-後編-【みずほフィナンシャルグループ】〜メガバンクグループが語るサイバーセキュリティの最前線〜

heart - -後編-【みずほフィナンシャルグループ】〜メガバンクグループが語るサイバーセキュリティの最前線〜loading - -後編-【みずほフィナンシャルグループ】〜メガバンクグループが語るサイバーセキュリティの最前線〜お気に入りに追加

※こちらは、2022年10月12日放送のコトラTV(ウェビナー)の内容を記事化したものです。

前の記事(1/2)
みずほフィナンシャルグループ全体・部門のご紹介、プロジェクト事例

ゲストのご経歴

mizuho1 - -後編-【みずほフィナンシャルグループ】〜メガバンクグループが語るサイバーセキュリティの最前線〜


みずほフィナンシャルグループ
IT・システムグループ
情報セキュリティ担当(CISO) 執行理事

阿部 展久

[ 経歴 ]
新卒でみずほ銀行(当時の富士銀行)へ入行
支店の渉外担当者、経営企画部等の本部部署を歴任し、2013年~長野支店長
2015年~新設のFinTech専担組織を担当(後のデジタルイノベーション部長)
2019年4月 監査業務部長、2020年4月 執行役員業務監査部長
2022年4月 現職就任
mizuho2 - -後編-【みずほフィナンシャルグループ】〜メガバンクグループが語るサイバーセキュリティの最前線〜

みずほフィナンシャルグループ
セキュリティ&データマネジメント部
サイバーセキュリティチーム 次長

福田 亮

[ 経歴 ]
大学院卒業後、新卒で外資系コンサルティング会社へ入社。
金融業界のITガバナンスのコンサルティングに従事した後、ベンチャー企業へ転職。
2007年にみずほへ入社し、IT部門の企画・人材育成・システム管理を経験。
2013年から2019年までニューヨークへ赴任し、米国みずほのITシステム部門に所属。
帰国後、DXを取り纏めるチームを経て、2021年より現職。専門は大規模ITのガバナンス、プロジェクト管理、サイバーセキュリティの企画等。
mizuho3 - -後編-【みずほフィナンシャルグループ】〜メガバンクグループが語るサイバーセキュリティの最前線〜

みずほフィナンシャルグループ
セキュリティ&データマネジメント部
リスク管理室 調査役

池田 愛

[ 経歴 ]
新卒で大手損害保険会社のシステム子会社に入社後、監査法人に転職し、
システムコンサルタントとして活躍。
2016年にみずほ銀行へ入行後は、2年弱サイバーセキュリティの担当として従事。
2018年にみずほを退職し、政府系機関の任期付職員へ。
2年4ヶ月の任期を終え、2021年1月よりみずほ銀行へ再入社し、
サイバーセキュリティにおけるグローバル連携を担当。

インタビュアー

kotora 826x1024 - -後編-【みずほフィナンシャルグループ】〜メガバンクグループが語るサイバーセキュリティの最前線〜

株式会社コトラ
ExecutiveConsultant

中川 貴史

[ 経歴 ]
大学院を修了後、大手通信企業に入社。SEとして海外向け金融システムプロジェクト、およびホワイトリスト/PCI-DSS対応など複数のセキュリティプロジェクトに従事。コトラに転職後は、セキュリティ/リスク/ガバナンス領域などを専門として、ハイクラスを対象に転職・採用支援。

[ 担当領域 ]
セキュリティ、リスク、ガバナンス、フォレンジック、コンサルティングファーム、金融機関、ITベンダー

>金融業界、サイバー等専門領域、グローバル監査・システム監査の転職相談はこちら

入社後のキャリア・やりがい(キャリア入社者とのグループセッション)

コトラ 中川:
入社後のキャリア・やりがいに関するトークセッション、および参加者の皆様からのQ&Aコーナーに移らせていただきます。

まず、現職でセキュリティを経験している転職希望者の方々が仰る転職理由で「現職の経営者にセキュリティへのやる気・理解が無く、予算も下りづらい」という内容を一番よくお聞きします。
このあたりの、経営層・組織全体についてのお話を、阿部様からお話いただけますでしょうか。

