ナレッジワークで働くエンジニアたちのパーソナリティに迫るインタビューシリーズ、「KNOWLEDGE WORK Dev Talk」。これまでのキャリアの歩みや価値観、現在取り組んでいるプロジェクトなどについて質問していくコーナーです。ナレッジワークのVPoE(VP of Engineering)である木村 秀夫(hidek)と一緒に、ナレッジワークのエンジニアのイネーブルメントの源泉に切り込んでいきます。
第14回目となる今回は、ナレッジワークのセキュリティ組織のマネージャーを務める亀本 大地(yudoufu)に話を聞きました。
※関連記事:「20代・30代とは違う、40代でのスタートアップ。 歩んできたからこそわかる、本当に大切なこと。」(MEMBER STORY)
※過去のインタビュー記事はマガジンからご覧ください。
亀本 大地(yudoufu) / Security Group エンジニアリングマネージャー
2006年よりエンジニアとしてWeb開発に従事。2016年、株式会社メルカリ入社。子会社にて新規プロダクト開発を担当した後、メルカリ本社にてEngineering Managerを務める。2020年、株式会社ナレッジワーク入社。CISSP保有。
オールラウンドな開発者からセキュリティの旗振り役へ
ーー自己紹介をお願いできますか?
yudoufu: yudoufu(ゆどうふ)です。ナレッジワークのセキュリティ専任組織であるSecurity Groupのマネージャーを務めています。ナレッジワークに入社したのは創業初期の2020年で、まだ社員数がだいたい10人くらいの頃でした。それから現在に至るまで、セキュリティを主軸に活動しています。
もともとはエンジニアとして、主にバックエンドやSREといった領域でキャリアを積んできました。ナレッジワークに入社したときも、セキュリティエンジニアとしてではなく、インフラ領域を担うエンジニアとして業務をスタートしたんです。
入社して少し経った頃、ちょうど社内でセキュリティ専任担当を配置することになり、僕自身のエンジニアとしてのキャリアも、セキュリティへと舵を切ることになりました。それ以来、プロダクトとコーポレートの両面から、ナレッジワーク全体のセキュリティを幅広く強化する取り組みを進めています。
ーー前職のメルカリでは、hidekさんと同時期に働いていたんですよね?
hidek: そうなんです。同じメルカリグループに所属していて、yudoufuさんはソウゾウ・メルカリでエンジニアリングマネージャー、僕はメルペイでVPoEと、同じグループの中で近い距離にいたのでお互いの存在はよく知っていましたね。
そして実は、僕がナレッジワークに入社したきっかけはyudoufuさんからのリファラルなんです。その意味では、前職からの縁がずっと続いていると感じています。
yudoufu: そうですね。ちょうどナレッジワークが大きく成長しようとしていた時期で、エンジニア組織を牽引する強力なVPoEを必要としていました。そこでメルペイでプロダクト組織を統率されていたhidekさんの顔が自然と浮かび、お声がけさせていただいたんです。
ーーyudoufuさんがナレッジワークに入社したのはどういったきっかけだったんですか?
yudoufu: 僕が初めてナレッジワークの社名を知ったのは、KJ(CEOの麻野)が起業したタイミングでSNSで発信していたのを誰かがリポストしていて、たまたま見かけたことでした。それが最初の接点です。
実はメルカリでマネージャーを務めていた頃、マネジメント研修の一環で、KJが前職のリンクアンドモチベーションに在籍していた頃に開発した研修プログラムを受講したことがあったんです。その内容がとても印象的で、すごく感銘を受けました。
なのでKJのことは一方的に知っていて、「この人が新しい事業を始めるなら、自分も共感できる部分が多いかもしれない」と思ったんです。僕自身、人が働く環境をもっと楽しく、豊かにしたいという関心があったので、すごく惹かれました。それで実際に話を聞きに行ったのが最初のきっかけですね。
ーーそして創業まもないナレッジワークに入社されるわけですが、セキュリティを担当するようになった経緯について教えてください。
yudoufu: 僕が入社した頃、ナレッジワークはまだ組織として非常に小さかったものの、その段階から「エンタープライズ向けに事業を展開するなら、セキュリティ強化が不可欠」という共通認識がありました。入社してまもなく、すでに「セキュリティの専門チームを作ろう」「ISMSを取得しよう」という会話を始めていました。
その中で「誰がセキュリティ領域を担うのか」という話になったとき、僕はインフラやクラウド、SREといった領域を担当していて、ナレッジワークのサービスのデータに一番近い立場にいました。顧客のデータをどう守ればいいか理解した上でセキュリティを設計できるのは自分なのでは、と考えたんです。もちろん他にも適任の人はいましたが、たとえばmayahさん(CTOの川中)がそこに専念するのは事業的にもったいないと思いましたし、システムやインフラに最も近い自分が責任を持つのが自然だと感じました。
過去にエンジニアとしてバックエンド、インフラ、フロントエンド、iOSまで幅広い領域を手がけてきましたし、エンジニアリングマネージャーとして組織やプロダクトを俯瞰する経験も積んできました。自ずとセキュリティに対処する場面は多く、個人的にも強い関心があったので、「じゃあ自分がやります」と手を挙げました。その結果、当時まだ担当者がいなかったコーポレートITまで含めて、幅広く見ることになったんです。
hidek: その規模の組織でセキュリティの専任担当を置くのは珍しいですよね。でもそれだけ「本気でエンタープライズのお客様に向き合う」というナレッジワークの姿勢が表れていいますね。
セキュリティ文化の浸透は、ナレッジワークのスタイルがあってこそ
hidek: 先ほど過去のエンジニア経験が立候補の動機になったという話がありましたが、ルールや仕組みが未整備な状況から、セキュリティ担当として組織をリードしてこれたのは、yudoufuさんのエンジニアリングマネジメントの経験や資質が大きかったのではないかと思っていますが、いかがでしょうか?
