Masato SAITO(齊藤 匡人)

>TOP > MEMBER > Masato SAITO

Masato SAITO(齊藤 匡人)

 
<プロフィール>
慶應義塾大学総合政策学部卒 (徳田英幸研究会、通信プロトコル開発)、同大学大学政策・メディア研究科修了 (同研究会、経路制御プロコル開発)。未踏スーパークリエイタ認定 (ユビキタスネットワークブラウザの開発)。在学中に、産総研にて二要素認証と暗号鍵交換を行う LR-AKE プロトコルを研究開発し、BURSEC 株式会社を共同創業。LR-AKE ソフトウェア・SDK・製品組込の開発、製品導入、セキュリティコンサルタント、CISO 業務に従事。
2018 年 9 月、エクサウィザーズに入社。コーポレート IT 及び情報セキュリティ業務を中心に、2018 年 12 月より CISO 担当。エンジニア組織開発にも従事。
 
<関連記事>
AI を利活用した Sustainable Business Infrastructure を目指して。ExaWizards インフラ&セキュリティ部のご紹介|エクサウィザーズ HR note
2018年9月にソフトウェアエンジニアとしてジョインしました齊藤匡人です。私が入社した経緯などについてはこちらの記事でお話しています。お時間あります際にご笑覧ください。 私はエクサウィザーズにおいて、エンジニア組織である技術統括部のソフトウェアエンジニア採用面接も2年近くに渡って担当していますが、今回はメインの担当である当社の見えない屋台骨、インフラ&セキュリティ部 (以降、インフラグループ) のお話をさせてください。 インフラグループは、一般的な会社でいうところの コーポレート IT (情報システム) やセキュリティ、総務 (一部) などの業務を担当 しています。総勢10名のグループとなっており、社歴10年以上の方々 (エクサウィザーズの前身の会社から在籍) や AIP 事業部から転籍された方、先月ジョインされた外国籍の方まで多様なバックグラウンドを持ったメンバーがいます。 本日は以下のポイントを中心にこれまでを振り返りながら紹介いたします。 私は入社当初、 HR 君 ( 現「exaBase 予測・分析」)のセキュリティ機能の開発担当をしていました。しかしこれまでの経歴もあり、「セキュリティに詳しい人間が入ってきた」となり、エンジニアだけでなくビジネスの方々からもセキュリティに関する様々な相談を頂くようになりました。 特に多かった相談は、当社のプロダクトをお客様に導入する際に必要となる お客様からのセキュリティチェックシート対応 でした。相談はプロダクト単体のセキュリティに関するものだけでなく、開発体制や全社セキュリティ体制、情報システム体制など多岐に渡っており、当時組織として立ち上がったばかりの情報システムチーム(以下、情シスチーム)の門戸を叩きました。 組織と言っても 当時の情シスチームは社内のエンジニアが有志で集まっていて 、専従で担当しているメンバーは誰もいませんでした。そして私がチームにジョインしたすぐ後に、当時のチームを率いていた方が一時的に体調を崩してしまい「情シスチームを引き継いで欲しい」という依頼を受けました。 入社後2カ月でしたが、このチームには非常に面白くスキルフルなエンジニアがいたため、すぐに快諾しました。その中心メンバーとして活躍されていたのが瀬戸さんと黒木さんで、このお二人と共に情シスチームの活動を改めてスタートさせました。 お二人によるインフラグループの紹介は以下にてご覧いただけます。 リスタートと言いましても、既に運用はしっかりと進められていました。そこで、自分が足りないと感じていた 情報セキュリティ管理体制やポリシー対応から着手 することにしました。何を目的基準として情報システムを構築し運用しているのか、といった意味づけや立て付けの部分です。 当社の事業は、お客様からデータをお渡し頂いて AI を利活用して結果を届ける場面が多くあります。お客様からお預かりするデータには個人情報 ( 当社では「個人を特定可能な情報」として PII [Pesonally Identifiable Information] を優先して使用しています) や機密情報が含まれていることが多く、 当社の情報セキュリティ管理体制の充実や強化は本事業を進め拡大していく上でも非常に重要 です。 また、当社の事業ドメインも Care, Med, HR, Robot, Fin と多岐に渡っており、プロジェクト案件開始時やプロダクト導入前に、 それぞれの事業ドメインに応じたセキュリティチェックがお客様から当社に求められます 。 この当社へのセキュリティチェックでまず聞かれるのが ISMS (Information Security Management System) や プライバシーマーク を取得済みかどうかでした (今もですが)。 当時のエクサウィザーズは、全社向けのセキュリティ以外の規程群の整備もまだこれからといった状況でした。そのため組織ガバナンスの観点からも全社的にISMSを導入することは有効だと考え、石山さんと春田さんに相談し二つ返事で快諾を頂きました。導入にあたっては、私が前職で ISMS 認証取得業務の経験があったことも役立ちました。 ISMS はあくまでフレームワークの一つです。そこから当社の事業内容やミッションに合わせて、より 個人情報保護観点を強化する形式で ISMS 認証を 1 年掛けて取得 しました (この時、春田さんからは「やっと会社っぽくなってきたね」と言われていたのが印象深いです)。さらに今から約3年前には当社の自社 SaaS プロダクトが増加することを見越して、 ISMS-CLS という クラウドセキュリティ認証の国際規格取得 も同時に実現させました。 その後は GDPR ...