弊社はLLMの研究開発からDXソリューションの提供、プロダクト化までを一貫して手掛ける企業であり、私は情報セキュリティ全般を担当しています｡

弊社がLLMを研究し始めたのは2019年ですが、その頃より、エンタープライズのお客様に対してDXソリューションを提供してきました。最近はLLMの認知の高まりを受けて、今まで以上に幅広いお客様からお問い合わせをいただくことが増えましたが、引き続きエンタープライズのお客様も多くいらっしゃり、セキュリティ要件としても、エンタープライズ企業のお客様が求める水準を満たすことが求められます。

また、エンタープライズのお客様が求めるセキュリティ要件に対しては、直球的な対応だけでなく、要件の裏にある目的を汲み取り、多層防御や代替案を組み合わせた現実的なアプローチで応えることが多くなっています。

今までのキャリアにおいて大企業とスタートアップの両方を経験したことが、今の仕事に大きく活かされています。新卒では大企業の研究組織に入り、その後はスタートアップで初期メンバーのエンジニアとして働きました。

この経験のおかげで、エンタープライズ向け製品に求められる機能の必要性を肌で理解できています。例えば、SSO（シングルサインオン）やログ機能は、スタートアップの視点だけだと「少ないリソースを調整する観点で、本当にそこまで必要？」と疑問に思うかもしれませんが、大規模組織では管理コストを考えると必須の機能です。このように、大規模組織において求められるセキュリティ水準を理解し、その前提に立って設計・提案をすることで、エンタープライズのお客様と共通言語を持って対話できると感じています。

そうですね。大企業の基準を経験を以て理解していることもありますが、それに加えて、お客様との対話の重要性を理解しているのも、また重要な点だと考えています。また、前職ではソフトウェアエンジニアをやりながら、カスタマーサポートとしてお客様と直接お話しする機会が多かったんです。自分が作ったプロダクトを提供して、実際に使っている方々から直接ご意見をいただく中で、ユーザビリティの改善点や操作方法について貴重なフィードバックをいただきました。

そういった経験から、エンジニアの立場であっても、開発だけしていればいいというわけではなく、お客様との対話を欠かさず行い、またいただいたフィードバックは反映するなど、やれることは何でもやらないとプロダクト開発はうまくいかないということを学びました。この経験は、現在のエンタープライズ対応の姿勢にも繋がっていると感じています。

業界ごとに多種多様で一概には定まらないところがあります。ただ、確実に外せない要件は、法規制・業界ガイドラインです。これらに未対応である場合、商談自体が成立しなくなってしまうこともあります｡それ以外にも、社内規定によって方針が定められている企業もあります。

ただ、法規制・業界ガイドライン等は業界等によって全然違うんですね。例えば、金融業界であれば取り扱う顧客情報の機密性から一般に公開されているデータを主に扱う業界とは求められる基準が格段に上がります。

セキュリティチームだけでこの見極めをすることは困難です。各業界の専門知識を持っている人に手助けしてもらいながら見極めていくことが必要です。

弊社のセキュリティチームは私を含む2名体制ですが、だからこそフットワーク軽く関係者にヒアリングできる強みがあります。ビジネス側のメンバーと密に相談したり、お客様にヒアリングを実施したりして、多角的に情報を集めています。こうしたチーム連携により、より適切な判断ができますし、実装時にも明確な方針を持って進められます。

商談は基本的にビジネスメンバーが担当し、私はセキュリティシートでの回答や必要に応じたミーティング参加でサポートしています。セキュリティ関連の質問は私が回答しますが、業界特有の背景や顧客事情については、ビジネス側と密に連携して適切な判断を心がけています。

例えば、IPアドレス制限機能（特定のネットワークからのみアクセスを許可する機能）は、エンタープライズ向けによく求められる機能です。しかし、これが「絶対に必要」なのか「あったら嬉しい」程度なのかは、お客様によって異なります。

こうした判断は、セキュリティチーム単独では難しいため、お客様やビジネスメンバーと話して「お客様にとってどの程度重要ですか？」「代替手段でも問題ありませんか？」という風に情報を収集し、最終的に優先度を決めています。

要望通りの対応ができない場合は確かにありますが、重要なのは自分たちが提供できる方法で、お客様が求めている水準と同等のセキュリティレベルを実現できることを示すことです。そのプロセスを通じて合意を取ることを重視しています。

多くの場合、要件を掘り下げていくと「このデータを絶対に守りたい」「法的に満たさなければいけない基準がある」「社内規定でこうしなければいけない」といったインサイト（根本的な目的）が見えてきます。重要なことは、そうしたお客様の目的は通常、単一の対策だけで達成されているわけではないということです。

多層的な防御施策を組み合わせることで、確実に保護できる状態を作ります。「基本的な防御策に加えて、さらに複数の追加対策も実施しているので、総合的には求められている水準と同等のセキュリティを実現できています」ということを、お客様との対話の中で具体的に説明し、理解していただくことが重要です。

その通りです。多層防御は普段からの積み重ねが前提です。日頃から開発や運用における基礎的なセキュリティ対策を着実に積み重ねておき、「これなら同等レベルの保護ができている」と自信を持って説明できる状態を作っておくことが、代替案提示の基盤になります。

