-前編-【みずほフィナンシャルグループ】〜メガバンクグループが語るサイバーセキュリティの最前線〜

heart - -前編-【みずほフィナンシャルグループ】〜メガバンクグループが語るサイバーセキュリティの最前線〜loading - -前編-【みずほフィナンシャルグループ】〜メガバンクグループが語るサイバーセキュリティの最前線〜お気に入りに追加

※こちらは、2022年10月12日放送のコトラTV(ウェビナー)の内容を記事化したものです。

次の記事(2/2)
入社後のキャリア・やりがい
(キャリア入社者とのグループセッション)

ゲストのご経歴

mizuho1 - -前編-【みずほフィナンシャルグループ】〜メガバンクグループが語るサイバーセキュリティの最前線〜


みずほフィナンシャルグループ
IT・システムグループ
情報セキュリティ担当(CISO) 執行理事

阿部 展久

[ 経歴 ]
新卒でみずほ銀行(当時の富士銀行)へ入行
支店の渉外担当者、経営企画部等の本部部署を歴任し、2013年~長野支店長
2015年~新設のFinTech専担組織を担当(後のデジタルイノベーション部長)
2019年4月 監査業務部長、2020年4月 執行役員業務監査部長
2022年4月 現職就任
mizuho2 - -前編-【みずほフィナンシャルグループ】〜メガバンクグループが語るサイバーセキュリティの最前線〜

みずほフィナンシャルグループ
セキュリティ&データマネジメント部
サイバーセキュリティチーム 次長

福田 亮

[ 経歴 ]
大学院卒業後、新卒で外資系コンサルティング会社へ入社。
金融業界のITガバナンスのコンサルティングに従事した後、ベンチャー企業へ転職。
2007年にみずほへ入社し、IT部門の企画・人材育成・システム管理を経験。
2013年から2019年までニューヨークへ赴任し、米国みずほのITシステム部門に所属。
帰国後、DXを取り纏めるチームを経て、2021年より現職。専門は大規模ITのガバナンス、プロジェクト管理、サイバーセキュリティの企画等。
mizuho3 - -前編-【みずほフィナンシャルグループ】〜メガバンクグループが語るサイバーセキュリティの最前線〜

みずほフィナンシャルグループ
セキュリティ&データマネジメント部
リスク管理室 調査役

池田 愛

[ 経歴 ]
新卒で大手損害保険会社のシステム子会社に入社後、監査法人に転職し、
システムコンサルタントとして活躍。
2016年にみずほ銀行へ入行後は、2年弱サイバーセキュリティの担当として従事。
2018年にみずほを退職し、政府系機関の任期付職員へ。
2年4ヶ月の任期を終え、2021年1月よりみずほ銀行へ再入社し、
サイバーセキュリティにおけるグローバル連携を担当。

インタビュアー

kotora 826x1024 - -前編-【みずほフィナンシャルグループ】〜メガバンクグループが語るサイバーセキュリティの最前線〜

株式会社コトラ
ExecutiveConsultant

中川 貴史

[ 経歴 ]
大学院を修了後、大手通信企業に入社。SEとして海外向け金融システムプロジェクト、およびホワイトリスト/PCI-DSS対応など複数のセキュリティプロジェクトに従事。コトラに転職後は、セキュリティ/リスク/ガバナンス領域などを専門として、ハイクラスを対象に転職・採用支援。

[ 担当領域 ]
セキュリティ、リスク、ガバナンス、フォレンジック、コンサルティングファーム、金融機関、ITベンダー

>金融業界、サイバー等専門領域、グローバル監査・システム監査の転職相談はこちら

みずほフィナンシャルグループ全体・部門のご紹介

コトラ 中川:
本日はキャリアやお仕事のリアルな部分を、ぜひ教えてください。まずはじめに、自己紹介を兼ねて、これまでのキャリアや入社までの経緯をお聞かせください。

