みずほFG CISO寺井氏：文系出身エンジニアからメガバンクのトップへ、セキュリティ強化への道のり

「セキュリティは特別なチームで挑むものではない。会社全体に染み渡っていなければ、意味がない」――そう語るのは、みずほフィナンシャルグループで常務執行役員兼CISOを務める寺井理氏だ。文系出身エンジニアとしてスタートし、ロンドン赴任、システム会社での修業を経て、メガバンクのセキュリティを統括する立場へ。国内金融機関でいち早く「常務クラスのCISO」を設置したみずほフィナンシャルグループで、寺井氏は何を変え、何を目指しているのか。

寺井 理（TERAI Osamu）

――みずほフィナンシャルグループ 常務執行役員 グループCISO

Photo by 山田井ユウキ

1993年、日本興業銀行のシステム子会社に入社。資金フロントシステムなどの開発を経て、ロンドン拠点でユーロ導入プロジェクト・Y2K対応をリード。その後、ITサービス会社への転職、みずほ証券でのグループ復帰を経て、2020年4月にみずほフィナンシャルグループのサイバーセキュリティ部門の部長に就任。2022年度からのセキュリティ対策強化プログラムを主導し、現職に至る。

外国語専攻から、メガバンクのCISOへ

――まず、これまでのご経歴を教えてください。意外なことに、大学時代は理系ではなく、文系のご専攻だったそうですね。

寺井氏： 大学時代は、外国語大学語学を専攻していました。ITとは縁遠い専攻でしたが、当時のシステム担当者には文系出身者も多かったので、それほど珍しいわけではありません。

社会人のスタートは、日本興業銀行（富士銀行、第一勧業銀行とともに、みずほフィナンシャルグループの前身となった銀行）のシステム子会社です。市場系のシステム、資金フロントシステムの担当として経験を積み、1998年に銀行本体に出向しました。その後、ロンドン拠点へ赴任します。

――ロンドンではどんなことをしていたのですか。

寺井氏： ロンドン支店のIT部署でアプリケーション開発チームに所属し、支店でのシステム開発やパッケージの導入などが主な仕事でした。1999年のユーロ導入プロジェクト、そして2000年問題（Y2K）も対応しました。チームメンバーはほとんどがイギリス人やその他の海外の方々で、英語も現地で鍛えられましたね（笑）。

本店側のシステムも一部導入されていましたが、ロンドン現地のシステムも多く、インフラ開発から運用まで幅広くやりました。

顧客のためにならない仕事はしない - ITサービス会社で学んだ流儀

――この時期に一度グループを離れ、コンサルティング・開発・運用を担うITサービス会社に転職したそうですね。銀行のシステム会社とは違いがありましたか。

寺井氏： 開発・運用業務が「ビジネス」として動いているという点は大きな違いでした。当然ですが、お客さまからの依頼に対して、作るだけでなく、採算を考え、納期に間に合わせないといけません。

銀行の中にいると、開発も安全に完遂することを重視してしまい、間に合わなそうなら「来期の完成に向けて調整」となりやすいですね。でもビジネスとして開発を請け負うとなると、締め切りは締め切りです。その緊張感は全然違いました。

Photo by 山田井ユウキ

――当時の印象深い出来事があれば教えてください。

寺井氏： 上司が面白い人で、お客さまのためにならないことはお客さまからの依頼であってもやらない、逆に、お客さまのためになることは、多少無理をしてでもやるような方針でした。組織として売上目標がある中で、お金を積まれても仕事を断る姿に信念の強さを感じました。

よく覚えているのは、お客さまが外部委託していたサービスデスクの見直しプロジェクトですね。お客さまの社内説明を通しやすくするため、外部委託業者に支払っていた予算はそのままでサービスデスク業務を効率化するという提案をしたのです。お客さまと委託先企業との間に私たちが入るかたちに契約を結び直したうえで、運営業務を見直し、コストカットできたらそれが私たちの収益になるようなプロジェクトでした。そのため、スタート時は完全に利益が約束されていない状況でした。

