-1-150x150.png){kind=avatar}
コトラ(広報チーム) 
お気に入りに追加
ご経歴の概要
コトラ 中川:
まず初めに、これまでのご経歴を教えていただけますでしょうか。
喜多村様:
SOMPOホールディングスには2021年に入社しました。
入社以前は外資系の保険会社など数社に在籍し、色々な職種を経験してきています。
元々はIT開発系のバックグラウンドですが、そこからPMなど上流の担当業務を経て、SOMPOホールディングスに来る直前はオペレーショナルリスク管理を担当していました。ですので、直近の業務としては、IT個別の業務というよりもそれより広い領域を見ていました。
コトラ 中川:
ありがとうございます。次は佐々木様、よろしくお願いいたします。
佐々木様:
新卒で建材メーカーに入社した後、ITベンチャー企業を経て、外資系のコンサルティング企業に転職しました。
9年ほどシステムリスクやシステム監査などの業務を経験しており、ここが私のキャリアの下地になっています。コンサル・監査法人両面の経験を積んだ形です。
その後は証券系のシステム会社に転職し、その中で一時的にメガバンクへの出向なども経験しました。
結果として長年システムリスクに携わる形になり、現在では20年近くになります。SOMPOホールディングスには2022年に入社しています。
コトラ 中川:
コンサル・監査法人のご経験も長いのですね。
2線〜3線まで、広くご経験を積まれているのだと理解ができました。
奥谷様はいかがでしょうか。
奥谷様:
SOMPOホールディングスに入社したのは2022年になります。
キャリアとしては、新卒でITベンダーに入社してSEとして勤務した後、コンサルティング業界を経て、金融機関に移っています。
銀行、外資系生命保険、そして現在のSOMPOと、キャリアの中でも金融機関に在籍している期間が一番長いです。
金融機関では主に、本部にてシステム企画や業務企画、事務リスク・コンプライアンス関連など、会社全体・部門を横断に関わる業務に従事していました。
その中でも特に、システムと危機管理に特化した領域を担当していました。
いわゆるBCM・BCPといった領域ですね。前職の外資系生命保険会社では危機管理を統括する部署に在籍し、BCMの企画推進や有事発生時の対応、いわゆる危機対策本部の事務局として運営・推進・管理を担当していました。
入社の決め手、SOMPOホールディングスの特色
コトラ 中川:
入社されたきっかけや、他社様と比較して良いと感じられた点はありますか。
喜多村様:
現職に入社したのは、サイバーセキュリティを特に強化していくというSOMPOホールディングスの方向性に魅力を感じたことと、当時在籍していた外資系企業の日本法人では、どうしてもヘッドクォーター側(本国側)の指示に従うことしかできないという制約を感じていたことが大きかったです。
裁量を持って意思決定できる立ち位置で仕事をしたいと思い、だからこそ持株会社であるSOMPOホールディングスに魅力を感じました。
IT・サイバーセキュリティ領域の中でも特にリスクマネジメントの観点で力を発揮できる可能性があるというのもポイントでした。
コトラ 中川:
外資企業でグローバルに仕事をすると言えど、結局のところ意思決定は本国が行うため、日本拠点では導入・実行フェーズしか経験できないという話はよく聞きます。ご入社の背景がよく分かりました。
佐々木様はいかがでしょうか?
佐々木様:
SOMPOホールディングスに転職する直前は、メガバンクの中でもフィナンシャルグループ(持株会社側)の立場で、セキュリティ統括部でグループ会社のシステムリスク評価等を中心に仕事をしていました。
子会社からの出向という立場でしたが、子会社の立場よりもっと高い目線でグループ全体を見るような仕事をしたいと思い、転職を考えるようになりました。
ちょうどそのタイミングでSOMPOホールディングスで募集があり、転職しました。
コンサルティング業界の知り合いからのお誘いもありましたが、コンサルは過去に経験があったためSOMPOホールディングスに絞って話を進めました。
入社の決め手としては、当初から一貫して希望していたホールディングス側で仕事ができるというところと、ジョブ型の働き方ができることです。
自分のやりたい領域を、自分が望めば継続してできるという環境に魅力に感じて、入社を決めました。
コトラ 中川:
佐々木様から見て、銀行とのカルチャーの違いは感じますか?
