こんにちは!TECH Street編集部です。
連載企画「テック・ディスカバリー」の第3弾をお届けします。
今回は、情シス・VPoE経験を持ち「情シスSlack」を運営する長谷川氏と大規模組織のサイバーセキュリティ推進を担う鈴木氏が、企業特有の「スピード感と統制の両立」という難題、そして生成AIがもたらすリスクと、これからの組織が目指すべき理想像について語り合いました。
※この記事では、2025年9月に実施したディスカッション取材時の内容を記載しています。
長谷川 真(なーねこ)氏
2000年頃からオン・ザ・エッヂ、ライブドアなどのWeb系ベンチャー企業を経験。Webエンジニア、マネジメント職、業務改善、人事を経験し、直近数年は情報システム部門の立ち上げ、その後VPoEというキャリアを経て2019年から情シス・コーポレートエンジニアのコミュニティ「情シスSlack」を設立。現在は一般社団法人日本ビジネステクノロジー協会の理事を務める。
鈴木 歩 氏
パーソルキャリア株式会社
ITガバナンス本部 ITセキュリティ統括部 サイバーセキュリティ推進グループ
ISPでインフラエンジニアとして従事。サイバー攻撃の被害を受けたことをきっかけにセキュリティに興味を持ち、セキュリティ部門を新規に立ち上げるなどセキュリティ戦略を牽引。その後EdTechベンチャーへ転職し、セキュリティガバナンスやインシデントレスポンス領域を担当。2022年12月にパーソルキャリア入社。ITセキュリティ全般の戦略策定やアーキテクチャの刷新、セキュリティ対策高度化のための企画推進を担当。CISSP・情報処理安全確保支援士(012617号)。
- 理想と現実のギャップ:なぜ「不毛なプロセス」が生まれるのか
- 企業の規模とエンジニアファーストの功罪
- 社内調整コストとスピード感の課題
- AI時代におけるリスクと「人間力」への回帰
- 部門間の対立をなくす鍵:「同じ目標、同じ土台」
――初めにそれぞれ自己紹介をお願いいたします。
鈴木: パーソルキャリアの鈴木と申します。サイバーセキュリティ推進グループで、シニアコンサルタントをしています。
パーソルキャリアには2022年の暮れに入社しました。それまでは、教育系のSaaSを運営する会社でインシデント対応やセキュリティガバナンスチームのリードをしていました。
さらにその前は、ケーブルテレビ系のISPに所属していました。元々はインフラエンジニアだったのですが、途中からセキュリティ組織を立ち上げ、サイバーセキュリティ部門の責任者を担当していました。
現在はパーソルキャリアでサイバーセキュリティの戦略を立てたり、具体的な施策を企画・推進したりといった業務を中心に行っています。どうぞよろしくお願いいたします。
長谷川: 長谷川と申します。私のキャリアはエンジニアから始まり『オン・ザ・エッヂ』という会社で19歳の時にアルバイトをしたのがこの業界に入ったきっかけです。
専門職というよりジェネラリストとして歩んできたため、エンジニアの仕事だけでなくPMや管理職の経験が長く、エンジニア部門のマネジメントや人事、現在でいうDXのような業務にも携わってきました。
直近は情シスを5年ほど経験し、その後はエンジニアのマネジメント職であるVPoEを約2年務めました。
キャリアを通じて一貫して続けているのが『情シスSlack』というコミュニティの運営です。6年半ほど続いており、このコミュニティ運営のために立ち上がった社団法人 日本ビジネステクノロジー協会の理事も務めています。よろしくお願いいたします。
理想と現実のギャップ:なぜ「不毛なプロセス」が生まれるのか
――まずはエンジニアにとって理想の開発環境について、お二人が思うところをお聞かせください。
鈴木: 昔から変わらないことですが、やはり「試したいと思ったことが柔軟にできる状態」が第一条件です。私の経験則ですが、エンジニアは「これに本当に意味があるのか」と感じるような、いわゆる「理不尽なプロセス」や「不毛なプロセス」を嫌う傾向があるように思います。特に日本の企業では、複雑なプロセスや多くの決まり事が存在することが多く、それが理想から離れてしまう一因ではないでしょうか。
長谷川: エンジニアは物事を構造的に捉え、潜在的なリスクをいち早く察知する能力に長けています。そのため、業務プロセスや開発環境が非効率的だとそこに大きなストレスを感じてしまうのでしょうね。
――どうして、そのようなプロセスが生まれてしまうのでしょうか。
鈴木: 開発現場は常に新しい技術に挑戦するなど、環境が目まぐるしく変化します。一方で、会社全体のビジネスプロセスはそれほど頻繁には変わりません。その結果、エンジニアがやりたいことはどんどん先に進むのに、それを規制する側のルールやプロセスが追いついていないというギャップが生まれているのだと思います。
