IT企画部の組織構成・業務内容
コトラ 中川:
まず初めに、SOMPOホールディングス IT企画部の組織の全体観や業務内容などについてお聞かせください。
喜多村様:
我々SOMPOホールディングスは、持株会社としてグループ各社の経営管理をしています。
実際にシステム開発を行うのは各事業会社ですので、我々はITの中でも主にガバナンス側を担当する形です。
現在(2023年12月)、SOMPOホールディングス全体で約500名の組織となっており、そのうちIT企画部は50名強の組織規模です。SOMPOホールディングスの中では比較的大きな組織ですね。
IT企画部の立ち位置としては、グループを俯瞰しながら全体の最適化を図る役回りです。
中でも現在特にフォーカスしている領域は2つあり、「クラウド」と「サイバーセキュリティ」です。
この2つの領域に関しては、ホールディングスにCoEを置くようなイメージで対応しています。
もちろん、各グループ会社内にもクラウドに関わる人材やサイバーセキュリティに取り組むチームは存在していますが、我々SOMPOホールディングスは国内外のグループ会社と連携をしながら、より高度な専門知識やリソースなどを活用しつつ、各社単独では実現が難しい部分も集約・管理しています。
SOMPOホールディングス IT企画部の特色
コトラ 中川:
ホールディングス側で働くということについて、もう少し深堀りしたいと思います。
持ち株会社である企業様の中には、グループ会社に言う事を聞かせるのが仕事という会社も一定数あるかと思います。
一方で、御社はホールディングス側にガバナンスの機能はあるものの、あくまでもグループ各社との協力関係の下で仕事にあたっていると聞いたことがあります。
他のホールディングス企業と比較した際のカルチャーや空気感について教えてください。
喜多村様:
確かに、現場レベルでの取り組みという意味では、各社との対話を重ねながら進めている印象はあります。
持ち株会社側の決定事項を一方的に命じるようなカルチャーではないことも事実です。
一方で、当然ながらホールディングスはグループ全体の経営を行っていく立場ですので、セキュリティ対策やガバナンスなど、各社に従ってもらうべきところについては必須対応事項としてしっかり対応してもらっています。
CoE体制を敷いている目的は、各社の事情に応じた統合を図ることです。
我々はグループの中に様々な業態の企業を有しており、事業としても保険事業・介護事業・デジタル事業など多岐に渡ります。
それぞれ異なった文脈において効率的かつ実効的な体制を構築するためには、コミュニケーションが欠かせない要素だと思っています。
コトラ 中川:
なるほど。喜多村様個人の目から見られた場合、他に感じる点などはありますか?
喜多村様:
私個人としてもやはり、多様な会社がグループ内に存在しているということに尽きると思います。
セキュリティやITに対してどのような考え方を持っているのかということも、業界などによって異なるケースがあります。金融・保険・ヘルスケア関連の事業会社などは、セキュリティの重要性に対する認識がもともと高い傾向があります。
一方で、金融以外の事業に関する会社などは、また少し違った見方でセキュリティとビジネスの関係を捉えるようなことがあります。
こういったダイバーシティに富む環境の中でグループ全体としての必要水準を定める必要があるので、気にしないといけない事項が多いのは事実です。
グループの中核事業である保険・金融ベースの水準を基本としながらも、全く同じ内容をより規模の小さな、特性の異なるグループ会社に対して適用すればいいとは限らない。どのような進め方が最も合理的なのか、ということを常に考える必要があります。
この点は、我々の業務の中でも難しいところかもしれないですね。
各ユニットごとの業務内容
コトラ 中川:
IT企画部内の、各ユニットごとの業務内容・切り分けについてお聞かせください。
喜多村様:
まずサイバーセキュリティに関しては、主にプロダクティブ・ソリューション・ユニット(PSU)、リスク&ガバナンスユニット(RGU)、サイバー・コントロール・ユニット(CCU)、サイバー・テック・ユニット(CTU)の4つが分担して担当しています。
プロダクティブ・ソリューション・ユニット(PSU)
グループ全体で利用する横断的システムやサービスの企画運用を担っています。
SOMPOホールディングスが運用する新サイバー基盤では、各社とインターネットの境界防御の役割を果たしていますが、この共通基盤の企画構築、運用、SOMPOホールディングスが主導する脆弱性診断の企画開発、運用、新端末の企画構築などに従事しています。
グループ全体のサイバーセキュリティだけではなく、SOMPOホールディングス個社としてのシステム/IT機器管理なども行っています。
リスク&ガバナンスユニット(RGU)
私がリードするユニットです。IT領域におけるガバナンスやリスク管理全般を担当しています。
部内の他のユニットに対しても、(3ラインディフェンスモデルにおける)セカンドラインとして全体の統制を取っていく役割も担っており、グループ会社のセキュリティ状況やIT組織としての成熟度をアセスメントなどを通して把握することに加え、ITに掛かる規程類やガイドラインの策定なども行っています。