阿部様:
〈みずほ〉におけるサイバーセキュリティは、トップリスクに挙げていることもあり、当社にとって非常に重要な領域です。その一番の表れは、経営資源の配分かと思います。具体的には、人・予算について、必要な人数・金額をためらうことなくしっかりと確保し、サイバーセキュリティに対する備えを実施していこうという状況にあります。

とはいえ、以前からそうだったわけではありません。実はサイバーセキュリティの部署の歴史は新しく、私自身が十数年前にインターネットバンキングやモバイルバンキングのサービスを開発していた頃はサイバーセキュリティを所管する部署はなく、サービスを担当する一方で同時にセキュリティ業務も対応していました。その頃から比べると隔世の感があります。

逆に言うと、ビジネスやサービスの提供や、デジタルトランスフォーメーションを進める上で、サイバーセキュリティはいわば土台のようなものだという認識が社内にも備わってきています。サイバーセキュリティに対する対策がしっかり出来ているという信頼基盤こそが、苛烈なビジネス競争を勝ち抜く上での必須要件になって来ているということだと思います。

今はむしろ、必要な人とお金を用意してもらえるが故に、いかに有効なサイバーセキュリティ体制を不断に作っていくかということこそが、我々の悩みということになります。

コトラ 中川:
セキュリティの予算を取る場合、情報システム部門の予算からなのか、あるいはデジタル企画部や経営企画部の予算からなのかということが議論になる場面もあるかと思います。お話いただいた点から、そもそもそういったことも含めて各ビジネス部門のリーダー・経営層にサイバーセキュリティへの理解がある組織であるということが分かりました。

コトラ 中川:
現職で中小規模のセキュリティ組織に在籍されている方から「周りに同じ専門性、役割の方がいなくて切磋琢磨できない」「正解のない中で手探りで業務にあたらないといけないためレベルアップが見込めない」といった転職理由もよくお聞きします。このあたりについて、組織の観点からお話いただけますか。

阿部様:
みずほグループでは、社員だけでも100人を超える陣容でサイバーセキュリティに対応していますし、社員で賄いきれない部分については、コンサルファームやSIer等の外部ベンダー会社とコラボレーションし常駐もしてもらっています。このような組織状況の中で必要な専門性を確保するようにしていますので、入社いただいた後、周囲に同じような専門性の方は必ずいると思います。

また、それでも特に新しい領域については組織に知見が無いこともあります。そういった際にはパートナー企業から有識者に常駐してもらい、コラボレーションを通じて専門性を高めることができます。現在金融機関にお勤めの方はご存知かもしれませんが、サイバーセキュリティの領域においては外部とも密に共働して業務にあたっています。
横の連携も活用しながら、会社を越えたコミュニティへの参画を通じてレベルアップすることにも取り組んでいただければと思っています。

コトラ 中川:
より具体的な環境について、福田様から伺いたいと思います。IT・セキュリティの経験があっても、金融業界の経験がない方にとっては、金融業界には敷居が高いイメージがあるようです。
そういう方でも金融機関への転職は大丈夫でしょうか。

福田様:
金融経験が無くても全く問題ありません。キャリア入社のメンバーは、メーカーやベンダーから転職されている方も多く、その方々が銀行のITに関する品質基準などに対して「銀行っぽいですね」と言うことはあります。ただ、その部分はチームの中で得意とする人がいますので、協働しながらやっていくという形です。むしろ金融業界以外の外部知見を積極的に取り込んでいかないと、サイバーセキュリティの領域は強化できないと考えています。ですので、銀行的なやり方に固執することは全くなく、外からのカルチャー・考え方を取り入れていくということがサイバーセキュリティの強化につながると考えています。

コトラ 中川:
他には「ベンダーにいると最初からやることが決まったプロジェクトばかりで、企画経験が積めません。転職先は、コンサルか金融機関の二択で考えています」といった方もいらっしゃいます。
本日の説明会参加者からも「大手銀行でセキュリティのキャリアを積むことの意義やマーケットでの価値について教えてください」という質問が寄せられていますが、〈みずほ〉に入社する意義についてお聞かせください。

福田様:
コンサルティングファーム・金融機関のどちらでも、最新技術領域の経験を積むことはできると思います。ただ違いとしては、銀行ではより中長期的な観点で仕事をすることができるという点で、そこがコンサルとの大きな違いだと思っています。