佐々木様:
やはり、銀行はよく言われてる通り、堅いところがあると感じます。
先進的な取り組み・ソリューションがすでに導入されている環境ですので、決まったことを単にこなしていくという要素が多かったと思います。
一方SOMPOホールディングスに移った現在では、サイバーメトリクス企画・導入(グループ会社のサイバーセキュリティ対策状況の定量評価)のプロジェクトを担当しており、先進的で興味深い仕事ができています。
私はコンサル在籍時を含め様々な企業を見てきましたが、サイバーセキュリティの定量評価まで行っている企業はほとんどありませんでした。
そのスキームを自ら作り上げていける点に、非常にやりがいを感じています。
コトラ 中川:
サプライチェーンセキュリティというキーワードが流行っているかと思いますが、サイバーメトリクスに関して、自社独自でスキームまで作るという話は私も聞いたことがありません。
佐々木様:
そうですね。私が入社する時の面接官は実は喜多村さんだったのですが、そのような取り組みをしているということを面接で初めて聞きました。
私は定性評価までしか実施した経験が無かったので、非常に興味深く感じ、ぜひやりたいと思いました。
コトラ 中川:
ありがとうございます。奥谷様はいかがでしょうか。
奥谷様:
入社の決め手は、二つあります。
一つ目は、グループ全体のビジネス領域の広さです。SOMPOグループは損害保険、生命保険、資産運用等の金融を始め、介護シニア、デジタル事業などの業界多岐に跨ったビジネスを展開しており、日本を始めとした世界の重要なインフラを支える企業体であり、社会の裏方として広く活躍できると思った点です。
二つ目は、SOMPOのパーパスにあります。「安心・安全・健康のテーマパーク」というメッセージに共感したことも大きいです。
自分の培ってきた知識や経験を活かして、会社と一体となってよりよい社会の実現に向かって仕事ができることも魅力でした。
社会インフラに欠かせないITを活用し、ホールディングス側のIT部門としてSOMPOという大きなグループ企業全体を支えていきたいという想いがありました。
私の所属するリスク&ガバナンスユニット(以降、「RGU」)は、IT企画部の中でも全体に横串を刺すような立ち回りを求められる部署ですので、今までの経験を活かすことができ、未知の境遇にもチャレンジを通して、自己の成長に繋がげたいと思っています。まさにやりたいと思ったことができると思いました。
コトラ 中川:
ビジネス領域の広さ、というのがポイントだったのですね。前職と比較するといかがでしょうか?
奥谷様:
入社してみて、様々な業種・業態の企業がグループ内に存在することにあらためて驚きました。
それぞれの会社で活用・導入しているIT(システム)の意味やIT部門の役割・体制も当然ながら異なります。
実際にSOMPOホールディングスに入社してみると、コミュニケーション等を図る上でなかなか一筋縄ではいかないと感じる点もあります。
私は銀行に在籍していたことがありますが、銀行業界では証券や金融事務などを担当する子会社・関連会社がグループ内にある印象でした。
一方で、SOMPOグループには保険、介護・シニアビジネスや証券、デジタル事業など、本当に幅広い事業体が存在し、中には私が経験のない業界も含まれています。
苦労もありますが、やりがいも大きいと感じています。
RGUの業務内容
コトラ 中川:
RGUの業務内容について、ご紹介をお願いいたします。
喜多村様:
RGUは、基本的にはITにかかるガバナンスとリスクマネジメント全体を司っています。
今日のインタビューに参加している佐々木さんと奥谷さんはリスクマネジメントを担当するチームに所属しています。
その中でも現在注力しているのは、サイバーセキュリティの可視化と評価のところです。
先ほど佐々木さんからも説明がありましたが、サイバーメトリクスと呼ばれる、我々独自の定量評価プログラムを用意しており、日々改善しながらモニタリングにあたっています。
これは、各グループ会社からデータを収集し一定のロジックでスコアリングの上、各社にフィードバックを行うことで、その会社のセキュリティ対策状況の把握と改善を推進する取り組みです。
可視化にあたっては、当然ながら最低限の基準も用意しておく必要があるため、そこは「セキュリティベースライン」という形で各社に提示しています。
次に、IT危機管理も我々の担当領域です。
昨今、レジリエンスという言葉が非常に注目されていますが、これはサイバーやITについても同様です。
例えばランサムウェア攻撃を受けた際に、各社でどのような対応が可能となっているのか、グループ全体の態勢整備の観点で見ています。
