網谷 龍太朗 / Ryutaro Amiya　（写真左）

2017年 サイバーエージェント新卒入社。AI事業本部配属後、広告配信やAI関連の事業立ち上げを複数経験。2020年よりアプリ運用センターに所属し、現在はクライアントに向き合うプロジェクトマネージャーとして開発チーム全体を牽引。

贄田 智 / Tomo Nieda　(写真右)

2018年 サイバーエージェント中途入社。元商社法務部出身。電子契約等バックオフィス業務のDXを推進しつつ、現在は法務コンプライアンス部 AI事業部門マネージャーとして法務チームを牽引。

---事業概要を教えてください

網谷：サイバーエージェント AI事業本部の中にある組織で、１４０兆円とも言われる市場規模である小売業界のDXを狙うチームです。

アプリユーザー様にアプリ上（オンライン）でお店のことを知っていただき、それをきっかけに来店していただき（オフライン）、またアプリ（オンライン）に戻ってきて次の購買意欲を生んでいただく、このような購買体験サイクルを生み出すアプリを納品・運用をさせていただき、クライアント企業様の売上向上に貢献していくビジネスです。

今までグループで培ってきたアプリのUI・UXの強みや運用力を武器に、アプリの納品・運用をまかせていただくビジネスです。

https://www.cyberagent.co.jp/careers/special/retaildxrecruit2021/people/people01.html

---法務の役割はどんなものでしょうか

網谷：法務チームの皆さんには 攻め/守り の両面でとても重要な役割を担ってもらっています。

バックオフィスチームに位置づけられてはいますが、チームのイチメンバーだと感じています。事業への高いコミットメントでダイレクトに事業価値向上に貢献していただいているチームだと思っています。

贄田：ユーザーに納品したアプリを使っていただく未来を想像しながら、初期段階でリーガル面でのケア事項をプロジェクトチームに伝えることで、契約業務だけでなくプロジェクトの進行を総合的に支援する役割があると考えています。

特に、アプリ開発を受注するこのビジネスは納品を完遂するまでのタイムラインが長く、リーガル面の検討をプロジェクトの初期段階で工程に組み込むことが、UI/UXの最適化、粗利向上・資金繰りの適切化など、様々な面で事業の 攻め/守り に直結すると考えています。

---法務からUI/UXへ貢献

網谷：法務観点からUI/UXに貢献するというのはイメージが湧きにくいかもしれませんが、ユーザーからの個人情報等の取得に関する場面を例にするとイメージしやすいかもしれません。

我々がクライアントへアプリを納品した後は、ユーザーにアプリを使っていただく段階に入ります。クライアントがユーザーから個人情報等を預かることになるため、利用規約や個人情報の取扱内容について同意をいただく必要があります。

この同意の取得方法はUI/UXにバリエーションがあり、どういった同意ボタン/画面遷移にするかでユーザーの使い勝手や同意いただく内容の分かりやすさに大きく影響します。

たとえば、銀行のオンラインバンクアプリなどによく見られるような、利用約款がポップアップ表示されて画面スクロールして規約を読了して初めてチェックボックスが現れるような重厚な同意の取得方法も考えられますし、一般的なアプリに多く見られるような、利用規約の重要部分を表示して詳細はリンク先で確認できる画面遷移も考えられます。

このように、同意の取得方法１つでもアプリのUI/UXに表現の幅を持たせることができ、適切な同意の取り方を確保しながら、ユーザー体験の最大化させることができます。

この点は、取得する情報の重みや利用用途に応じてどの程度の丁寧さをもってユーザーに表示するべきかクライアントの方針にも関わる重要な場面であり、一方でユーザー離脱の起きやすい箇所でもあるため調整が重要で、法務観点での意見は欠かせないポイントです。

---粗利への貢献

贄田：リーガル目線をプロジェクトに組み込むタイミングもとても重要だと感じます。

アプリの開発には、当然ですが納品スケジュールや予算が存在しますから、網谷さんたちプロジェクトマネージャーの皆さんはUI・UXのクオリティのみならず、開発メンバーの稼働確保、外注先等へのコストコントロールもしなければなりません。

ユーザー離脱最小化を優先しすぎたUI・UXで、ユーザーにご認識いただくべき利用規約の内容やリスク事項などが十分に伝わらない同意導線となっていては、クライアントから了承いただけず、時間やコストをかけてでも修正すべき事態になることもあります。