私も1社目はコンサルティングファームに在籍していましたが、5年・10年の中長期計画を構想して作り、それに対して具体的なロードマップを描き実行するところまで、自分で実施するような経験は、コンサルに身を置いているとなかなかできません。もちろん一部の戦略コンサルではそういったプロジェクトもあるかもしれませんが、構造上、どうしても目の前の短期的な課題を元に、プロジェクトを実施していくことが多いと思います。

中長期的に腰を据えて仕組みを作り上げていく、そうした複雑な世界の中で難易度の高いプロジェクトを企画から遂行まで一気通貫でしていくというのは、金融でサイバーセキュリティを担当する醍醐味の一つかと思います。

柔軟にローテーションができる環境

コトラ 中川:
ここからは、さらに踏み込んだ働き方などについて伺いたいと思います。
池田様にお聞きしますが、実際に〈みずほ〉に中途入社してみて、カルチャーや働き方についてはどう感じましたでしょうか。

池田様:
私はキャリアの中で一貫して金融業界に身を置いていますので、それ以外の業界と比べてどうかというのはあまり分からないです。ただ銀行が特別に堅いとか、カルチャーが変わっているとか、敷居が高い等と思ったことはないですね。

品質管理であるとか、社会のインフラを担っているという意味では、手堅くやるところも当然あります。ただ特にサイバーセキュリティという分野は多様な人材が集まってワイワイガヤガヤ議論しながら新しい問題に立ち向かっていく側面が強く、堅いというよりは柔軟に自分の頭で考えて仕事を進めていくことの方が多いのかなと思います。

サイバーセキュリティは様々な業務領域に関係することもあり、他部署や海外拠点ともやり取りすることが多いのですが、そういう場面でも皆さん話しやすく、仕事はやり易いと感じています。

コトラ 中川:
池田様はもともと損保系の会社に在籍されていましたが、保険など金融業界の他領域と比べて、銀行のカルチャーはいかがでしょうか。

池田様:
そうですね。ITを軸として色々な業界出身の方がいらっしゃるので、いわゆる銀行っぽくないというか、いい意味で混ざっている感じがあるんじゃないかなと思います。

コトラ 中川:
金融は「忙しそう」というイメージを持たれる転職者様もいますが、どうでしょうか。

池田様:
私はリスク管理室に在籍していて、サイバーセキュリティリスクでいうと2線的な業務にあたっています。例えばルールを作って各拠点に適用して運用状況を見るとか、サイバーセキュリティのリスクはどれくらいあるのかを評価するとか、企画を立ち上げて自分で1年間かけて進めて、最後に報告書をまとめるというような、より企画色の強いことをやっている部署になります。
自分でプロジェクトをマネジメントしながら業務を進めることが多いので、忙しい時は忙しくなるのですが、ある程度自分の裁量でコントロールが効くところがあるのかなと思います。

私自身も業務後に大学院に行く時間が取れていましたので、向上心のある方には理解のある職場ですし、「忙しくて勉強する時間も取れない」といったことにはならないと思います。

コトラ 中川:
セキュリティ・リスク領域のご経験者の中には、社内異動でたまたまセキュリティやリスクをやっているという方も多くいらっしゃると思います。
そういった方々から「これまではリスク領域をやっていたが、サイバーで経験を積みたい」「サイバーの経験を活かして、よりリスクに寄った仕事をしていきたい」という希望をいただくことも多いです。
このあたりについて、〈みずほ〉でのサイバーセキュリティ領域とリスク領域の切り分けについて伺えますでしょうか。

池田様:
リスク・ガバナンスのところは私が在籍しているリスク管理室が担っており、ツール導入やインシデント対応などは、サイバーセキュリティチームが担っています。

ただ、両者をスパッと切り分けることは出来ず、日々コミュニケーションを取りながら進めることが多いです。部内で日々接しながら仕事を進めていますので「こっちのほうが面白そうだな」「こういう仕事もやってみたいな」という場合は、柔軟にローテーションができる環境にあると思います。

また、プロジェクトのフェーズによって担当チームが移っていくということも多くあり、2線のリスク管理室が企画したプロジェクトが、実行フェーズになった段階で1線のサイバーセキュリティチームに移動するということもあります。同じ部の中ですし、柔軟だと思います。

