NTTテクノクロスの技術力を支える高度専門人材とは。個人のキャリア形成を支援する人事制度の裏側?~国際標準化の舞台で活躍するテックリード土屋直子のキャリア形成秘話~
NTTテクノクロスでは、高度な専門性を持ち、社会やお客さまの解決困難な課題に対し、適切な技術・方法・プロセスで主体的に課題解決へと導くことができる高度専門人材が活躍しています。
高度専門人材の制度は、専門性の向上・発揮による事業貢献に加え、高度な専門性を志向する社員のモチベーション向上を狙いに導入しました。
情報セキュリティのエキスパートである土屋直子は、ISMS(情報セキュリティマネジメントシステム)クラウドセキュリティ認証取得のコンサルティング業務を担当する傍ら、ISO/IEC 27000シリーズ(ISMS関連規格)国際標準化の舞台で活躍しています。2023年4月に高度専門人材に任命され、高度専門人材の中でも、『極めて高度な技術力の発揮を通じて、お客様が抱える潜在的な課題を多方面から分析し、根本解決に向けた仕組み作りをリードする人材』である「テックリード」を担います。
なぜ、高度専門人材の道を歩むことになったのか?これまでのキャリアや標準化活動との出会い、現在の目標について、土屋直子が語ります。
学生時代から目指してきた国際関係の仕事に携わりたいという強い思い
私は、大学時代に国際社会学を専攻しアメリカのマイノリティの差別や不平等などについて勉強していました。漠然とですが、社会の弱い立場にある人々の役に立つ仕事をしていきたいと考えていました。NTTソフトウェア(現NTTテクノクロス)に入社したのも、最先端の技術で社会を豊かにするというミッションに共感したのがきっかけです。
NTTソフトウェアに入社してからはセキュリティアプリケーション(シングルサインオン認証システム「CSLGuard\コンソールガード」)の開発プロジェクトに携わりました。開発プロジェクトへの配属となりましたが、いつか国際関係の仕事に携わりたいという思いは消えず、学生時代から好きだった英語の勉強は欠かすことなく続けていました。
その後、PKI(公開鍵暗号基盤)のシステム評価やISMSをベースとしたセキュリティポリシーの作成など、ISMS関連やセキュリティマネジメントのコンサルティングに従事し、2014年ごろからはクラウドセキュリティのコンサルティングを中心に行っています。
自ら飛び込んだ国際標準化との出会い
いつか国際関係の仕事に携わりたいと人知れず勉強をしていた中、チャンスが巡ってきました。
経済産業省のクラウド情報セキュリティ管理基準の改訂プロジェクトへの参加です。この管理基準を、新たに策定されたISO/IEC 27017(クラウドセキュリティガイドライン)に準拠するための改訂プロジェクトのメンバーとして、国際規格の英文和訳を担当しました。この和訳の正確性や緻密さが、このプロジェクトの中心的な役割を担ったISO委員や、他のISO/IEC 27000シリーズのISO委員の目にもとまり、国際標準化との出会いのきっかけとなりました。プロジェクト終了後、ISO/IEC 27017の正式なJIS化(ISO規格を正式に和訳し、日本産業規格として策定する活動)が始まることを聞いた時、これまで自ら磨いてきた英語力と、社内の業務を通して培ってきたセキュリティの知識を活かせるという、自分自身の可能性のようなものを感じ、「JIS化に携わりたいな」と思いたちました。
当時、国際規格であるISO/IEC 27000シリーズの日本版規格を作成する日本規格協会(JSA)のJIS原案作成委員会の委員は、ISO委員が多く兼任していました。JIS化に携わりたいと意を決して、クラウド情報セキュリティ管理基準改訂プロジェクトの中心的な役割を担ったISO委員にメールを送りました。自らチャレンジしようと思い立ちましたが、とても勇気が必要で、悩みに悩んで送信ボタンを押した時のことは、今でもはっきりと覚えています。2015年にJIS委員会に参加し、JIS委員会ではこれまで積み重ねてきた英語力やセキュリティに関する知識を発揮できたこともあり、2016年にISO/IEC 27000シリーズのISO委員になることができました。
初めての国際会議での衝撃、国際標準化の仕事の醍醐味を味わう!
