金融犯罪と戦う最前線へ。SMBCグループに集結したサイバーセキュリティのプロフェッショナルたち

武笠2020年7月に入行しました。前職の通信キャリアでは、2014年頃からサイバーセキュリティ領域に携わり、規定の作成やセキュリティの監査、脆弱性診断などを経て、2016年頃からセキュリティオペレーションに関わるプロジェクトリーダーを務めました。

2018年頃、フィッシング詐欺が日本でも急増しました。最初はウェブサービス系企業が狙われ、やがて銀行が標的となり、不正送金で大きな被害が出るようになりました。被害者へのサポート体制も整わない現状を変えたい。お金の影響を直接受ける銀行であれば自身の能力を更に発揮し、様々な事業領域との連携によって被害抑止を促進していけると考え、働きたいと決意しました。

武笠はい。それ以前にも、サイバーセキュリティの情報を対外的に発信していたのですが、三井住友銀行でも私の発信を参考にしていたそうなのです。当時は転職者が少なく、中途入行の先駆けだったと思います。

阿部僕が入行したのは、2023年9月です。その前はSIerで脆弱性診断に携わった後、2016年夏から、SOC（Security Operation Center）（※1）のアナリストとして仕事をしました。

※1 サイバー攻撃の検知や分析を行い、対策を講じる専門組織のこと

中村私はコミュニケーションアプリの黎明期に、セキュリティチームに所属していました。会社が大きくなるにつれ、アカウントの乗っ取りやフィッシング詐欺被害が深刻化していたのです。

フィッシング詐欺自体は以前から存在しています。ただ、根本的な解決が難しいとされる風潮があり、具体的なアクションはあまり議論されず、分が悪い仕事と思われていたんです。

それでも被害を少しでも減らしたいと考える人たちが、会社は違っても自然とつながり、情報交換をするようになりました。そうして、自然と4人がつながり、成果を上げていくことができたんです。

前職の企業合併を機に転職を決め、今までの知見を活かして、もっと世の中に貢献できる仕事は何かと思っていたときに、武笠さんと阿部さんの顔が浮かび、昨年夏に入行しました。

大角私は2026年2月に入行したばかりです。キャリアの始まりは大手インターネットサービスプロバイダー（以下、ISP）で、ネットワークエンジニアをしていました。セキュリティの仕事に魅力を感じて転職し、脆弱性診断や、お客さまの許可を得た上でサーバーを疑似攻撃して、報告書をまとめる「ペネトレーションテスト」をする仕事を2年半ほど経験。その後、総合インターネットサービス企業に転職し、CSIRTとして活動しました。

当時の所属組織でもフィッシング詐欺の被害が発生し、クレジットカード情報の流出や、被災地への募金を装ったフィッシングサイトの出現を経験しました。そうした被害に対し、ISP時代の経験から、フィッシングサイトを立てていたホスティングに直接連絡するなど対処を重ねていきました。

「怪しいメールに気をつけましょう」という啓発に限界を感じ、「公式アプリをスマホに入れて、よく分からない情報がきたらそこから確認してほしい」というやり方に変えたのもこの時期です。こうした経験を積むうちに、犯罪者の行動や攻撃手法を捉え、対策につなげる「脅威インテリジェンス」（※3）の分野にも取り組むようになりました。

※3 サイバー攻撃に関する情報を収集・加工・分析し、組織の防御や意思決定に役立てる仕組みのこと

武笠はい。全員が別の会社にいた頃から、抱えている課題は同じでした。何かあったら「君のところのサービス、こんなのが出ているぞ」「動きがいつもと違うぞ」と夜中まで情報交換していた仲間が、今一つに集まった形です。

阿部面白いですよね。僕がフィッシングなどの発信をしている中で、同時期に同じような発信をしている人がいるなぁと思ったら、それが武笠さんで、今一緒に働いているわけですから。

セキュリティの分野では、発信した人に情報が集まってきます。みんな各自で発信をして信頼を築いていき、カンファレンスやイベントで初めて顔を合わせ、実際の氏名や所属を明かす。2018年頃から、そんな関係性が続いていました。

武笠金融全体で被害を減らしたいという思いがある以上、影響力の大きな金融機関で、という判断は必然でした。

私が入行する以前は、システム部門の行員がセキュリティも担っていて、相当苦労されていました。その方たちが「武笠さんの発信を見ながら、一緒に戦っているという気持ちになりました」と仰ってくださって。それが嬉しくて、SMBCグループに惹かれていきました。