納期間近になってはじめてこの問題に気づくと、画面上は些細な変更に見えても追加開発が必要で外注コストがかかって粗利を圧迫してしまうといった事態を引き起こしかねません。受注の初期段階から、どういった種類のユーザー情報を受け取るアプリなのかを考慮した上でデザイナーと一緒になってデザインを検討するといった動きが重要だと思っています。

---契約業務からキャッシュフロー管理へ貢献

網谷：契約もとても大事ですね。「契約書＝法務」 みたいな間違った印象もありがちな話だと思いますが、契約書/受注書は取引先との合意内容を正しく書き起こしてトラブルを防止するためのものなので、取引をしている本人がまずは契約書を読む癖をつけるようにチーム内でも徹底しています。

贄田：契約書は日本語が固くて読みにくいし心理的に敬遠しがちな面はたしかに分かりますが、取引内容を合意形成するのは事業部の方なので、事業を守る上で契約に対する意識は大事だと思います。

網谷：過去に痛い目を見たというのもありますが、シンプルに「契約書は取引先との合意内容を正しく書き起こすもの」という原点に立ち戻るようにしています。

たとえば、受注書や契約書でクライアントに納品すべき成果物の定義/仕様が甘く、納品するたびに追加のオーダーを受けてなかなか仕事の完成（納品）に至れず、事業計画よりも売上金額をいただくのがかなり遅くなってしまったことがありました。

予定していた入金が見込めず資金繰りに影響がでましたし、ここでもやりなおしや追加開発が必要になり粗利を悪くしてしまいました。

クライアントから発注いただいた金額は、我々が役務提供を完了してはじめて売上として計上できるものなので、役務提供の内容とその完了方法をクライアントと丁寧に合意形成し、合意した内容を契約文言に正確に反映できているか法務と連携するという、シンプルな原点が大事ですね。

贄田：新規事業など特に資金繰りやメンバーに潤沢なリソースがまだないフェーズだとダメージはより大きいと思います。事業の攻めに集中していただけるよう、法務が貢献できるポイントは今日の例以外にもまだまだたくさんあると思いますので、みなさんと一緒になって事業の成長を支援していける組織になっていきたいと思います。

エントリーはこちら！

サイバーエージェント法務部　チーム紹介はこちら。

プロフィール

間宮 千恵 (システムセキュリティ推進グループ)

2004年11月にサイバーエージェントに中途入社。入社後は、広告代理店事業でのプランナー、 法務コンプライアンス室を経験し、３年前に社内制度キャリチャレをきっかけに現部署に異動。コンサルティング業務と社内啓蒙活動の広報業務に従事。

法務からセキュリティへキャリアチャレンジ

― 間宮さんのこれまでのキャリアについて教えてください。

入社時の配属はインターネット広告事業本部で、その後法務室にキャリチャレ（社員自ら他部署への異動を申請できる制度）で異動し、約8年ほど法務や経理の業務に携わりました。その後、再びキャリチャレ制度を活用し、現所属であるシステムセキュリティ推進グループに異動し、現在に至ります。

法務室からシステムセキュリティ推進グループに異動した理由は「もう一度プロダクトに近いところで働きたい」という思いからです。自分の経験してきた業務とキャリア志向にあわせて、未経験の分野でも果敢にチャレンジできるのが、キャリチャレの良いところです。

ー 法務でお仕事をしながらセキュリティに興味をもったのはなぜですか？

法務にいた時に、データを取り扱い方や事業部との連携のフロー作りやシステム構築業務などに関わっていました。例えば、あるサービスがキャンペーンを打つ際に、法務やセキュリティ面でリスクがないか、事業部と連携しながら進めていきます。

現在の上司である野渡とは、キャンペーンのスキーム作り等で一緒に仕事をする機会も多く、その縁もあってセキュリティ分野に興味をもつようになりました。

データの取扱い方やポリシー等、法務で培った経験を活かしつつ、セキュリティというサービスに欠かせない業務に関わる事で、時代に沿ったキャリア形成ができるような気がして、システムセキュリティ推進グループへの異動を考えるようになりました。