阿部様:
私は約30年前に、新卒で銀行に入社し、以降ずっと〈みずほ〉で働いているということになります。
7年前、FinTechが話題になりだした頃に新設された専担組織を率い、2019年から3年間は内部監査の仕事をし、今年4月から情報セキュリティを担当しています。

福田様:
大学院卒業後、最初は外資系のITコンサルで金融や大規模なITガバナンスのプロジェクト等を経験し、その後にベンチャー企業を経て、やはり金融の大規模ITをやりたいと考えて、当時のみずほコーポレート銀行のIT部門に入社しました。
社歴としては〈みずほ〉が一番長く、今年で16年目になります。途中では米州システム部に現地出向しIT企画などを経験しましたが、インフラまわりの構築・管理の経験が多かったこともあって、昨年からサイバーセキュリティチームでフィナンシャルグループ(※以降「FG」と記載)・銀行・信託銀行のサイバーセキュリティの取組み強化を担当しています。

池田様:
新卒で損害保険会社のシステム子会社に入社し、システムエンジニアとして10年程キャリアを積んだ後、監査法人に転職しシステムコンサルタントとして3年強働いていました。
その後、2016年にみずほ銀行に入行し、サイバーセキュリティの担当として2年弱仕事をしました。
一旦〈みずほ〉を退職し政府系機関で2年ほど任期を全うした後、〈みずほ〉に出戻りサイバーセキュリティに係るグローバル連携の仕事をしています。

コトラ 中川:
第1部として、みずほFG全体、およびセキュリティ部門のご説明をお願いします。

阿部様:
まず、みずほFGとは2001年に複数の金融機関が集まって出来た会社ですが、日本の上場企業の約7割、また3000社以上のスタートアップ企業とのお取引があります。
また、みずほ銀行には2400万の個人のお客さまの口座がある、つまり日本国民の5人に1人は〈みずほ〉の口座を持っているということになります。

〈みずほ〉が掲げている今年度のトップリスクは10個ありますが、そのうちの1つがサイバーセキュリティです。経営としても重要度の高いテーマと位置づけ、重点的に取り組んでいます。

次に組織体制ですが、私はグループCISOの立場になりますので、セキュリティ&データマネジメント部のサイバーセキュリティチームとリスク管理室の1線・2線どちらの組織も担当しています。

福田さん・池田さんが所属しているのがセキュリティ&データマネジメント部です。みずほFGで情報セキュリティ管理をしている様々な部署と連携しながら、サイバーセキュリティ対策に取り組むのはもちろん、実際の個別ビジネスを担っている銀行・信託銀行・証券会社それぞれのサイバーセキュリティ統括部署とも密に連携して業務にあたっています。

3人ともFG・銀行・信託銀行を兼職しているため組織の壁を意識することはあまり無いのですが、日頃の業務を実施する上では、どの組織の仕事をしているのかを意識しながらしっかりとガバナンスをきかせる必要があります。また、様々な外部の専門機関(金融庁、日本銀行、警察など)とも密に連携しながら、業界・国境を超えてサイバーセキュリティを守っていくという仕事をしています。

活動のフレームワークは、NISTが出しているグローバルスタンダードに沿った形で運営しています。

少し具体的にお話しすると、日々のサイバーセキュリティの業務は、大きくは平時と有事の2つに分かれます。

平時の際は、脅威の分析・特定などを中心に「どうやって防御するか」を中心に企画・推進しています。ただ攻撃は必ずしも100%防げるとは限らず、新聞などでも報じられている通り、日本の様々な企業が日々攻撃を受けている状況もあります。そのため、万一の有事の時に如何に検知・対応するか、さらにはどうやって復旧するかというところまでのレジリエンスも大切にしながら業務にあたっています。

実は今日も、海外4地域のマネジメント向けの会議があったのですが、「海外の拠点も、どこの国のどういったシステム・サービスが狙われてもおかしくない。緊張感を持ち我がこととしてサイバーセキュリティに取り組んでほしい」と伝えました。また、サイバーセキュリティに関して、「人や予算などの経営資源に困ることがあれば遠慮なく相談してほしい」ということも併せて話したところです。