SMBCグループは比較的自由度の高い会社だと感じます。課題に直面した時、動ける人間が自然と集まっていく。逆に言うと、自分の役割に縛られず、能力や知識の範囲で活動していけるのが他行との違いかもしれません。

とはいえ入行当初は「自由な人間が銀行で働けるのか？」「閉鎖的な雰囲気かもしれないし、やめた方がいい」と、外から心配されることも多かったです。それでも変えていかないと組織はよくならないと思い、協力者を得ながら少しずつ風穴を開けていきました。ようやく今になって、こういうメンバーたちが集まるような会社になったのかなと思っています。

阿部武笠さんが風穴を開けてくれて、セキュリティ業界では色々な意味で（笑）それなりに名が知られていた僕が入行したことで、界隈では多くの方から色々とコメントをいただきました。

阿部はい。会社の規定に従いつつ、セキュリティの重要な情報はタイムリーに発信を続けています。インターンや若手向けの活動もしていて、「もっとお堅い人が来るのかと思いました」と言われるほど。いい意味で銀行のイメージを変えられているのかもしれません。

さらに、金融業界の集まりやコミュニティで、知見や情報を共有する場を設けています。「内」を変えるだけではなく「外」との繋がりも持たないと、サイバー攻撃にリアルタイムで対応できませんから。それで、活動が徐々に評価されるようになり、中村さん、大角さんも加わってより強固な体制になっていきました。

武笠自組織に閉じないことは意識しています。地方銀行や公共的組織といった「セキュリティの組織はあるけど外とのコミュニケーションが取りにくい」という方々への情報や知見の共有も積極的に行っています。オープンスタンスな文化が業界全体に広がり、金融全体が強くなっていくといいですよね。

大角犯罪者側がアンダーグラウンドコミュニティでどんな会話をしているかモニタリングしていますが、情報共有が活発で優れている世界です。犯罪者同士がツールを教えあい、グループや国の垣根なく情報を共有し合っている。守る側が組織ごとに個別に動いていたら勝てるわけがない。だからこそ垣根を越えてタッグを組まないといけないと思います。

中村サイバーセキュリティの分野は少し特殊です。普通のビジネスはライバルとパイを取り合いますが、サイバーセキュリティは、「悪いやつ」との戦い。被害を受けている会社も個人も、ライバルではありません。攻撃者の情報を分析して対応策を考えることは、皆でシェアした方が強い。共助の関係にあるわけです。「セキュリティは重要情報だから他社と話すな」と閉じてしまう組織もありますが、私たちは逆。外の人と協力していこうというのが基本スタンスです。

阿部会社の機密情報はお互い言いませんが、追いかけている情報の中で連携できることは連携してきた。共助の感覚をずっと持ち続けているメンバーです。

大角入行して驚いたのは、個人の裁量に大きく任せられているところです。示された目標を達成していくというシンプルなマネジメントであって手法については口酸っぱく言われない。キャリアを積んできた人間にとってとても仕事がしやすく、現状を変えていくには良い環境に思えています。

他の部署の方々が気軽に質問をしてくれて、答えると感謝される。役に立っている実感があります。ウェブサービスを中心に活動してきた私にとって、銀行は業務範囲が広く、モチベーションや、やり方次第でいろいろできると感じています。

武笠4人で改めて、共通の価値観は何かと考えた時、金融におけるサイバー犯罪を減らしたいという思いが大前提にありますが、究極的には世界平和を目指しています。

大角世界平和ですと真顔で言える人でありたいですね。

武笠インターネットにおける安全性を維持したい、本当に平和な環境を作りたいという思いで、全員が長年セキュリティをやってきています。自組織や自分の評価のためだけではありません。

フィッシング詐欺の被害に遭うと、情報が流出したり、お金が奪われたり、本当に人生が変わってしまう。その人たちを救う手立てはなかったのか、常に考えています。現状を変えるために、正しい情報を発信して日本全体を、インターネットをより安心・安全にしていこうという意識を持っている方と働きたいです。

そういう方は高い問題意識をもって一つのことを突き詰めて行動している。直面する課題とそれに対する行動をしっかり話せる人なら、違和感なく働けると思います。

中村メガバンクで働くことを躊躇される方もいると思います。でも、私たちのように金融業以外の領域で働いてきた人間でも、役に立てる知識や経験はたくさんある。

生成AIの登場でビジネスモデルが変わりつつある今、IT専業ではないけれど、ITの力を必要としているところにチャレンジしてみるのも面白いと思います。