長谷川: 自分が最も効率的だと考える環境で、無駄を省いて物作りに集中したいという職人気質をもつエンジニアも少なくないと思います。一方で日本の企業、特に上場企業などは、法律やグローバル基準に準拠するために、さまざまなルールを設けなければなりません。これもビジネスとして仕事をしている以上は仕方がないことだとも思います。
鈴木: おっしゃる通り、双方の歩み寄りが必要だと思います。エンジニアはセキュリティやコンプライアンスを軽視したいわけではありません。彼らが疑問に思うのは、その目的を達成するための手段が非効率である場合です。例えば、ルールを制定する側がITに詳しくないために、非効率的なプロセスを強いてしまうことがあります。ドキュメントの変更管理を例に挙げると、エンジニアであれば Gitのようなバージョン管理の仕組みを使えば差分管理が容易だと考えますが、そうでない部署ではいまだにWordやExcelで手作業の更新を行っている、といった具合です。このようなITリテラシーのギャップが、両者の間の溝を深めている一因だと感じます。
企業の規模とエンジニアファーストの功罪
長谷川: ギャップを埋めるのは非常に難しいですね。全社的にGitHubを導入し、会社のあらゆるドキュメントを管理することで、部署間の壁をなくし、透明性を高めている企業もありますが、このようなアプローチは企業の規模によって向き不向きがあります。
また一時期、エンジニア不足が深刻化したことで「エンジニアファースト」を掲げ、福利厚生を手厚くするなど企業側がエンジニアに過剰に寄り添う風潮がありました。その結果として、エンジニアの要求がエスカレートしてしまうような側面もありました。
鈴木: エンジニアという職種は特に人材の流動性が高いという特徴があります。企業にとっては「一度採用した優秀なエンジニアに、いかに長くいてもらうか」が非常に大きな課題となっています。転職によって上がる年収の幅に社内での昇給だけで追いつくのはなかなか難しいです。企業側はその差を福利厚生や働きやすさといった別の要素で埋めようと努力しているのが現状ではないでしょうか。
長谷川: 大企業には予算もありますし、人数が多い分カバーし合えるので実は家庭の状況と会社の状況がマッチすれば大きい会社の方が良いという場合もあります。また、年収1500万円以上といった層になると、それは大きい会社でしか提示できないことが多いでしょう。大きい会社には大きい会社なりの良さがありますね。
鈴木: 大企業は基盤が充実しているので、物事が進むスピードは遅いかもしれません。しかしその分、大きな金額で大規模なプロジェクトとして動いていくので、うまくいけばかなり充実した環境が一気に出来上がる可能性はあります。
社内調整コストとスピード感の課題
――大規模組織ならではの難しさや課題はどのようなことがあげられますか?
鈴木:大規模な組織でエンジニアの多くが変えたいとは思っているのは、お金の問題というよりは「調整の問題」です。ステークホルダーが多すぎるのです。小規模な組織であれば、経営者一人に理解いただければ進められる話も、組織が大きくなると多くの関係部署や担当者の方々に説明し、合意形成を図るプロセスが必要になります。生成AIのような技術が登場する中で、その小回りの利き方やスピード感という点では、やはり意思決定の速い会社に比べるとまだまだ及ばないと感じます。
長谷川:そういった点では、スタートアップや経営層にテクニカルなバックグラウンドを持つ人がいる会社などは、意思決定や会社の動き出すスピードがとんでもなく速いです。
鈴木: エンジニアに関わるルール一つを決めるにも多くの部署との調整が必要なため、どうしても時間がかかってしまいます。
厳密に統制を取ろうとすればするほど遅くなり、市場のスピードに追いつけません。結果として、ある程度のリスクを許容し、現場の判断に任せて進めてもらうことになります。「スピード感」と「組織としての統制」を両立させるのが、非常に難しい課題だと感じています。
長谷川: 解決策の事例として「セキュリティチャンピオン制度」のようなものがあります。各部署に詳しい人を配置し、その人たちで横断的な活動を行うことで、物事を推進しやすくするのです。また社内でリテラシーの基準を設け、それに応じてルールを緩和していく。そうすることで現場のスピード感を上げていく、このようなアプローチもしていかないとですね。
AI時代におけるリスクと「人間力」への回帰