― 法務からセキュリティへの異動となります。当初に苦労したことなどはありましたか？

Slackで飛び交うエンジニアのみなさんの技術的な議論や、セキュリティに関わる多種多様な案件をさばくみなさんを見て「どうやってバリューを発揮したらいいのかな？」と戸惑うこともありました。

少し悩んでいた時期に、とても安心したのは、面談で野渡が言ってくれたセリフです。「間宮さん。他のメンバーと同じ仕事をしてほしくて異動してもらったわけじゃなんですよ。」と言われたんですね。

その時、「そうか、エンジニアと同じ仕事をやる必要はないんだ。」とハッとしました。すると、無駄にプレッシャーに感じていた心理的なハードルがフッと消えました。それからは、自分なりにできるセキュリティの仕事を手探りで探しながら、チームに貢献できるようになりました。

ー 間宮さんが見出したご自身の価値とは何でしょうか？

具体的にはリスクアセスメントに軸足を置くことにしました。法務の経験を活かして、利用規約にセキュリティリスクはないか精査したり、社内のキーマンにヒアリングをして、業務の流れの中にあるリスクを検証してみたりなどです。

サイバーエージェントは部署や組織の壁がなく、所属をまたいで気軽に声をかけあう企業カルチャーです。そして幸いな事に、これまでの業務で関わってきた方も多く、ヒアリングの効果はすぐに実感できるようになりました。

例えば広告部門であれば、広告の申込・受注・配信完了までどういう流れでどういうツールを使っていて、そこにはどんなフローが絡んでいるのか。ツールが蓄積するデータの保管先と閲覧権限。相手先からどういう許諾を得てそこにデータが貯まっているのか、といったフローがあります。

あらためて業務の理解を深めた上で、現場の営業やディレクターが扱っている機微なデータやそこに潜むリスクや影響度を考慮した上で、リスクアセスメントとしてどんな対策や予防ができるかを設計していきました。

バックオフィスの経験がセキュリティの仕事に活きている

― システム・セキュリティ推進グループのメンバーとして、成果を出すために日頃からどんな事を意識していますか？

私はエンジニアではないからこそ「この案件は技術絡みだからエンジニアの領域だ」と決めつけないようにしています。

セキュリティは、法律を理解した上で対処する場面も少なくありません。法務で取扱っていた商標が、実はドメインに関係があると分かったり、認証と認可の違いでサービスに影響が生じたり。自分の法務をはじめとしたサイバーエージェントで働いてきた実務で培った知識もまた、エンジニアリングと同じく「専門知識」なんだと思うと、非エンジニアである自分にも十分セキュリティで貢献できることがたくさんある事に気づきました。

そう思えるようになると、エンジニアに相談や対話するハードルはグッと下がりました。そういう機会が増えるにつれ、多様な職種のメンバーが集まるからこそ得られる知見やアドバイスできることの広がりも実感しました。

―セキュリティ・コンサルタントはどんな人に向いている仕事だと思いますか？

「セキュリティ」と聞くと一見ハードルが高く感じるけれど、例えば人事でも広告でも何かしらのデータを扱うような仕事をしている人であれば、実は少なからず普段の仕事でセキュリティには関わっているわけです。

弊社の場合はプロダクトが幅広いので、セキュリティ側も幅広い対応力が必要になります。中には自分でも何を相談すればいいのか分からないまま相談に来る人もいたりするので、相手の意図を汲んだり、要件を交通整理してあげられるようなコミュニケーション能力が求められると思っています。

社会的なニーズの高まりもあって他社でも、管理部門からデータガバナンスの仕事に移った人など、私と似たようなキャリアの人がいらっしゃいます。

私はセキュリティ・コンサルタントという職種名ですが、会社によって役割や呼称はそれぞれ。セキュリティの戦略を練ったり、課題を解決したり、予防策を講じたりと業務は多岐にわたります。私の場合は「セキュリティ・コンサルタント = 情報を守る」という意識で仕事に向き合っています。

― セキュリティ・コンサルタントとしての仕事の楽しさを教えて下さい。

開発の時点で当たり前にセキュアなサービスを作れる状態を作り、もぐら叩きのような仕事を減らしていく。システムセキュリティ推進グループは今そういう仕組み作りに取り組んでいます。ベストな理想は「診断時に何も脆弱性が出ないような開発工程を実現する」が理想なので、いかにその状態を目指せるかをチームでよく議論しています。