ISO委員としての活動は、国内委員会への参加からスタートしました。徐々に、国際会議にコメントを提出するようになり、『土屋さんのコメントは国際会議で有効だったよ』などと国際会議に行った委員から言ってもらうことも増え、『自分も国際会議に行ってみたいな』と思うようになりました。
念願が叶い、2017年には初めてニュージーランドでの国際会議に参加しました。その会議では、ISO/IEC 27002(情報セキュリティガイドライン)改訂の目次構成をめぐって意見が真っ二つに分かれた様子を目のあたりにしました。最終候補に残った2つの案それぞれの支持者間で激しい議論が交わされ、実施された決選投票での得票数もまったくの同数になり、決着は次回の国際会議へ持ち越されました。国際会議では、各国が自国の案を持ち込み、より多くのコメントが採用されるように英語で説明します。いかに論理的で説得力のある説明が大事か、国際会議の大変なところであり、非常にやりがいのあるところだと感じました。
国際標準化活動による経験を強みとしたクラウドセキュリティ認証のコンサルティング
もう一つの本業として、ISMS認証(ISO/IEC 27001)取得支援や情報セキュリティマネジメントのコンサルタントとしても活動しています。近年、主に担当しているのはISMSクラウドセキュリティ認証(ISO/IEC 27017)の取得支援です。
ISMSクラウドセキュリティ認証は、クラウドサービスを提供している事業者およびクラウドサービスを利用している組織を対象に、ISO/IEC 27017で規定されたクラウド分野のセキュリティ対策の要件をしっかり満たしているかどうかを審査して認証するものです。
本認証を取得するためには、クラウドセキュリティに関するリスク評価、従業員研修、内部監査などを実施する必要がありますが、企業自身で規格を理解し実施することが難しい場合は、コンサルタントに依頼いただくことも多いです。国際標準化の知見を強みとして、規格の専門知識とこれまでのコンサル経験により、保つべきセキュリティレベルとお客様にとってのコストや運用負担のバランスを取って、最善な提案を心がけています。
ユーザーにとって本当に役に立つ規格を!海外の専門家からも、頼られる国際エキスパートへ!
私自身が、標準化活動やコンサルティング業務において心がけていることは、「その提案が、利用者や顧客にとって本当に役立つものなのか」ということです。自分自身がコンサルタントとして長年直接聞いてきたユーザー企業の声を規格に反映し、一般ユーザーにも分かりやすいISO/IEC 27000シリーズの実現に貢献していきたいと考えています。その取り組みの一環として、共著で執筆した「ISO/IEC 27001情報セキュリティマネジメントシステム(ISMS)規格要求事項の徹底解説【第2版】」が株式会社日科技連出版社より発売されました。規格本文を読むだけではわかりにくい要求事項や管理策をわかりやすく解説し、具体的に何をすればよいかがわかるようになっているので、多くの方のお役に立てると嬉しいです。
そして、国際会議の場でいなくてはならない存在として、海外の専門家からも頼られる国際エキスパートとなっていきたいです。
プロフィール
土屋 直子(ツチヤ ナオコ)
高度専門人材 / テックリード / 情報処理安全確保支援士、ISMS審査員、ISMS-CLS審査員、公認情報セキュリティ監査人、NTTグループセキュリティプリンシパル
1998年NTTソフトウェア(現NTTテクノクロス)に入社、セキュリティアプリケーションソフトウェア開発に従事し、その後、ISMS・ISO/IEC27017などのコンサルティング業務に携わる。
2014年からは経済産業省のクラウド情報セキュリティ管理基準の策定プロジェクトへ参加し、2015年にISO/IEC27017のJIS化に従事、2016年よりISO/IEC 27000シリーズのISO委員となり、国際舞台で活躍している。
SC27WG1小委員会国内委員。クラウドセキュリティ規格JIS化委員会委員。情報セキュリティマネジメントシステムJIS化委員会委員。
情報処理学会 情報規格調査会 2023年度標準化貢献賞受賞。
著書
(共著)「ISO/IEC 27001情報セキュリティマネジメントシステム(ISMS)規格要求事項の徹底解説【第2版】」(株式会社日科技連出版社)
(共著)「ISO/IEC27017:2015(JIS Q 27017:2016)ISO/IEC27002に基づくクラウドサービスのための情報セキュリティ管理策の実践の規範解説と活用ガイド」(日本規格協会)
※プロフィールは、本記事の執筆時点の内容です。
商品サービス情報
ISO/IEC 27017 ISMSクラウドセキュリティ認証取得コンサルティング
NTTテクノクロスの高度専門人材や社内施策の紹介をしています。
行動者ストーリー詳細へ
PR TIMES STORYトップへ