――生成AIの登場をどのように捉えていらっしゃいますか? その技術的なインパクトや、特に懸念されているリスクがあればお聞かせください。
鈴木: 生成AIなどの技術は、かつてインターネットが登場した時のゲームチェンジに似ています。現在爆発的に普及しているAIは、その裏の仕組みを完全に理解して使っている人はほとんどいません。私はセキュリティ側の人間なので、出力される内容の正しさ、いわゆるハルシネーションの問題や、入力する人のバイアスが結果に影響するといったさまざまなリスクを考えてしまいます。
長谷川: そうですね。AIが一生懸命回答しようとするあまり、事実ではない情報を生成して出力してくることがあります。結局はこちらで調べて「これは違うよね」と指摘することが必要になります。また、とある会社ではコードレビューの工数が逆に増えたという話がありました。ジュニアクラスの人が生成AIでコードを作った場合、そのコードはクリエイティブなものではなく、よくあるコードのコピーになりがちです。
鈴木: 使い方によっては効率化が進んだり、スピードが上がるのは間違いありません。何時間もかかっていた作業が、わずか数分で終わるわけですから。ただ、出てきたものに対してどう責任を取るのか。その問題をクリアするのが非常に難しいと感じています。
長谷川: 最近では「これをしてはダメだ」という禁止事項から、予防的な「ガードレール」を設けて周囲の仕組みで守るという考え方がもあります。
鈴木: 究極的には、全ての従業員がセキュリティを全く意識しない世界が最も理想的だと考えています。しかし、仕組みだけで守ることには限界があり、最後は「ヒューマンファイアウォール」と言われるように、個人のリテラシーで守るという考え方が必要になります。 AIが登場した今、以前よりも更にリスクは多様で複雑になりました。システムなどで出来ることはやった前提ですが、より一層人に対する教育や文化といった部分に取り組んでいく必要があると考えています。
長谷川: AIを使う以上、それを使う「人」も変わっていかないといけない、という結論に至るわけですね。
部門間の対立をなくす鍵:「同じ目標、同じ土台」
――情シスやセキュリティ部門も含め開発組織について、理想像をお聞かせください。
長谷川: ITが今やビジネスのコアになっているという認識に基づきますが「情シス・セキュリティ・開発」といった部門は、本来は同じ方向を向いているはずです。部門間の連携というよりは、実は皆が同じ目標に向かって同じ土台の上で活動しているのだ、という文化を醸成することが理想だと考えています。
鈴木: 組織である以上、全社で共有する大きな目的やビジョンがあるはずです。そこに立ち返れば、部門間で対立するはずはないのです。ですから、まずは各部門が自分たちの役割を明確にし、お互いにしっかりと理解し合うことが非常に重要だと考えています。まず「きちんと話をしましょう」という、そこから始めるべきなのだと思います。
長谷川: ほとんどの問題は、お互いに相手が普段何に困っていて、何をしているのかが分かっていない、というところに落ち着きます。
鈴木: 大企業では調整コストが非常に高いという話がありましたが、そうした社内の非常に手間のかかる調整作業を、文句も言わないAIが担ってくれないかと考えてしまいます(笑)人間がやると多大なストレスがかかる作業でも、AIなら淡々とこなしてくれる。
長谷川: それは面白いですね。そして、フラットな目線で「こうですよ」とハブとして情報を整理してくれると理想的ですね。ただし、AIに頼ることで、人々のコミュニケーション能力が低下する可能性も懸念されます。
鈴木: たしかに、AIを活用するスキルは上がっていくのでしょうが、これまで自分で考えていた部分をAIに任せることで、思考力も低下しないようにしたいですね。
――最後に、ご感想や、本日の気づきを一言ずついただけますでしょうか。
長谷川: 鈴木さんとお話しできてとてもよかったです。自分とは異なる視点の方と話すことで、考えが整理され、新しい発見がありました。特に私が普段関わらない大規模組織のお話は非常に興味深かったです。
鈴木: 私も長谷川さんとお話しできて、異業種・異分野の方と話す機会は貴重だと感じました。活躍されている方々は、技術スキルはもちろんですが、コミュニケーション能力が非常に高いと感じます。技術一本という方もいますが、やはりコミュニケーションは全ての基本であり、原点なのだと改めて思いました。
以上が長谷川さん、鈴木さんによるディスカションインタビューでした。
ありがとうございました!
(取材:伊藤秋廣(エーアイプロダクション) / 撮影:株式会社PalmTrees / 編集:TECH Street編集部)