yudoufu: そうですね。まず前提として、セキュリティの取り組みは自分ひとりで完結できるものではなく、コーポレートを含め多くの人の協力が欠かせません。特にISMSの取得を目指すとなると、審査会社とのやり取りなど社外との調整も多く、同時に社内の体制やフローを整備することも必要になります。そうした調整やコントロールを行いつつ、自分でも手を動かす。その両面を担えたのは、これまでのエンジニアリングマネージャーとしての経験が活きた部分だと思います。
hidek: それからナレッジワークも組織が徐々に大きくなってきましたが、いろんなバックグラウンドの人が入ってくると、どうしてもセキュリティリテラシーに差が出てきますよね。その平準化は大変だったのではないでしょうか?
yudoufu: そうですね。大変ではありましたが現在まで問題なく対応できているのは、大きく2つポイントがあると思います。
1つ目は、最初からフレームワークに則ったこと。「適当にいろんなところから拾ってきてルールを作る」ではなく、ISMSを柱に据えて、そこに基づいてルールや対策を整えていきました。その結果、守るべきものが明確になり、必要な研修を企画するなど、整備すべきアクションも定まっていったのは大きかったですね。
2つ目は、ナレッジワークが重要視している「スタイル」の存在です。このスタイルへの共感を採用基準にもしっかりと組み込んでいるおかげで、新しいメンバーも自然と「ルールを守るのが当たり前」という感覚を持っていました。一般的には、ルールが難しいと対応を曖昧にしてしまう人も少なくないと思いますが、ナレッジワークにはそうした姿勢の人はあまりいません。ここはセキュリティ文化を根付かせるうえで、本質的に寄与している部分だと思います。
hidek: なるほど。一般的にはセキュリティって「非機能要件」と捉えられがちで、平時には後回しにされやすいですよね。プロダクト開発の現場だと「今は事業優先だから」と煙たがられることもあって、対立構造になりやすい傾向にあると思っています。
でも僕がナレッジワークに入ってすごいと感じたのは、yudoufuさんのセキュリティ施策が社員から賞賛される場面が多いことでした。啓蒙活動が会社のスタイルと自然に結びついていて、うまく噛み合っていますよね。
yudoufu: 僕もそこは同感です。「Act for People(人のために)」「Be True(誠実に)」「Craftsmanship(こだわりを持って)」というナレッジワークのスタイルと、セキュリティ関連の活動の相性は非常に良いと感じています。他社と比較することはできませんが、少なくともナレッジワークではセキュリティに対するネガティブな反応を聞くことはほとんどありません。それは、社員みんなの姿勢にスタイルがしっかり根付いているからだと思います。
最初の頃を振り返ると、スタートアップとしてルールが不足していたり改善の余地がある中で、社員から意見や提案をもらって、それをきっかけに仕組みを固めてきた部分が大きかったんですよね。つまり、セキュリティ担当である自分が一方的に発信しなくても、組織全体で「セキュリティを高めていこう」という意識がありました。それはナレッジワークの強みでもあり、僕自身のやりがいにもつながっていますね。
hidek: 現場からすると、プロダクト開発が忙しいところにセキュリティ案件が来ると、「なんで今なんだよ…」と不満要素になることもあります。でもyudoufuさんは、依頼するときに優先順位を整理して、対応範囲を絞ってお願いされていますよね。相手の状況を理解して動いているのが印象的です。
yudoufu: そこは過去のエンジニアとしての経験が活きていますね。
僕はセキュリティの役割は大きく2つあると思っています。1つ目は「お客様に対して説明責任を果たすこと」、2つ目は「お客様の情報を守ること」。この2つをどうつなぐかが重要で、その解像度の高さによって、セキュリティ担当としての動きやすさが大きく変わってきます。
例えば、説明責任の視点だけに振り切ってしまうと、ルールがガチガチになって現場で動きにくくなる。一方でプロダクト開発の現実を知らなければ、どの程度までルールを調整すれば実装に落とし込めるのか判断が難しい。
暗号化ひとつとっても、「暗号化してください」というルールを掲げるだけでは不十分で、実装方法や鍵のローテーションまで踏み込む必要があります。そのためには、現場との壁打ちを通して、具体的に形にしていく事が大事です。そこまで現実を理解できてこそ、実践的なルールにできるんです。
hidek: なるほど、杓子定規じゃない「生きたセキュリティ施策」になっているわけですね。
yudoufu: そこはセキュリティ担当として心がけているところですね。
組織と事業の急拡大を支えるコーポレートセキュリティの重要性
ーー現在のSecurity Groupの体制やミッションについて教えていただけますか?