その中で、チーム内の様々な知識をもったメンバーや、事業部側の開発者のみなさんと日々やり取りしながら、少しずつ前進できているような実感をもてる日々の業務の学びは、仕事の楽しさややりがいに直結している気がします。

一方でビジネス職の中には「そもそもセキュリティチームに何を聞いたらいいのか分からない」という人も少なくありません。セキュリティの相談が出来る部署としてシステムセキュリティ推進グループの認知を広げつつ、会社全体のセキュリティのレベルを上げていくような仕事も引き続きやっていければと思います。

プロフィール

丸山 真実 (システムセキュリティ推進グループ)

SIerにて脆弱性診断のプリセールス、プロジェクト管理などに携わる。2018年10月にサイバーエージェント へ入社、システムセキュリティ推進グループにてCAグループのサービスにおける脆弱性診断のディレクション業務に従事。

身近なサービスの安全性に貢献したくてセキュリティコンサルタントに

― 前職ではどんな仕事をしていましたか？

前職はSierで、脆弱性診断サービスに携わっていました。脆弱性診断とは、脆弱性と呼ばれるユーザの情報流出やサービスの不正利用などに繋がるシステムのセキュリティ上の欠陥(バグ)を洗い出す検査のことを言います。そこでは、プリセールスだったり受注した案件の管理といった業務を担当していました。

サービス提供者とお客様という関係なので、セキュリティ的に緊急性が高い脆弱性が出たら「対応することをお勧めします」とアドバイスできますが、最終的な意思決定はお客様に委ねることになります。

そこにもどかしさを感じ、脆弱性診断だけではなく脆弱性に対応するところまで取り組める仕事をしたいと思い、転職を考えました。

会社選びにあたって、多種多様なプロダクトを運用している企業に魅力を感じたので、広告やメディア、ゲームや新規事業など幅広く事業展開するサイバーエージェントを選びました。「ABEMA」や「Amebaブログ」など、自分にとって身近なサービスを展開していたことも理由の1つです。

開発現場との信頼関係づくりが楽しい

― 転職してみて、SIerでの経験は活かせましたか？

基本的な業務内容は相手が「お客様」から「社内の事業部」に変わっただけなので、今までの経験が十分活かせました。脆弱性診断のフローがしっかりと構築されているのもあり、割とスムーズに業務に入っていけました。

ただ、サイバーエージェントは多岐にわたる事業を展開しているのもあり、業務への向き合い方が少し変わった点もありました。

例えば、SIerの場合、そもそもお客様が「脆弱性診断を受けたい」からスタートしていますし、対価を受けてセキュリティというサービスを提供する立場なので、スケジュールもしっかり管理されていました。

それに対し、サイバーエージェントのようなインハウスのセキュリティ部門では、同じ社内のメンバーが相手なので、良くも悪くも柔軟な対応が求められます。開発に集中したい現場にとって、どうしても脆弱性診断は後回しにされがちです。

そこで「この機能だけでも先に脆弱性診断しませんか？」といった調整が必要になってきます。重要になってくるのが「開発現場との信頼関係」です。

中途入社の自分にとって、会社のカルチャーや信頼関係など、どこから馴染んでいけば良いのか正直悩んだところもありました。

印象的だったのは先輩がくれたアドバイスで「足を動かしたほうがいいよ」と言われたことです。チャットの返答をただ待つのではなく、こちらから各部署に足を運んで直接担当者とやり取りしたほうが早いし、信頼関係も築きやすいというアドバイスでした。

まだ新型コロナウィルスが流行する前だったのもあり、アドバイス通りに足を動かし、あまり知らない部署に行って、担当者を探し出して声を掛けたりしました。

最初は緊張しましたが、これが意外と楽しかったですね。サイバーエージェントの採用基準にあるとおり、みなさん「素直でいい人」ばかりで (笑)。すぐに相談にのってくれますし、色々な開発現場と関係性を築くことで、格段に仕事をしやすくなりました。

― 現在のメイン業務はなんですか？

主に脆弱性診断のディレクションです。新規リリース前の脆弱性診断や主要プロダクトの定期診断など、抱えている案件数で言うと毎月30件から50件ぐらいになるでしょうか。一般的なユーザー向けのサービスだけではなく、広告のクライアントさん向けのツールや社内ツールも含まれます。