国内のみならず、グローバルでもどこで何が起きるか分からないという、非常に緊張感のある業務ですが、自社に留まらず、様々な業種、更には世界にまで影響が及ぶような仕事をしている自負を持って頑張っています。

>金融業界、サイバー等専門領域、グローバル監査・システム監査の転職相談はこちら

サイバーセキュリティのプロジェクト事例

コトラ 中川:
次に、より具体的な業務内容・プロジェクト事例について教えて下さい。

福田様:
セキュリティ&データマネジメント部は、実は最近創設された部署です。ただ前身となる組織は以前からあり、2011年にCIRTというチームを立ち上げています。
これはサイバーセキュリティを専門で対応するチームとして発足しており、FG・銀行のサイバーセキュリティのディフェンス網や、日々の監視・モニタリング、何かあったときの対応を一手に担っていく部署として、この10年、成長・進化してきています。

世の中的にもこの10年間で、新聞報道等でも見ない日は無いほど様々なサイバーセキュリティの問題が発生しています。我々は社会インフラを担うメガバンクとして、お客さまの情報を守り、ビジネスをしっかり遂行するために、サイバーセキュリティをトップリスクと位置づけた上で、お金と人を投資して対策を進めている、というのがこの10年の軌跡です。

働くメンバーのバックグラウンドも様々で、サイバーセキュリティや、IT・銀行業務それぞれに専門性を持つメンバーが集まり、各専門知識を持ち寄ってチームを構成しています。

これらを前提として、より詳しい内容もご説明します。この数年間でよりニーズが強まっている取り組みとして、サイバーインテリジェンス・システムというものを構築しています。サイバーセキュリティ対応をプロアクティブに、より早く実施することを目的としたシステムです。

情報収集・マルウェアの自動解析・分析支援などの機能群を、パッケージシステムと独自開発システムを組み合わせて構築しています。また、世界中の10ヵ所以上に、敢えて脆弱なサーバを置くことで、そのサーバにどういった攻撃が仕掛けられるのかというのをリアルタイムに見る「ハニーポット」も設置しています。
また、SNSの監視、フィッシングサイトの立ち上がりを早期に検知しテイクダウンする仕組み、集めた情報を国内や海外の各関係先に配信する仕組みも構築しています。

具体的なプロジェクト事例もご紹介します。

◆マルウェア解析システム
我々は「マルウェアを飼う」と表現しているのですが、メールサーバにあるマルウェアを自動的に取得・解析をしています。専門のメンバーが、日々新しいマルウェアがどういうものかを分析する、弱毒化したマルウェアを作り検証環境で使う、等を実施しています。この取組は、情報処理学会でも発表しており、アカデミックな領域でも貢献しています。

◆情報収集DBツールの導入/脅威情報取得・共有のシステム化
先ほどご紹介したハニーポットに関係するものです。ハニーポットから得られた様々な予兆情報を分析し配布する仕組みを構築しており、我々CIRTやSOCのメンバーが参照する機能も有しています。こうした膨大な情報を手動で行おうとすると、どうしても人手も時間もかかり処理できる情報量に限界があるという問題があります。情報処理・共有を可能な限り自動化して運用しています。
Phantomという自動化ツールも導入しており、様々な収集情報・分析結果を海外拠点などにも自動で配布することで、グループ全体のサイバーセキュリティのレベルを底上げする取組も日々実施しています。〈みずほ〉には主要4拠点の海外ネットワークがありグローバルに跨ってビジネスを展開しているため、常に連携を取りながら業務にあたっています。
本日参加している池田さんは、海外拠点との連携、および海外拠点プロジェクトにおける日本本部側での取りまとめの業務をしていますが、例えば米国拠点では日本よりもさらに進んだセキュリティ機能を持っているので、それを日本に持ち込んで活用したりなどといった事例もあります。