セキュリティ施策を本格導入する場合は、レビュープロセスを仕組み化することで自動でチェックされる体制を構築することを目指しています。これが開発スピードをできるだけ落とさないことに繋がると考えています。具体的には、開発者が特別な手順を意識することなく、通常の開発からデプロイまでの流れの中で自然とセキュリティ関連の施策やチェックが行われている状態を作ることです。例えば、CI/CD（※1）の中でセキュリティチェックを回しておくといったことをやっています。

はい、新しいセキュリティ施策を検討する際は、まず試験的に手動で実施して開発チームからフィードバックをもらいます。「こういうチェックを考えているんですが、どうでしょう？」という形で感想を聞いて、効果が確認できれば自動化を進めていきます。

その場合は、できる限り今までのフローに乗るような形で組み込みます。チェックポイントが一つ増える程度に留めて、既存のワークフローの延長線上で、標準的な手順に従えば運用が回るという形に落ち着かせます。

なぜこのアプローチを取るかというと、新しいツールやワークフローを追加することを極力避けたいからです。新しいツールを一つ導入するだけで、開発者が気にしなければいけない要素が格段に増えてしまいます。そうなると、忘れたりミスしたりすることが多くなるので、本当に意味があるものでない限り、既存の仕組みを拡張する方向で対応した方がいいと思います。

はい、私たちは「シフトレフト」という考え方を重視しています。開発の工程は要件定義から始まって設計、実装、テスト、運用という順序で流れていきますが、この工程のなるべく早い段階（設計段階や要件定義の段階）からセキュリティ施策を組み込んで、早期にセキュリティ上の問題や脆弱な箇所を見つけて、なるべく早い段階で直しましょうという考え方です。

弊社でも、設計段階からセキュリティチームによる設計レビュー等の施策を実施しています。これにより実装後に大きな修正が必要になるリスクを減らせています。

設計の早い段階からセキュリティチェックが済んでいることで、関係者の安心感は確実に向上していると思います。「後から大きな問題が発覚するリスクが減った」「安心して開発を進められるようになった」という声も社内から上がっています。開発チーム側にとって、途中で大幅な設計変更を求められる心配が減るので、集中して開発に取り組めるというメリットがあります。

その場合は、開発チームと一緒に「どういう実装方法なら現実的か」を検討するようにしています。私自身も同じプロジェクトの一員として、必要な施策を一緒に実現していく立場なので、対立するのではなく、協力して合理的な解決策を見つけることを重視しています。

こうした検討を通じてお互いの理解が深まります。開発者にとっては、施策の意味や目的をしっかり理解できるメリットがありますし、私にとっても、開発者から提案された複数の実装案を比較検討することで、より合理的な方法を見つけることができます。

お願いしていることが実装面でどれくらい大変で、どれだけチャレンジングなのかを肌感覚で理解できるのは、非常に重要だと思っています。 例えば、「これは1週間程度の作業量だな」とか「この実装は技術的に難易度が高そうだな」といった見積もりができるので、大変な案件ほど積極的に設計段階からフォローに入ったり、定期的に情報共有したりして、適切なタイミングでサポートできます。

プロダクト開発チームの毎日の定例会議に継続して参加して、コミュニケーションを取り続けています。セキュリティ関連で悩み事があればすぐに相談してもらえますし、ちょっとした疑問でも気軽に声をかけてもらえる関係を作っています。

正直なところ、私自身が開発の状況を知りたくて参加している面が大きいんですが（笑）、そういう日常的なコミュニケーションを通じて、いつでも気軽に相談できる関係を築くことを大切にしています。

厳しくなる要件に後追いで対応するという発想よりも、常に変化し続ける要件に合わせて自分たちも変化していく姿勢の方が重要だと思います。 変化は必ずしも「厳しくなる」だけではありません。自分たちの事業も進化していて、攻める市場やターゲット顧客が変われば、求められるセキュリティ対策も変わります。そうした事業の変化に合わせて、セキュリティ対応も柔軟に調整していく必要があります。

技術革新は、市場構造を根本から変え、求められるセキュリティ要件も大きく変化させます。LLMの登場が良い例ですね。市場が大きく変わり、従来とは全く異なるセキュリティ要件が生まれました。こうした技術革新に対して、いち早く市場や要件の変化を捉えて対応できる組織の方が競争力を維持できると思います。

こうした流れについていけない事業者も多いので、急激な変化への「対応力」こそが長期的な勝ち筋になると考えています。

最も重要なのは顧客理解です。どんなお客様を相手にしているのか、どんなセキュリティレベルを求めているのか、どの業界の方なのか。ドメイン知識がないと適切なセキュリティ対応はできません。

情報収集の手段は、チームメンバーへの聞き取り、セキュリティシート、商談参加など様々ありますが、重要なのは「お客様が何を求めているのか」「自分たちに何ができるのか」「ギャップをどう埋めるか」の解像度を上げることです。

限られたリソースでも、エンジニア経験を活かして開発現場を理解し、顧客要件の本質を捉えることで、効果的なセキュリティ対応は実現できます。自動化と既存フローの活用、多層防御による目的達成、そして変化への適応力を組み合わせることで、持続可能なエンタープライズ対応が可能になると思います。