カブドットコム証券株式会社 インタビュー

カブドットコム証券株式会社
常務執行役（CIO） 阿部 吉伸 様（左）
システムリスク管理室 伊藤 公樹 様（中）
システムリスク管理室 中村 健太 様（右）

情報処理安全確保支援士制度は、高度なリスクマネジメント実現の重要ポイントである、"業務執行部門とリスク管理部門の独立したディフェンスライン体制"を支えるツールの1つです。

カブドットコム証券では「リスク管理追求型の次世代オンライン証券システムを創る」をコンセプトに、セキュリティを最重要視して業務を遂行しています。そのため、業務執行部門とリスク管理部門が独立したディフェンスライン体制をとり、業務遂行の中で、常にお客様の資産を脅かすリスクを可視化し、管理しています。我々はITを前提とした金融ビジネスを展開しているため、情報セキュリティに関するリスクは最大のリスクと考え、経営陣も一体となってサイバーセキュリティ対策に取り組んでいます。

そのような体制下で働く人材に求められることは、新たな脆弱性情報の発生や新たなテクノロジーの導入などの変化があった時に「当社のビジネスのどこに影響するのか？」と、ビジネスと技術の両方の知識をもって影響を測る力です。そのために、普段から経営層との会話の機会をもち、経営層の視点に触れておくことや、各部門間で役割分担を明確にしながら信頼できる関係を構築しておくことが重要と考えています。

そこで、情報セキュリティにおける社員の共通言語や、共通の認識・理解・レベルを作るために、情報処理技術者試験・情報処理安全確保支援士（登録セキスペ）制度を活用しています。具体的には、全ての情報システム部門、リスク管理部門には登録セキスペを配置し、CSIRTメンバーは登録セキスペであることを基準として選定しています。その結果、金融関連企業の中ではトップレベルの登録セキスペの登録人数となっており、これは経営陣も一体となってサイバーセキュリティ対策に取り組んでいることを示すデータの1つです。

これからは、更に高度なサイバーセキュリティ対策を実現するために、見えないリスクも可視化して管理していく活動が求められています。それには、経営目標の達成とのギャップを分析し「いつまでに何をする」を約束させる経営的な視点やスキルが必要と考えています。当社の登録セキスペにはこういった視点・スキルを身につけさせていきたいです。

社員の登録セキスペの登録に積極的なユーザ企業はまだ少ないようですが、それはビジネス遂行におけるITの位置づけが、まだ「文房具」という意識にとどまっているからではないでしょうか。当社ではITはビジネス遂行に欠かせないものであり、サイバー攻撃が大きなビジネスリスクと認識し情報処理安全確保支援士を登録しています。ユーザ企業においてもビジネスに対する危機意識が高まれば、ITガバナンスに真剣に取り組まざるを得なくなるため、情報処理安全確保支援士のような人材はますます必要となってくると思います。