また、在籍メンバーについてもご紹介します。サイバーセキュリティの専門家ばかりで構成されているかと言うと実はそうではなくて、人員の構成はおおまかに3つに分かれます。

1つ目は中途で入社されたIT・サイバーのバックグラウンドがある方。2つ目は我々の戦略的情報子会社であるみずほリサーチ&テクノロジーズの出身者、こちらは銀行のITが専門です。3つ目が銀行出身者で、銀行ビジネスを担当しているメンバーが当部へ来て、サイバーセキュリティの取組みを実施しています。概ね3分の1ずつという比率で、各自の専門性を活かして、相互に補完し合いながらチーム・組織として、いかにアウトプットするかというやり方をしています。

「補完する」というのが大きなポイントで、キャリア入社の人はIT・サイバーが専門のため銀行ビジネスやIT品質管理・プロジェクトの回し方が分からないこともあるので、みんなで補完し合いチームとして対応しているというのが特徴です。周りの知見者のサポートや研修プログラムで専門知識習得をOJTで対応していく、という運営もしています。

この通りカルチャーとしても多様性を重視しており、働き方も様々です。リモートワークの比率は、銀行内の部署でも突出して高いと思います。リモートワークとオフィスワークとのハイブリッドで、無理なく働ける環境になっています。オフィスへの出社を禁止するわけではなく、大手町のオフィスでface to faceで仕事をする環境も整っています。服装も、銀行だとかっちりしているイメージがあるかもしれないですが、ビジネスカジュアルを取り入れておりカジュアルな人もスーツ派の人も両方がいます。

阿部様:
いま福田さんから話したように、こうせねば、という制約はあまりありません。リモートワークとオフィスワーク両方を利用しているハイブリッド勤務者の中には、ほぼ全ての業務がリモートで完結していて庶務事項のため月1回ほどの出社という人もいますし、逆に自宅にリモートワークに適した環境がない、オフィスの方が仕事が捗る、ということで週4〜5日オフィスに出社しているメンバーもいます。

仲間とのコミュニケーションもコミュニケーションツールを使って不自由なく実施が可能ですので、肩肘を張って働くという感じではないかな、と思います。

リモートワークの比率も他の部署と比較しても圧倒的に高く、私が4月に着任してからまだ1~2回しか対面で会ったことのない人もいます。それで困ることもないので、オンラインミーティング等もフルに活用しながらやっているという感じです。

福田様:
こうした多様なメンバーが集まっているというのも我々の特徴です。相応の金額を投資してサイバーインテリジェンス・システムなどの仕組みの構築をしており、多数・多様なメンバーが働いている環境です。加えて、もちろん全部自前でできるというわけではないので、外部協力者であるコンサル会社・ベンダー会社とも協業しながら業務にあたっています。

次の記事(2/2)
入社後のキャリア・やりがい
(キャリア入社者とのグループセッション)

>金融業界、サイバー等専門領域、グローバル監査・システム監査の転職相談はこちら

株式会社みずほフィナンシャルグループに
ご興味がある方へ

今回特集しましたみずほフィナンシャルグループ様の求人をご紹介します。

■社内の情報管理・セキュリティ強化に関するプロジェクト企画・運営担当者
■システムリスク管理
■サイバーセキュリティ企画業務(基幹職)
■サイバーセキュリティ技術・運用業務(基幹職)
■システムリスク管理
■グループ内向けサイバーセキュリティマネジメント
■ホワイトハッカー
■システムリスク管理
■情報管理業務(システムセキュリティ、サイバーセキュリティ)
■IT企画・サイバーセキュリティ

コトラでは業界動向や今後のキャリアについて無料キャリア相談会を開催しております。
最新の採用動向や非公開求人情報などの情報提供をさせていただきます。
また、ざっくばらんな意見交換・ご相談をさせて頂きながら、理想のキャリアを歩むためのアドバイスをさせていただきます。 お気軽にご相談ください。

この記事を書いた人

コトラ(広報チーム)