ITガバナンスについては、グループ各社のIT組織の成熟度を測るアセスメントプログラムを実行しています。
ITガバナンスの国際的フレームワークであるCOBITに準拠したアセスメントを定期的に実施し、各社IT組織の成熟度をグループ全体で高めていくようにしています。
海外については、距離の制約もあり組織の姿を直接リアルで見ることは難しいですが、定期的に提出されるグループ会社からのITガバナンスレポートを通して、各社のプロジェクト進捗状況やリソース、リスクへの対応などをモニタリングしています
(3ラインディフェンスモデルにおける)セカンドラインの立ち位置で、グループ各社におけるIT業務の遂行が適切に行われているか、システムリスクのコントロールが適切に行われているか、モニタリングするような業務になります。イメージとしては、1.5線的な形です。
コトラ 中川:
IT企画部という組織において、2線機能として仕事をするメリットについても教えていただけますでしょうか。
喜多村様:
なかなか表現が難しいですね・・(笑)。
というのも、我々はホールディングスですので、事業会社における3線管理とはまた違った文脈が存在します。
持株会社のIT部門は、そもそも2線的な性格を有します。
ホールディングス側としてガバナンスを効かせるので、当然こうなります。
一方で、我々SOMPOホールディングスのIT企画部が、1線/2線/3線のどこに位置するかという質問をされた場合、定義上では1線に位置付けられます。
もちろん他の企業のリスク管理部門(2線)の中にもITセキュリティを担当する人はいますが、実際にどこまで突っ込んだところまで見れているかというと、実質的なIT・セキュリティの中身にまで踏み込んで管理することは難しいというのが現実かと思います。
ITに関わるリスクをグリップする機能は、やはりIT部門の中に存在するべきだと考えています。
ですので、リスクオーナーとして主体的にリスクマネジメントをしているという言い方が適切かもしれません。
完全に1線に行ってしまうと、リスク管理の視点が弱まってしまう可能性があります。
一方で、2線側に重点を置きすぎてしまうと、実効的なセキュリティ対策を進めるにあたって、現場との繋がりが希薄になる可能性があります。
それらのバランスを取るために、我々は1.5線(重層的な構造としてのセカンドライン)という立ち位置を取ることによって、客観的な目線と実効的なリスク対応を両立するようにしています。
実効的なリスク管理のためには、グループ会社の立場に立ち、なぜリスク受容をする必要があるのか/なぜ特定の対策を優先しているのか、という実際の現場の目線に立つことも重要です。
そういったバランスを保つことができる点が、IT企画部の中でセカンドライン、すなわち1.5線の立ち位置を維持するメリットであると考えています。
コトラ 中川:
興味深いお話です。この組織デザインは、喜多村様がご入社された当初からの方針だったのでしょうか。
喜多村様:
私の入社以前からこういう組織のデザインにするべきという考え方が明確だったかというと、必ずしもそうではないと思います。ただ我々当事者としては、特殊なことをしているとは感じていません。
これに関しては、「リスクマネジメントは誰がやるべきことか」という話に尽きます。
「リスク管理」というと、セカンドラインであるリスク管理部門が担当する仕事だと思われがちですが、本質的には、ビジネスを推進するファーストラインの部署が、それぞれ抱えるリスクを主体的に管理するのが本来あるべき姿です。
それを追求するためには、やはりファーストラインの中にセカンドラインの機能を併せ持つことが必要で、その中でも専門性が求められるサイバーセキュリティやITセキュリティについては、特に親和性が高かったということです。私にとっては、非常に自然なことをやっているだけだと思っています。
RGUのメンバーとして求められる資質
コトラ 中川:
RGUのメンバーに必要な資質をお聞かせください。
喜多村様:
サイバーセキュリティの高度人材として採用しているため、最低条件としてある程度の専門知識は必要だと思っています。
これは、もちろん採用するポジションによって異なりますが、ベースとなる知識は必要になります。
一方で、我々は持株会社として子会社と相対していく部分が肝であるため、コミュニケーション能力に加え、ある種の思考力のような部分も重視しています。
理想論ではなく、現実に当てはめた際に重要な要素を見極めることができる人、すなわち自分の頭でセキュリティの概念を捉えられる人が必要だと考えています。