yudoufu: ナレッジワークではSecurity Groupを中心に、全社の現場と連携する横断的な体制を整えています。全社的な協力を基盤に、安全・安心なセキュリティ環境の構築に取り組んでいます。
Security Groupの役割は、セキュリティに関するルールや基準を策定し、各部門が適切に実装・運用できるよう方向性を示すことです。対応領域は大きく2つあり、1つは組織運営に関するコーポレートセキュリティ、もう1つはお客様に提供するプロダクトセキュリティです。各担当がそれぞれの領域を責任を持ってリードし、部門横断で密接に連携することで、網羅的かつ一貫性のある取り組みを進めています。
僕たちは「ルールと現場実装をつなぐハブ」として機能し、全社的なセキュリティ体制を確実に運用しています。たとえばコーポレートセキュリティでは、求める水準やルールを定め、それに基づきコーポレートIT部門がシステム対応を実施します。プロダクトセキュリティでは、開発組織やSRE、プラットフォーム部門と協働し、Security Groupが定めた基準を各チームが具体的な実装に落とし込みます。
このように、少人数でありながら高い専門性と柔軟性、そして全社的な連携を兼ね備えることで、常に安心してご利用いただけるセキュリティ基盤を提供しています。
ーーコーポレートセキュリティについて、具体的な取り組みを教えていただけますか?
yudoufu: 実績として大きいのは、やはりISMSを軸にしたセキュリティマネジメントの構築です。ナレッジワークの組織全体を統制するためにISMSを導入し、その枠組みに沿って必要な仕組みを固めてきました。
具体的には、まず基本となるセキュリティルールを整備しました。またクラウドサービスの利用に関しても、選定や運用の基準を決め、社内で安心して活用できるように対応を進めています。さらに、ナレッジワークはリモートワークのメンバーが多いため、IT環境の整備やセキュリティ強化にも力を入れてきました。
ーーISMSの取得について詳しく教えてください。
yudoufu: ISMSはこれまでに3種類取得しました。まず基本となるISMS(情報セキュリティマネジメントシステム)に加えて、クラウドセキュリティに関するISO 27017、それからプライバシー保護に関するISO 27701を取得しています。
[参考] 認証取得に関するプレスリリース
・ナレッジワーク 、クラウドセキュリティに関する国際規格 「ISO 27017」を認証取得(2024年2月20日)
・ナレッジワーク 、プライバシー情報保護体制に関する国際規格 「ISO 27701(プライバシー認証)」を認証取得(2024年9月26日)
hidek: 僕が入社した頃、プロダクトもまだ世の中に広く知られていたわけではなく、組織の規模もそこまで大きくなかったですよね。その規模の会社にしては、ISMSやプライバシー認証などをかなりしっかり進めていると感じました。そこまで力を入れていたのには、どんな意図があったんでしょうか?