当時、その上司が「このプロジェクトは利益ゼロで受注する」と宣言したのは、今でも忘れられない鮮烈な体験です。その後、サービスデスク業務の生産性を上げることでコストを削減し、結果的に長期的な利益を生み出しました。この経験が、お客さまへ価値を提供できてこそ対価をいただける、という提供側の原則を自分の中に定着させる契機になりました。

前例なきクラウド導入を推進 - ガバナンスを固め過ぎた反省も

――再度転職して、みずほグループ（みずほ証券）に復帰しますが、どういう経緯だったのでしょう。

寺井氏： ITサービス会社で感じたのが、大きな組織における「縦割り」の難しさです。本部間の調整が増えてきたタイミングで、転職を意識し始めました。

当時、ロンドン時代の上司がみずほ証券のITの責任者をしていて、声をかけてもらいました。実はITサービス会社に転職したのも、ロンドン時代の別の上司がきっかけでした。ロンドン時代のつながりが随所で私のキャリアに影響しています。

みずほ証券ではIT基盤部門の部長として7～8年を過ごし、2018年にはグループ全体のパブリッククラウド（AWS）本格導入プロジェクトにも携わりました。当時はクラウドを安全に使うためのガバナンス設計から始め、クラウドCoE（Center of Excellence）を立ち上げてルール整備を進めました。

クラウド利用に関しては、今振り返ると、少し厳しく縛り過ぎたかもしれません。インスタンスの払い出しにも申請を必須とする中央集権型運用にしたので、クラウド本来の俊敏性を損なっていました。銀行業務とパブリッククラウドの特徴、グループ内での知見の少なさを考えると当時としては適切な判断でしたが、その後の環境の変化にあわせて徐々に利用者側に権限を渡すように変更していく余地はあったと反省しています。

「緊急事態」を宣言し、セキュリティ体制を増強

――2020年にセキュリティ部門の部長に就任されます。セキュリティ担当への転身で苦労はなかったですか。

寺井氏： 全く違う分野だと感じたことはないですね。セキュリティの話はインフラの話と地続きなんです。みずほ証券のIT基盤部長だった頃も、セキュリティチームとよく連携していました。技術理解の土台があったぶん、入りやすかったと思います。

Photo by 山田井ユウキ

――セキュリティ責任者就任後に苦労したことはありましたか。

寺井氏： コロナ禍以前は他社のセキュリティ担当者と定期的に顔を合わせ、情報交換していたそうですが、私が着任したときはその流れがほぼ止まっていました。脅威や同業他社の動向も把握しないまま、従来のオペレーションだけをこなしている状態になっていました。

これは非常にまずいと感じました。セキュリティ脅威は常に変化しているので、同じことをやり続けていたら必ず置いていかれます。攻撃者は弱い会社、弱いシステムを優先して狙ってきますので、早急な対応が必要でした。

――その危機感を経営陣にどう伝えたのですか。

寺井氏： 当時、みずほフィナンシャルグループはシステム障害への対応で大変な時期でした。社会的信頼の回復に全力を投じる状況でしたが、「システム障害対応だけでなくセキュリティ対策の強化も必要です」と経営陣に訴えました。

そうした環境の後押しもあり、2022～2023年度で「サイバーセキュリティ対策強化プログラム」と銘打ち、予算も人も投入し、セキュリティチームの体制はほぼ2倍にまで増強しました。

――2年間の強化プログラムでしたが、その後も施策を継続しているのでしょうか。

寺井氏： やはり緊急体制が解除されると、組織は通常モードに戻ってしまいがちです。気が付くと、現場のスピードが落ちていました。

IT部門に対応を依頼しても「今は忙しいので…」と言われることもあり、セキュリティ部門自身も「やれることをやれるスピードでやる」という雰囲気に戻りつつありました。

状況を変えるべく、CIOとも連携し、改めて3年計画を立て直しました。グローバルのセキュリティフレームワークに基づいてKPIを設定し、「3年後にここまで達成する」という目標を経営陣とも共有できる形にしています。

セキュリティの目標は売り上げのような定量化が難しいですが、「コントロール適用率」などの指標を使って見える化するよう工夫しています。