サイバー・コントロール・ユニット(CCU)
CSIRTやSOCなど、日々のサイバーセキュリティのオペレーションを担当しています。
我々が運用している新サイバー基盤と各種のセキュリティデータは、このチームが常に監視しています。
またサイバーインシデントが発生した場合にも、グループにおけるインシデントの司令塔として各社と連携して対応に当たる形になります。
まだセキュリティにおいて非常に重要な従業員に対する教育についてもこのチームが担当しています。
サイバー・テック・ユニット(CTU)
このユニットはテクノロジーに特化したエンジニア集団です。
ホワイトハッカーの人たちが集まっている多国籍チームで、高度なペネトレーションテストを実施したり、各社の境界面(アタックサーフェース)のモニタリングなどを内製にて行っています。
技術者目線からのトレーニングなどを各社IT担当に対して実施したりもしていますが、日々のコミュニケーションでも英語を始めとする外国語が飛び交っており、多様性溢れるチームです。
サクセス・サポート・ユニット(SSU)
各社グループ会社とコミュニケーションをとる、フロントオフィスの役割を担っています。
我々が常時相対する先としては、国内に30社、海外に30社ほどのグループ子会社がありますが、これらの子会社に対して全てのユニットが別々にコミュニケーションを取ると混乱を招きかねません。
そのため、基本的には部内でアサインする各社フロント担当を通して各社と対話をしています。
この各社とのコミュニケーションを全般的に統制するのが、フロントオフィスの役割になります。
各社とのコミュニケーションを通して広義のITガバナンスを実践し、各社への支援などを行っているイメージです。クラウドCoEはこのSSUの中に設置されています。
今後の展望
コトラ 中川:
IT企画部、あるいはSOMPOホールディングス全体の方向性についてお伺いできればと思います。
今後注力していきたい領域・プロジェクトなどの大きい方針や方向性についてお聞かせください。
喜多村様:
これからの方針の前に、まずはこれまでのハイライトをお伝えできればと思います。
直近3年間は、まずは日本の金融機関グループとして恥ずかしくないセキュリティ水準を満たすという点を目標に掲げてやってきました。これについては、達成できたのではないかと思っています。
今後の方向性としては、更に高みを目指してトップレベルを目指していくという軸と、まだまだ改善の余地がある領域についてしっかり穴埋めをしていくという2つの軸があると考えています。
具体的にどういうことをやっていくかについては今まさにメンバー全員で議論を進めているところですが、我々が強みとするCTUが担当するテクノロジー面などについてはしっかり磨きを掛け、お手本、ベストプラクティスとなるような姿を目指していきたいと考えています。
一方で、グループ会社の中でも特に規模の大きくない会社などは、まだまだ人員や専門性などに関する悩みがあります。ホールディングス、サイバーセキュリティのCoEとしてこのような悩みを持つグループ会社に対して、いかに実効性をもってサポートをしていけるか、という点は我々のチャレンジになります。
コトラ 中川:
他社様の場合、海外チームと国内チームとで分担されているケースもあると思いますが、御社の場合はいかがでしょうか。
喜多村様:
海外/国内という観点では、我々SOMPOホールディングスはこれまで主に国内に注力してきました。
海外についてはSOMPOインターナショナルという、海外を統括している子会社が直接的なITガバナンスを担っています。
一方で、特にサイバーセキュリティに関しては、国内と海外で分離されていていいのかという課題意識もあり、国内だけではなくて海外も統合的に見ていく必要があると思っています。
今後はできるだけ国内・海外という区別をなくしていきたいと思っていますが、アジア・米国・ヨーロッパなどそれぞれで、文化・タイムゾーン・レギュレーションなども全く違ってきます。
全ての地域で、日本と同じ感覚で我々が決めたことを統一してやっていくことが必ずしも合理的とは限りません。ある程度柔軟に、海外の会社に委ねる部分はありながらも、最低ラインはきちんと定義しグループ全体でセキュリティを担保していくことが前提になるかと思います。
在籍メンバーのバックグラウンド
コトラ 中川:
在籍メンバーのバックグラウンドについて、グループ内異動・キャリア入社それぞれで教えていただけますか。
喜多村様:
現在(2023年12月)、SOMPOホールディングスのIT企画部在籍者約50名のうち、大体6割くらいの30名くらいがキャリア採用で、おおよそ直近3年ぐらいで入社しています。
バックグラウンドの統計を取ったことは無いですが、外資企業出身の方が多いかもしれないですね。
色々な経歴の方がいらっしゃいますが、共通しているのはセキュリティインフラの知識など、業種を問わずそれぞれの専門領域に応じたキャリアを身に付けてきた方が多いです。
グループ内異動の方々については、多くが中核子会社である損害保険ジャパンから出向組となります。