RGUにはコンサルティングファームの経験者も多いですが、そういう背景もあるかもしれないですね。
コトラ 中川:
なるほど。
先程のサイバーメトリクスのような先進事例について伺った際にも感じましたが、御社のようにグループ全体に様々な事業の広がりを持つ会社は、意思決定の際に何を基準にするのかが非常に難しい印象があります。
普段の業務を進める上で、気をつけていることなどがあれば教えてください。
佐々木様:
おっしゃる通り、基準や指標の選定は非常に難しいところです。
頭をひねって考えて、日々悩みながら業務にあたっています。時には外部コンサルの知見や、喜多村さんから助言をもらいながら進めています。
SOMPOグループには損保ジャパンといった大きな会社から、小さな機能会社まで存在し、それらを横串で見る基準を設ける必要があります。
あまりに高すぎる目線では小さな会社は追いついてこれませんので、バランスを取りながら基準を作ることは苦労します。ただ、その分やりがいを感じることも多いですね。
喜多村様:
特にサイバーメトリクスに関して言っても、定量評価が必ずしも正解であるとは限らないとは思っていて、基本的には我々はそこに常に問題意識をもっています。
一般的な定性面のアセスメントを進める中で「本当にこのアセスメント結果が我々のグループのリアルな姿を映し出しているのか」という課題を感じ、その結果として定量的なアプローチに落ち着いたに過ぎません。
仮に、極めて正直でレベルの高いセキュリティ担当者が集まっている会社があり、そこに何のバイアスも働かないようであれば、定性評価でも十分なのかもしれません。
しかし現実を見ると、一般に定性評価は「やりました」というアピールにはなりますが、本当にこれで自分たちを守ることができるのかという点からは使いにくい面もあると感じます。
その答えの一つが、定量だったということですね。組織の中にどのような課題意識があり、それに対して真剣に取り組む意志があるのかというところが、一つのポイントなのかと思います。
現在の業務内容について
コトラ 中川:
現在の業務について、お伺いできますでしょうか。
佐々木様:
これまで何度か話にも出ていますが、私が今担当している業務は大きく2つあります。
まず1つ目はサイバーメトリクス、2つ目が第三者アドバイザリーという施策になります。
1つ目のサイバーメトリクスは、自分たちで定量評価のスキームを作り、SOMPOグループ統一の基準でグループ会社のサイバーセキュリティ対応状況を評価し、それを可視化していく取り組みになります。
2つ目の第三者アドバイザリーは、サイバーメトリクスの評価で終わりにするのではなく、評価の結果スコアリングの低かった会社や課題・悩みを抱える会社を、第三者(外部コンサル)の知見も借りながらサポートをしていく取り組みになります。
コトラ 中川:
佐々木様は監査法人系コンサルにも在籍されていて、2線・3線両方のご経験をお持ちだと思います。
これまでの経験と比べて、今のお仕事への印象などを教えてください。
佐々木様:
まずはアドバイザリーの観点で各会社の支援にあたっています。
グループ全体を、どうレベルアップさせていくかという部分ですね。
一方で、アシュアランスの観点としては、サイバーメトリクスの各社回答結果が妥当かどうかを今後深掘りをしていこうとしています。
それぞれでアプローチの仕方は違えど、アドバイザリー/アシュアランス両方の視点が必要であり、今までの業務経験が広く活かせていると思います。
コトラ 中川:
ありがとうございます。グループ会社の支援の際には、具体的にはどういう関与の仕方になるのでしょうか。
佐々木様:
第三者アドバイザリーの中では、グループ会社が抱える課題・悩みに対してどうアプローチしていくべきか、外部コンサルの支援を受けつつ、会社の規模や環境、リソースなどを考慮しながら「この会社はこのレベルまでの対応が妥当ではないか」など、現実的なアウトプットとなるようバランスを取りながら対応しています。
コトラ 中川:
どのようなところが仕事の醍醐味になるのでしょうか。
佐々木様:
仕事に限らずプライベートでもそうですが、他人が悩んでいることに対して自身の知識や経験を活かして何かしらの課題解決に繋げ、自他ともにハッピーになるところに喜びや楽しみを感じています。
グループ各社が抱えている課題・悩みをどう解決していくか、アシュアランスよりはアドバイザリーの方に楽しみややりがいを感じて業務にあたっています。
コトラ 中川:
ありがとうございました。奥谷様が担当している業務はどういったものでしょうか。
奥谷様:
リスク&ガバナンスユニットの中のリスクマネジメントチームで、内部統制や危機管理系の業務を主に担当しています。
