キャリアインタビュー Vol.4【サイバーセキュリティ】三宅慎也 氏

日本を代表する航空会社である全日本空輸株式会社（ANA）。同グループ全体のセキュリティ施策を統括する三宅慎也さんは、システム開発の経験が長く、40歳を過ぎてからセキュリティの世界へ転身したといいます。キャリアシフトまでの道のりや転機における学びの内容、人脈の重要性などを語ってくださいました。

IPAの「中核人材育成プログラム」に参加したことが転機に

Q これまでの業務内容を教えてください。

19年間にわたって運航乗務員管理や顧客情報管理、実績データ管理といったシステムの開発・運用・保守に従事しました。キャリアとしては入社当初のプログラマーからスタートし、経験を重ねるにつれ、システムの要件や設計を手掛けるシステムエンジニアへステップアップ。さらに開発全体を束ねるプロジェクトマネージャーへの道も開けつつあったのですが、確固たる武器を持ち進んでいきたいという想いが芽生えIPAの中核人材育成プログラムに参加しました。

顧客の情報を扱う立場上、情報処理安全確保支援士の資格を取得していましたし、社内でセキュリティを統括する体制がまだ十分ではないという印象もありました。そこで自分が目指すべきはセキュリティのスペシャリストではないか——、そう考えたのです。

Q 思い立ってから、どのように転身されたのですか。

IPAが主催する「中核人材育成プログラム」について、社内での公募がありました。組織のセキュリティ戦略を牽引するリーダーとなるべく、1年間仕事を離れてOT（制御技術）とIT（情報技術）を学ぶというもので、絶好のチャンスだと手を挙げて参加することになりました。2019年7月、42歳のことです。ここでの学びがセキュリティへの道を決定づけたといえます。

会社の枠を超えてセキュリティ業界の仲間がたくさんできた！

Q 中核人材育成プログラムの授業の様子や学習内容を教えてください。

私が参加した第3期の受講生は20～50代の69名で、鉄道や電力、ガス、水道といったインフラ業や製造業などから集まったメンバーでした。最初の2ヶ月は、朝から夕方まで大学のように講義があり、3ヶ月を過ぎるころからは模擬演習もみっちり。このプログラムに参加して得た様々な経験は本当に価値のあるものでした。

そのひとつが、OTを学べたことです。さまざまな業界のOTを学んで視野が広がりましたし、それまでは製造メーカーに一任していた航空機のOTセキュリティについても少しずつ関与するようになりました。模擬演習では、一般の企業研修ではできない経験ができました。例えば、講師の先生が仕掛けるサイバー攻撃に対処したり、会社でインシデント（セキュリティ上の事故・事象）が発生したという設定で経営層役の人に説明したりといった具合です。グループに分かれて攻撃を解析し、15分でまとめて発表するなどの演習を繰り返したことで、素早く状況を判断して対策を練り、それを簡潔に報告する能力が鍛えられました。

Q セキュリティ担当者にはコミュニケーション力も問われるのですね。

その通りです。私は大人数の講習や説明会などではあまり発言しないタイプでしたが、プログラムに参加してからは積極的な人間に生まれ変わりました（笑）。セキュリティ担当者にはインシデント発生時のみならず、普段の社内の啓発活動でもコミュニケーション力が求められます。そういう意味では、中核人材育成プログラムに参加したことで自分自身にとって必要な変化がもたらされたと感じています。

Q プログラムに参加したことで、他に得たものは。

会社の枠を超えてセキュリティ業界の仲間がたくさんできたことです。自社や業界を守ろうという目標のもと集まった同志であり、また仕事上の利害関係もないことから、率直に情報共有や相談ができます。そういう貴重な人脈を形成できたのは本当にありがたいことです。
また、中核人材育成プログラムには「叶会（かなえかい）」という修了生のコミュニティもあります。2020年6月にプログラムを終えて帰任した今も、同期生はもちろん、前後の受講生も含めてみなさんと定期的に交流しています。

「何も起きないこと」「いつも通りであること」が一番の成果

Q 現在の仕事内容を教えてください。

現在は、全日本空輸株式会社のデジタル変革室とANAホールディングス株式会社のグループ総務部リスクマネジメントチーム、グループIT部を兼務しております。グループ全体のセキュリティ施策を考え、ANAシステムズをはじめとする関係各所と連携しながら、施策の実施に向けて統括・管理していくのが私の任務です。

例えば、ANAグループのサイバーセキュリティ対策の中期計画の策定を行っています。2023～2025年度は「全員参加型セキュリティ」と銘打ち、グループ社員全員のセキュリティ意識の向上を目指しています。セキュリティは一部の部門だけが努力しても十分ということはなく、守りのゆるいところがあれば、そこから攻撃者が侵入しグループ全体に被害を及ぼすこともあり得ます。そのため、全体のリテラシー向上によるセキュリティの底上げにも力点を置いているわけです。

Q 具体的にはどのような取り組みを？

基本的にはNIST（米国国立標準研究所）のCSF（サイバーセキュリティフレームワーク）に則り、特定、防御、検知、対応、復旧の観点でガイドラインの継続的な改善やIT資産の可視化・保護といった対策に加え、インシデント発生に備えた役員も含めた訓練、さらにeラーニングやカードゲームで楽しくセキュリティを学ぶなどの社員教育を行っています。