IT業務のバックグラウンドが中心の方が多いですが、営業などの経歴を有する方も一部います。
コトラ 中川:
想像以上にキャリア採用の方の割合が高いですね。
喜多村様:
そうですね。ここについては、組織の成り立ちも関係しているかと思います。
元々2021年の段階では5名くらいしかいなかったセキュリティ専門人材を、キャリア採用中心で今年(2023年)は30名レベルまで増やしてきており、ここ3年間で組織の規模もかなり成長しました。
会社全体としても、セキュリティ領域を注力エリアと考えていることを指し示す内容だと思います。
SOMPOホールディングスで働く醍醐味
コトラ 中川:
最後に、SOMPOホールディングスに入社して良かったと感じられたことなどをお聞かせください。
喜多村様:
人それぞれだとは思いますが、私個人としてコメントさせていただきますね。
SOMPOホールディングスのIT企画部でセキュリティを担当するということは、どういった戦略で何をするのかということを、自分自身で決めて仕事をしていくということです。
誰かに指示されてやるのではなく、会社やグループを良くするためには何をしたらいいか、ということを常に考えて仕事をしています。
このような環境は、特にある程度バックグラウンドがある方にとっては自由度も高く、グループ全体にまたがる広い活動範囲の中で経験や知識を活かしていける、魅力的な環境ではないかと思います。
私自身にも外資系企業の在籍経験があり、その中でリスク管理やITセキュリティなどを担当してきましたが、日本企業はあくまでもグローバルの中での一拠点にすぎず、やりたいと思っていても実現できないものが多くありました。
そういうもどかしさを感じている中で、SOMPOホールディングスが特にセキュリティを強化していくというタイミングで入社することができました。まさに自分がやりたいと思っていたことを実現できる環境だと強く感じています。
もちろん、持株会社だからといって全てが自分たちの思い通りになるわけではありませんし、実際にはむしろ思い通りにならないことがほとんどですが、グループという広い裾野を相手に、専門家としてのスキルを活かしながら、各社を含む仲間とともに考えプロフェッショナリズムを追求していけるというのは大きな魅力だと思います。
コトラ 中川:
日本に本社を置きつつ、かつホールディングス専任採用だということが大きく影響している内容だと思います。
SOMPOホールディングスならではの自由度・裁量があることがポイントですね。
詳しく教えていただきありがとうございました。
求人のご紹介
SOMPOホールディングス株式会社
にご興味がある方へ
今回特集しましたSOMPOホールディングス株式会社様<IT企画部>の求人をご紹介します。
<国内海外サイバー支援管理担当>
HDがグループ各社に提供する境界防御施策である共通基盤の企画・運営を通じて、
グループ全体の対策水準の向上と維サイバーセキュリティグループの各種施策とグループ各社の施策全体の統括的な管理、各社への支援策の企画・推進を担い、グループ全体の対策水準の向上と維持を図る。.
<サイバーセキュリティエバンジェリスト>
サイバーセキュリティ教育・啓蒙等を通じて、グループのサイバーセキュリティカルチャーの育成と全従業員およびサプライチェーンのセキュリティリテラシの向上と維持を図る。.
<リスクマネジメント担当>
プロアクティブなITリスク管理業務を通じ、リスクマネジメント観点からグループ各社をサポートし、グループ全体のサイバーセキュリティ管理態勢の成熟度向上とリスク管理の高度化を推進する。.
<セキュリティプラットフォーム企画担当>
HDがグループ各社に提供する境界防御施策である共通基盤の企画・運営を通じて、グループ全体の対策水準の向上と維持を図る。.
<脅威インテリジェンス・SOC担当>
グループのサイバーセキュリティの成熟度向上に技術的な観点から支援する。.
コトラでは業界動向や今後のキャリアについて無料キャリア相談会を開催しております。
最新の採用動向や非公開求人情報などの情報提供をさせていただきます。
また、ざっくばらんな意見交換・ご相談をさせて頂きながら、理想のキャリアを歩むためのアドバイスをさせていただきます。 お気軽にご相談ください。
登壇者紹介
ゲスト
SOMPOホールディングス株式会社
IT企画部
リスク&ガバナンスユニット 課長
喜多村 直己 様
複数の日系/欧州系/米系金融機関にて、ITシステム開発/業務企画/プロジェクトマネジメント/オペレーショナルリスク管理を経験。2021年にSOMPOホールディングスに入社し、サイバーセキュリティを中心としたITリスク管理とガバナンスを担当。
インタビュアー
株式会社コトラ
エグゼクティブコンサルタント
中川 貴史
金沢大学大学院を卒業後、大手通信企業に入社。SEとして海外向け金融システムプロジェクト、およびホワイトリスト/PCI-DSS対応など複数のセキュリティプロジェクトに従事。コトラに転職後は、セキュリティ/インフラエンジニア/デジタルフォレンジック領域を専門として、ハイクラスを対象に転職・採用支援。
[ 担当業界 ]
セキュリティ/リスク/監査、金融機関、コンサルティングファーム、IT