技術的な脆弱性診断の業務は、社内の診断作業チームや外部の診断会社へ依頼をしていますので、私の業務は脆弱性診断のスケジュールや進捗状況の管理、事業部側へのヒアリングといったディレクション業務を担っています。

私は開発経験がありませんが、基本的には脆弱性診断作業を実施する社内外の技術者と、事業部の開発チームとの橋渡し的な役目なので、必ずしもエンジニアである必要はありませんのでご安心ください。

もちろん脆弱性診断の結果から、どういったリスクがあるかを理解するため、ある程度の技術的な知識は必要です。

所属しているシステムセキュリティ推進グループにはセキュリティエンジニアも在籍してるので、リスクを踏まえて対策や修正が必要になった時にチーム内で相談することもあります。

そうやって周りを巻き込みつつ、「修正するのか、あるいは許容して別の開発フェーズで対応するか？」というように解決策を模索していくという意味では、その名の通りディレクションだけではなくコンサルタント的な役割も求められる仕事だと思います。

どんなバックグラウンドでもセキュリティ・コンサルタントとして活躍できる

― とはいえ丸山さんは前職もセキュリティのお仕事です。非エンジニアで、かつセキュリティ未経験でもできるお仕事なのでしょうか。

可能だと思います。プロデューサーやディレクター等、プロダクトやサービスのディレクション業務に携わっていた人であったり、広告営業のマネジメント等の経験も活かせると思います。

基本的に地味な仕事ではあるので、縁の下の力持ち的なところに魅力を感じられるような人のほうが向いているのかな、とは思います。

業務上、対話する場面は多いので、コミュニケーション能力は必要です。

ユーザーに安心して楽しんでもらう、最後の砦

ー コミュニケーションする際にセキュリティコンサルタントとして意識していることはなんですか？

例えば脆弱性診断を受ける事業側とコミュニケーションを取る時に、私が気を付けているのは「最終防衛ラインを決めた上でやり取りをする」ことです。

最初から完璧な状態でリリースできれば理想的ですが、時間や人的リソースには限りがあります。「とにかくこれではリリースできません」と、セキュリティ面の要望を一方的に押し付けるだけでは何も解決しません。

事業メリットとセキュリティの担保。それぞれ守るべきラインはあるので、白黒をつけずにお互い歩み寄るというか(笑)。「セキュリティ的にここはどうしても直して欲しいけれど、あの部分はリリースした後に修正しましょうか」というように、可能な限り柔軟に対応するようにしています。

セキュリティは一見するとコストと捉えられがちですが、開発側とセキュリティ部門は敵対関係ではありません。ユーザーにとって安心できるサービスを一緒に提供していく仲間として、お互いの立場を理解して通じ合える状態を作っていきたいと思っています。

ユーザーは「サイバーエージェント」という名前を信頼してサービスを利用して下さっています。その信頼を裏切るようなインシデントを起こさない、良いものをリリースしたい。その気持ちは同じだということが伝わって欲しいと思いながら日々仕事をしています。

―どんな人と一緒に働きたいですか？

脆弱性診断を担当する社内外のエンジニアチームと事業部側との橋渡しをするのが私の仕事です。

人と人の間に立って周りを動かして、物事を終わりまで持っていくことにやりがいや達成感を感じるような人なら楽しめると思います。

また「セキュリティに興味はあるけれど一歩踏み出せない」というような人には、セキュリティ・コンサルタントのお仕事は入口として踏み出しやすい気がします。

セキュリティ以外でのディレクション経験やプロデュース経験はすごく活かせると思います。

上司からは「会社がどんなサービスを扱っているのか、一番情報が集まるのは脆弱性診断のところだよ」と言われています。本当にその通りで、自分が脆弱性診断に関わったサービスがこれまで数多くリリースされています。

自分が関わったサービスがちゃんとリリースされてユーザーに楽しんでもらっているのを見たりすると本当に良かったなと思いますし、「今度はこんなサービスを出そうとしているんだ」というのを見ているのも面白かったりします。

それと同時に、我々の仕事はユーザーに安心してサービスを楽しんでもらう最後の砦でもあるので、責任とやりがいがある仕事です。そういった部分に共感を持ってくれる人と一緒に働けたら嬉しいですね。