セキュリティ担当者は一般に「口うるさい」「厳格」などと敬遠されがちですが、それでは社内に安全意識が浸透しないばかりか、インシデントの兆候やミスによる情報漏えいなど重要な情報をつかみにくくなってしまいます。そのため、私たちは「愛されるセキュリティ担当」をモットーに、できるだけ楽しくセキュリティに親しんでもらうと同時に、どんな相談も断らないように心がけています。

セキュリティを大切にする意識を浸透させることで、新事業開発で設計段階からセキュリティを組み込む「セキュリティ・バイ・デザイン」の実現にもつながります。総じていえば、家族を守るように会社を守る——、その当事者であるという意識を社員全員に持ってもらうことが肝心だと考えています。

Q セキュリティが底上げされているという手ごたえは。

サイバー攻撃が巧妙化・複雑化する中で、グループ内で大きなインシデントが起きていないことを考えると、これこそグループのセキュリティが底上げされている何よりの証しではないでしょうか。「何も起きないこと」「いつも通りであること」が、われわれに求められる一番の成果ということです。

会社だけでなく日本も守る、その最後の砦としての使命感

Q 他の人材類型との連携については。

デジタル変革室には約130名が在籍し、サイバーセキュリティの担当者は私を入れて4名です。他のデジタル変革室のメンバーも各スキルセットがされており、テクノロジーデザイン、UI/UXデザイン、プロジェクトマネジメント、データ、ストラテジー＆ガバナンス、ITアーキテクチャなどの役割を担う面々と連携しているのは事実です。セキュリティ・バイ・デザインを進めるうえでも、他の領域のメンバーとの協働は欠かせません。

Q 仕事のやりがいはどんなところにありますか。

会社を守る、その最後の砦としての使命感でしょうか。突き詰めれば、セキュリティ担当者は自社のみならず、業界全体、ひいては日本という国を守る立場でもあると思います。
ANAグループの2026年度以降のセキュリティ目標は、日本の重要インフラ企業をセキュリティ面からリードする「サイバーセキュリティ リーディングカンパニーへ」。あえて高い目標を掲げ、日本の重要インフラをリードしていこう、日本を守ろうという気概で取り組んでいきたい。気の抜けない毎日ですが、それだけやりがいもあり、ワクワクするということです。

Q セキュリティのスペシャリストを目指すにあたり、中核人材育成プログラムを利用する以外にどのような手立てがあるでしょうか。

情報処理技術者試験の試験区分のひとつである情報セキュリティマネジメント試験や、情報処理安全確保支援士の資格は有効でしょう。ただ、それらはあくまでベースとなる知識やスキルを習得するためのもの。実践的な力を養うには、業務を通じて経験を積むことが大切だと思います。

想像より入りやすい分野。大切なのは最先端を追うこと

Q キャリアの選択肢として、セキュリティにはどんな魅力があるとお考えですか。

どんな人でも参入しやすく、また活躍の余地がある点が魅力だと私は考えます。例えば、システム開発では安定稼働が求められるので、ある程度確立された技術が採用されることが多いと思います。よってこれまでの知識や経験が重要視されます。

一方、セキュリティ分野では、攻撃者は最先端の技術を駆使して、手口も日々進化させているので、防御する側も常に最先端を追わなければなりません。しんどいけれども、そこさえしっかり押さえておけば、どんな年齢の方でも、また中途からの転身でも活躍できます。だから私自身、40歳を過ぎてからの移行が可能だった理由はそこにあると今も確信しております。

後輩にも、「セキュリティを難しくとらえず、新しいことを追いかけて、自分の得意領域を作って頑張れば必ず活躍できるよ」と伝えています。基本のIT知識は必要ですが、想像しているより入りやすい分野なのではないでしょうか。

Q セキュリティのスペシャリストを目指す方へメッセージをお願いします。

社外のセキュリティ担当者と定期的に交流して共感・共鳴の場をつくることで、仕事のモチベーションを保つだけでなく、最新の情報を共有し合うことにもつながります。言ってみれば、人脈があることで「集団防御」が実現できるということです。有効な対策を見聞きしたら、自社でも採用するなど、みんなで足並みを揃えて防御力を高めていくことが重要だと考えています。

そのためにも、セキュリティ人材の拡大が望まれます。これはANAというひとつの会社に限らず、社会的な要請でもあるでしょう。IT機器が身の回りに増えるということは、その安全を支えるセキュリティもそれだけ必要ということ。実社会では盗難や暴行の被害に遭えば警察が出動しますが、サイバー空間では警察もいなければ国境もない、悪意ある攻撃者とユーザーが隣り合わせという状況です。そうした状況がある限り、私たちのようなセキュリティのスペシャリストは求められ続けるのではないでしょうか。

マナビDXで「サイバーセキュリティ」の講座を探す

• デジタルスキル習得に関する講座を紹介するポータルサイト「マナビDX」では、DX推進スキル標準の人材類型やロール（役割）ごとに講座を検索することができます
• マナビDX デジタル実践講座 「サイバーセキュリティ」検索結果

中核人材育成プログラム 事業内容

• 三宅さんが応募された中核人材育成プログラムは、セキュリティの観点から企業などの経営層と現場担当者を繋ぐ人材（中核人材）を対象とし、社会インフラ・産業基盤のサイバーセキュリティ対策の強化をテーマに、テクノロジー（OT・IT）、マネジメント、ビジネス分野を総合的に学ぶ1年程度（7月～翌年6月）のトレーニングで、初歩的なレベル合わせの期間を経た後、実践的で高度な実習プログラムを行います。
• 中核人材育成プログラム 事業内容

取材時情報

1. 掲載内容は2024年8月取材時のものです。