コトラ 中川:
ここからは、本日の参加者の方々から挙がっているご質問にもお答えしていきたいと思います。
「キャリア採用におけるオファー年収の考え方について教えてください」という質問が来ております。
サイバーやリスクの領域で年収が高いのは金融だという声も聞きますが、実際にはいかがでしょうか。

阿部様:
今まで、金融機関の人事制度が年功序列の色彩もあったというのはご存知の通りなのですが、現在はそのようなことはありません。基本的に、マーケットバリューに照らしてどうかという基準で決定しており、従ってキャリア入社の方でも、知見やスキルに合わせた処遇設定をさせて頂くようにしています。入社されてからも、勿論積み上がった知見・キャリアに応じた処遇の見直しが部門毎に行われますので、柔軟性は極めて高いとご理解いただければと思います。

コトラ 中川:
他には「絶え間ないスキルアップと自己研鑽に取り組まれている印象を持ちますが、具体的なキャッチアップの方法を教えてください」というご質問も来ております。

福田様:
まず、制度として各種サイバーセキュリティ関係の資格の補助制度がありますし、専門会社が提供している特別な研修に参加頂いて先端技術を学んでもらう等、スキルアップに関わる制度への取組みには非常に力を入れています。それに加えて、勉強会を週に1度開催し、みんなで最新のトピックスや各国の規制・製品・技術など様々な情報を持ち寄って共有しあう場も設けています。

日々アップデートしていくことが大事だと考えており、資格制度なども最新の情報をニュースレターにしてグループ内各社に展開しています。そういうニュースを毎日見ていけば、自ずと知識もアップデートされていきますし、それについて議論する仲間もすぐ横にいるという環境です。

ご転職をお考えの皆様に向けてメッセージ

コトラ 中川:
皆様、ありがとうございました。最後に、ご転職をお考えの皆様に向けてメッセージをいただけますか。

池田様:
〈みずほ〉は大きな会社で、サイバーセキュリティにとても力を入れているので、色々な仕事があります。自分の興味を惹かれる分野・専門領域で、やりたいと思う仕事ができると思います。他の部署や海外とやり取りをしたり、自分が成長したいという意識や好奇心が満たされる職場であると思いますので、ぜひ応募をご検討ください。

福田様:
現在チームメンバーを拡充しており、幅広く仲間を募集しています。どんどんと複雑化する中で、サイバーセキュリティは今後も伸びていく専門領域だと思っています。世の中で必要不可欠なインフラであるサイバー領域で、最先端の経験ができる環境だと思いますので、一緒に〈みずほ〉のインフラを強化していきましょう。ぜひエントリーいただければと思います。

阿部様:
直近、社内の異動でもセキュリティ&データマネジメント部に新しい仲間を迎えています。ただこれは社内異動で金融業の経験を積んだ方々が多く入ってきているということなので、外からの入社メンバーも拡充して色々な知見やスキルを持った方が交わり、新しいものを生み出すという姿を目指したいと思っています。非常に面白い環境に飛び込んでいただけると思いますので、今後お話する機会を持たせていただければと思います。

コトラ 中川:
皆様、ありがとうございました!

前の記事(1/2)
みずほフィナンシャルグループ全体・部門のご紹介、プロジェクト事例

>金融業界、サイバー等専門領域、グローバル監査・システム監査の転職相談はこちら

株式会社みずほフィナンシャルグループに
ご興味がある方へ

今回特集しましたみずほフィナンシャルグループ様の求人をご紹介します。

■社内の情報管理・セキュリティ強化に関するプロジェクト企画・運営担当者
■システムリスク管理
■サイバーセキュリティ企画業務(基幹職)
■サイバーセキュリティ技術・運用業務(基幹職)
■システムリスク管理
■グループ内向けサイバーセキュリティマネジメント
■ホワイトハッカー
■システムリスク管理
■情報管理業務(システムセキュリティ、サイバーセキュリティ)
■IT企画・サイバーセキュリティ

コトラでは業界動向や今後のキャリアについて無料キャリア相談会を開催しております。
最新の採用動向や非公開求人情報などの情報提供をさせていただきます。
また、ざっくばらんな意見交換・ご相談をさせて頂きながら、理想のキャリアを歩むためのアドバイスをさせていただきます。 お気軽にご相談ください。

この記事を書いた人

コトラ(広報チーム)