yudoufu: 最初に取得したISMSについては、会社として非常に早い段階で「導入しよう」という意思決定がありました。その後に取得した2つの認証(ISO 27017と27701)には、大きく2つ理由があります。
1つ目は、金融系などセキュリティレベルの高いお客様にサービスを提供する際には、セキュリティチェックシートで詳細な確認を受けることが必要となります。そうした場面では「追加の認証を持っているかどうか」が大きな判断材料になります。営業からも「このお客様には27017が必要」とアドバイスを受け、対外的な客観的証明として取得を進めました。
2つ目は、フレームワークに基づいて体制を固めることを重視したからです。特にプライバシー認証(ISO 27701)はその考えに沿ったものです。個人情報を扱う際に「自分たちなりのやり方」では抜け漏れが出るリスクがあります。だからこそ標準化されたフレームワークに則って仕組みを構築し、確実に守れる状態をつくる。それを目指して取得しました。単なる「認証取得ポーズ」で終わらせず、実効性を意識しています。
hidek: そうですよね。認証ってアピールだけだと「取得して終わり」になることがあります。でも僕らはエンタープライズのお客様からの信頼を得るために、実際の運用を重視している。フレームワークに従うことで抜け漏れなく対応できますし、お客様への説明も「認証を取得しています」と言えば一度で済む。コミュニケーションの効率化にもつながっていますよね。
yudoufu: はい。そこは認証の力として大きいですね。
ーー現状、コーポレートセキュリティに関して直面している課題はありますか?
yudoufu: 課題のひとつは、会社の急速な拡大です。創業当初に僕がセキュリティのルールや仕組みを整えた頃と比べると、組織のフェーズや多様性が大きく変わってきました。
社員が100人くらいまでは、自分の目が届く範囲で柔軟に判断しながらスピード感を優先できていました。しかし、100人を超えると状況が変わります。社員が「セキュリティルールは既にあるもの」と捉えるようになり、柔軟性よりも形式を重視する傾向が強まっているのを感じるようになりました。
そこで「今ある仕組みを、さらに上のレベルに引き上げる必要がある」と気づきました。これまで柔軟に運用してきたルールを、納得感を持って全員が従える形に作り込み直すことが求められています。
現状では、まだ僕に直接相談や判断が集中している状態です。ただ、このままでは事業スピードのボトルネックになりかねません。属人的な判断に頼らず、しっかりとしたルールに落とし込み、組織として自律的に回せる体制を整えることが、今の課題だと考えています。
hidek: なるほど。個人の判断やスタイルに頼らずに、仕組みやルール、システムで支える必要があるということですね。セキュリティは攻撃側も進化していくので、守る側も継続的にアップデートしなければならない。
yudoufu: そうですね。もちろんルールを細かく作り込みすぎれば、人の判断を減らせる面もあります。ただ、それをどこまで徹底するかはバランスが必要です。状況に応じて適切なラインを考え、固めすぎず柔軟性を残すことも大切だと思います。
セキュリティ現場に広がる、生成AI活用の現場と可能性
hidek: この機会に、セキュリティ分野でのAI活用について伺いたいです。まず、現在Security GroupではAIをどのように活用されていますか?
yudoufu: ナレッジワークのセキュリティ業務では、主に「品質の高い、スピーディーなお客様対応」の実現にAIを活用しています。例えば、お客様のセキュリティチェックシートのように高い正確さが求められる定型業務では、AIの特性を活かして下書き生成を行い、人による最終チェックを組み合わせることで、対応品質とスピードの両立を実現しています。
さらに、今後は社内で利用するクラウドサービスのセキュリティレビューにもAIを取り入れようとしています。各サービスごとに収集しなければいけない情報やチェック項目が膨大になるので、人手だけでは負担が非常に大きい。そこを自動化・半自動化することで効率化を計っています。
hidek: なるほど。世の中のトレンドとしては、セキュリティ分野においてAI活用はどのような状況なのでしょうか?
yudoufu: 生成AIに限らず、AIを活用した取り組み自体は、監視の精度向上など以前から存在してきました。ただ、実績という観点では、まだまだセキュリティ業界全体が手探りの段階にあると感じています。
むしろ今の大きな流れは、「AIが活用される現場をどう安全にするか」という点です。たとえば生成AIサービスの利用ガイドラインを整備したり、社内データの保持・分類・ラベリングを見直したりして、AIが参照しても安全で、かつ意味のある形に整えることが求められています。ナレッジワークでも、コーポレートITと連携しながら、ルールと実装の両輪でこの部分をブラッシュアップしているところです。
またプロダクト開発の現場においては、MCPサーバーを介して社内リソースを生成AIが横断的に参照し成果物にまとめて、さらにAIエージェントと組み合わせる、といった動きが進んでいます。一方でその中には、従来のAPIやログイン制御の前提を飛び越え、大量のデータが一気に取得されてしまうケースや、認証トークンの扱いが不十分なまま使ってしまう、といった課題も散見されます。
こうした部分をきちんと設計し、運用に落とし込むこと。これがこれからのセキュリティの重要テーマであり、ナレッジワークとしても強く意識して取り組んでいるところです。
hidek: なるほど、よく理解できました。
顧客に信頼されるセキュリティの土台を築く仕事とは
ーー今後のビジョンについて伺います。どんなセキュリティ組織を目指していますか?