コトラ 中川:
入社までの経験業務との関連についても教えてください。
奥谷様:
危機管理の業務については、まさに前職でやっていた領域と同じです。
内部統制も、金融機関での勤務時代にやっていたところなので、自分のカバー範囲ですね。
コトラ 中川:
前職と比較して、ビジネス全体の広さや、気にかける点の多さなどに違いはあるのでしょうか。
奥谷様:
前職(外資生保)や銀行勤務の時は、企画したものを実際にオペレーションまで落とし込んで実際にそれが業務部門等でうまく機能しているか確認・支援するという業務が主でしたが、SOMPOでの仕事はもう一つレイヤーが高いです。
ホールディングスの立場で仕事をする上で、業界多岐に渡る各グループ会社の業種の知識があることが望ましいのですが、現実的には難しい部分もあります。
ホールディングスとしては、グループ全体の強化や効率化と言った「グループ」を常に意識する必要があり、各種取組を企画・推進することで結果的に各グループ会社の強化・成長等に貢献・寄与する事が必要と考えています。
コンサルで言うところの、いわゆる超上流から上流工程のエリアが、ホールディングスの業務範囲であると意識しながら業務にあたっています。
実は、銀行勤務時代にフィナンシャルグループ(FG側)を兼務していたことがありました。
その時と比べると、より上流を意識して業務をしていると感じます。また、フィナンシャルグループ兼務時に外部金融機関買収後新会社が設立され、その後のAML再構築の領域のPMIを担当したのですが、新しい仕組みを導入するにあたり、構築後のオペレーションを意識しながら新会社への導入システム選定など検討支援をしていました。
そのプロジェクトでは担当として幅広くかつ細部までを見ていましたが、それと比較すると、SOMPOホールディングスでの仕事はやはり戦略コンサルティングのような上流に近い思考が求められていると感じています。
コトラ中川:
よく理解ができました。皆様ありがとうございました。
求人のご紹介
SOMPOホールディングス株式会社
にご興味がある方へ
今回特集しましたSOMPOホールディングス株式会社様
<IT企画部 リスク&ガバナンスユニット(RGU)>の求人をご紹介します。
<リスクマネジメント担当>
プロアクティブなITリスク管理業務を通じ、リスクマネジメント観点からグループ各社をサポートし、グループ全体のサイバーセキュリティ管理態勢の成熟度向上とリスク管理の高度化を推進する。.
コトラでは業界動向や今後のキャリアについて無料キャリア相談会を開催しております。
最新の採用動向や非公開求人情報などの情報提供をさせていただきます。
また、ざっくばらんな意見交換・ご相談をさせて頂きながら、理想のキャリアを歩むためのアドバイスをさせていただきます。 お気軽にご相談ください。
登壇者紹介
ゲスト
SOMPOホールディングス株式会社
IT企画部
リスク&ガバナンスユニット 課長
喜多村 直己 様
複数の日系/欧州系/米系金融機関にて、ITシステム開発/業務企画/プロジェクトマネジメント/オペレーショナルリスク管理を経験。2021年にSOMPOホールディングスに入社し、サイバーセキュリティを中心としたITリスク管理とガバナンスを担当。
SOMPOホールディングス株式会社
IT企画部
リスク&ガバナンスユニット
奥谷 敏郎 様
大手日系/米系金融機関、ITベンダー、外資系コンサルなどで、システム・業務の企画推進/危機管理/コンプライアンス(AML)等を経験。2022年にSOMPOホールディングスに入社し、危機管理(ITサイバー)ならびに内部統制系を中心とした業務に従事。
SOMPOホールディングス株式会社
IT企画部
リスク&ガバナンスユニット
佐々木 篤 様
ITベンチャー、監査法人系コンサル、日系大手金融機関にて、システム開発・運用/システム監査/システムリスク管理等を経験。2022年にSOMPOホールディングスに入社し、グループ会社のサイバーセキュリティ管理水準の定量評価やアドバイザリ業務にプロダクトオーナーとして従事。
インタビュアー
株式会社コトラ
エグゼクティブコンサルタント
中川 貴史
金沢大学大学院を卒業後、大手通信企業に入社。SEとして海外向け金融システムプロジェクト、およびホワイトリスト/PCI-DSS対応など複数のセキュリティプロジェクトに従事。コトラに転職後は、セキュリティ/インフラエンジニア/デジタルフォレンジック領域を専門として、ハイクラスを対象に転職・採用支援。
[ 担当業界 ]
セキュリティ/リスク/監査、金融機関、コンサルティングファーム、IT