応策の評価を行い、コスト等も鑑みた上で対応策を検討します。
「脆弱性」は、否応なしに存在するものであり、その評価と対策を的確に行っていくことが安全性と信頼性の確保につながっているのです。

大きな経営リスクとなり得る
セキュリティ問題。
〈みずほ〉での知見を活かし、
社会を守る。

デジタル化の進展により、サイバーセキュリティに対する意識は年々高まっています。しかしながら、セキュリティを担保するには時間と費用を要する上に、ユーザの利便性を低下させる可能性もはらんでいるため、なかなか対策を講じることができずにいる企業も存在するのが実情です。そうした中でも、セキュリティリスクは重大な経営リスクであることを、今まで以上に認識・危機意識を醸成していく必要があります。メガバンクという甚大な影響力を持つシステムのセキュリティを担ってきた経験とノウハウをもとに、様々な企業のお客さまに対して、セキュリティに関する啓蒙・啓発を行っていきたいと考えています。
サイバーセキュリティ対策は、単に〈みずほ〉の事業の安全性・信頼性を担保するだけでなく、社会全体を健全に保持していくために不可欠なものであり、その重要な役割を担っている確かな手応えがあります。巧妙なサイバー攻撃は断続的に行われることが想定され、終わりのない戦いですが、プロフェッショナルとして粘り強い戦いを継続していくことが私の責任であり、誇りです。そのミッションを果たすことで、社会の役に立っているという大きなやりがいを実感していますし、その使命感が、私のモチベーションの源泉になっています。

1日のスケジュール

  • 9:00

    出社。
    メール・1日のスケジュール確認。

  • 10:00

    チームメンバーと「セキュアコーディングガイドライン」に関してミーティング。

  • 11:00

    地方銀行のお客さまからの、サイバーセキュリティ対策の問い合わせに電話対応。

  • 12:00

    昼食。

  • 13:00

    「脆弱性診断」に関する提案書作成。

  • 14:30

    みずほ銀行のセキュリティ対応部署とシステム状況の確認。

  • 16:00

    セキュリティに関する情報収集・
    分析。

  • 18:00

    退社。

セキュリティの専門性と組織運営能力、
2つを持ち合わせるハイブリッド
人材へ。

セキュリティの専門性に秀でると同じく、組織運営もできる、どちらもハイレベルでこなせるハイブリッドな人材に成長したいと考えています。そのために、まずはセキュリティに関する知識・スキルを貪欲に吸収し、日々自分自身をアップデートし続けたいと思います。組織運営の面では、チームリーダーとして、チーム全体の成長を促進していきたいと思っています。目指す姿は、リーダーである自分が不要と思われるほど、個々のメンバーが活躍する組織です。

※所属部署は取材当時のものになります。