yudoufu: これからのSecurity Groupには、大きく2つの推進力が必要だと思っています。
1つ目は、認証の取得・運用を推進する力です。僕たちは、ISMSなどのフレームワークを軸に、お客様への説明責任を果たすことを重視しています。認証を取得するだけでなく、効率的に運用し、仕組みとして根付かせていけるモチベーションと能力を持った人材を求めています。これからナレッジワークの事業は拡大していきます。それに伴って、進出する領域やお客様の要望、業界や国によって必要な認証は増えていくはずです。そうした変化に合わせて対応できる人が必要だと考えています。
2つ目は、会社のルール作りを能動的に進める力です。先ほども触れたように、組織の成長に合わせて、セキュリティルールを継続的にレベルアップさせていく必要があります。現場の動きや事業スピードを理解した上で、「どこまで固めるべきか」を見極め、納得感のあるルールを作れる人が求められます。特にコーポレートセキュリティの観点では、こうした力が大きく必要だと感じています。
ーーナレッジワークならではの、セキュリティエンジニアとして働く独自性はどんなところにあると思いますか?
yudoufu: セキュリティの仕事はもともと幅広いですが、その中でもナレッジワークのSecurity Groupの特徴は、担当領域を硬直的に分けずに必要に応じて境界をまたいで動けるところにあると思います。
認証の運用やルール作りにとどまらず、インシデント対応まで幅広く関わる事ができる。小規模チームだからこそ、ひとりが担える範囲が広く、望めば多様な経験を積めるのは大きな魅力です。
特に重要なのは、「少数精鋭の体制で、長期的に安定したセキュリティ基盤をどのように確立していくか」という視点です。その一つの手段が、先ほども触れたAIの活用です。AIに関心を持ち、実際にセキュリティ業務への応用に挑戦してみたいと考えている方にとっては、大きなやりがいを感じられるでしょう。実際、社内にはAI Opsを推進するチームがあり、AIを活用した業務効率化の取り組みに参加する機会もあります。僕たちの業務には自動化・効率化できる余地が大いにあると感じていますし、能動的にチャレンジできる人には、とても向いている環境だと思います。
hidek: 加えて、僕らはエンタープライズのお客様が多く、求められるセキュリティ水準が非常に高い。一方でプロダクトカンパニーとしてスピードも求められる。その両立を小さなチームで担うのは、大きなやりがいにつながりますし、面白さがありますよね。
yudoufu: そうですね。特にナレッジワークの事業の特徴は、メガエンタープライズと呼べるほど大規模なお客様を相手にしていることです。スタートアップがそうした顧客と直接向き合うのは非常に珍しいことだと思います。
当然、求められるセキュリティ水準は極めて高いのですが、それを単純にルール通りに実装するだけでは不十分です。お客様の要求を正しく汲み取り、「本質的にどう満たすべきか」を考えたうえで会社の施策に落とし込む必要があります。こうした経験はなかなか得られないものですし、まさにナレッジワークだからこそ味わえるチャレンジだと感じています。
ーー最後に。ナレッジワークでセキュリティエンジニアとして働くのに向いているのはどんな方でしょうか?
yudoufu: まず、業務の裁量が広い分、興味の幅が広い人はその分学べるものや得られるものが大きいと思います。さまざまな分野の業務に挑戦したい人にはチャンスが多い会社ですし、一方で「この領域を専門で極めたい」という志向にも応えられるキャリアラダーがあります。メンバーマネジメントの道だけでなく、ナレッジ(専門性)で評価される道も用意されています。これからのセキュリティ組織づくりにも貢献できる余地があります。
また、一般的にセキュリティ職の業務内容は会社ごとに大きくは変わらず、候補者も「どんな業務があるか」で選びがちな傾向があります。しかしナレッジワークは、全員がお客様価値から逆算して動く会社です。これは職種に関わらずで、セキュリティも例外ではありません。「自分たちのプロダクトや事業をセキュリティの観点からどう良くできるか」を主体的に考えることができ、営業や開発と同じテーブルで議論してアクションを起こしたい人には、とても相性が良い環境だと思います。
セキュリティエンジニアとして組織や事業、そして自分自身をイネーブルメントしたい。そんな環境を求めている方は、ナレッジワークはいつでも歓迎したいですね。
(取材・編集:三木鉄平 / 撮影場所: WeWork 神谷町 共用部)
【採用情報】 ナレッジワークでは、セキュリティエンジニアを募集しています
元の記事を確認する
