半導体業界のセキュリティの強化は、社会のライフライン確保に貢献する――東京エレクトロン

目次/Index

• 成長性の高い半導体業界でセキュリティを「攻め」の材料に
• 現代社会のライフラインである半導体のセキュリティに貢献したい
• 製造業以外のセキュリティ経験者も多数、多様な専門性が集結
• 組織の拡大に伴い海外赴任の機会も増加中
• 多様なステークホルダーとのコミュニケーション・議論が必要な仕事

――生成AIの世界的な広がりもあり、半導体業界が注目されています。業界の現状と、情報セキュリティの必要性について教えていただけますか。

現在の半導体業界は、非常に成長性の高い市場であると私たちは捉えています。数年後にはさらなる市場拡大が見込まれており、当社でも業務が拡大するだろうと考えています。

半導体産業は、当社のような製造装置メーカーだけでなく、半導体そのものをつくるメーカーや素材を供給するサプライヤーなど、広範なサプライチェーンで構成されています。このサプライチェーン全体のセキュリティ確保が現在の重要な課題となっており、そこに向けた取り組みを当社がリーダーシップを取って推進すべく注力している状況です。市場の成長に伴いサイバー攻撃にさらされる機会も増えていく中で、情報セキュリティ部門の存在価値がいま以上に増していくと感じています。

――2027年までに情報セキュリティ組織を強化されるとうかがっています。どのような背景から、その必要性を認識されるようになったのでしょうか。

私は2023年3月に入社しました。セキュリティ強化の重要性は、以前から経営層レベルで認識されおり、私が入社した後は、より具体的にロードマップを描き、社内で推進を加速しています。

現在の情報セキュリティ部門の人数規模で、当社のビジネス規模を支えていくのは難しく、さらなる体制強化が必要であると考えております。

自社に対して行ったリスク分析の結果からも、人員増強によるセキュリティ強化が必要なことは明確であり、増員する必要性を認識しています。そのため、優秀なセキュリティ人材の確保を急務として、積極的な採用活動を進めている状況です。

内部リソースの強化が実現すれば、業界トップレベルのセキュリティ体制が実現できると考えています。それをしっかり顧客や市場に示し会社全体の信頼を向上させることで、製品選定していただく上での差別化要因にできることを想定しています。セキュリティを「守り」だけでなく「攻め」の材料とするために、強化を図ろうとしているところです。

――萩尾様はIT業界から転職されたとうかがいました。ITと製造業でのセキュリティは、どのように違うのでしょうか。

最も違うのは、製造業には「工場」を対象とするセキュリティの仕事があることです。サプライチェーンには海外の工場や、国内の小規模な調達先まで幅広いプレイヤーが含まれ、セキュリティレベルもさまざまです。物理的なセキュリティまで含めてサプライチェーン全体を見られる人は、世の中に多くありません。幸いにも私にはその経験があったので、ぜひトライしたいと思いました。

――ご入社からの1年半でどのようなことに力を入れて取り組んでこられましたか。

最初の半年間は、経営層のセキュリティに対する期待と、実際のセキュリティ強化の方向性についてすり合わせをおこないました。最終的に「民間企業のトップレベルのセキュリティを目指す」と言う方針で目線を合わせることができました。

その後の1年間は、施策をしっかりと現場に定着させるため、国内外のグループ会社に足を運びました。海外はイギリス、アイルランド、韓国、台湾、シンガポール、アメリカなど、5つのリージョンで拠点は8カ所あり、現状1カ所を除いてはすべて訪問済みです。加えて国内の3工場も回りました。

製造業の経験もあるとはいえ、半導体製造装置の業界は私にとって初めての分野でしたので、製造装置やウェーハなどをどのように取り扱っているのか、現場の人の動きも含め実態把握に努めました。

訪問先では工場だけでなくセールス部門などとも話をし、現場の業務やビジネスへの理解を深め、それを新たな施策に反映させています。

現場を見て気づいたのは、セキュリティの強みと弱みが拠点ごとに異なることでした。拠点ごとにビジネスがある程度成立し、セキュリティの対策も地域ごとに考えて実施してきた結果、グループ全体としてのガバナンスの観点ではまだ弱い部分があったと見ています。

ただ、どの拠点にも共通して弱い領域があるのではなく、強みと弱みがバラバラなので、今後は各拠点の強みの部分をベストプラクティスとしてほか拠点へ展開してければ、グループ全体としてセキュリティレベルを高められると考え、取り組んでいるところです。

――セキュリティ部門にはどのような専門性をおもちの方がいるのでしょうか。

本社の情報セキュリティ部のうち、9割近くが中途入社です。

一方、グループ会社は、過去5年間に中途で入社した人と、以前からグループで勤務してきた人が半々くらいの構成です。

中途入社された方のバックグラウンドは多様で、製造業経験者だけでなく、金融機関やコンサルティング会社での経験者もいて多種多様です。

ポジションは大きく3つの領域があり、脆弱性対応やSOC運営などのサイバーセキュリティ、セキュリティのルールを策定してそれを定着させていくセキュリティマネジメント、FirewallやエンドポイントセキュリティなどのITプラットフォーム構築という仕事があり、それぞれにバックグラウンドがフィットした人にご入社いただいています。

各領域に応じて、SoCでの実務経験者やISMS・ポリシー策定の経験者、私のようなITとセキュリティの両方の経験をもつ方など、それぞれの専門性にマッチした方を採用しています。年齢層も幅広く、若手からベテランまで活躍しています。

――貴社で情報セキュリティに携わる魅力、キャリアにおける意義はどのようなところにあるとお考えですか。

当社の情報セキュリティ部は2019年にできた新しい組織です。前任の部長が採用も含めて基本的な体制を整えてきた後、私が部長を引き継いでいます。現在は当社の規模にふさわしいセキュリティを構築することで、企業価値向上につなげることを目標とした新たな戦略を立てている段階です。

予算もしっかりと確保されており、やるべき仕事が多くある中で、これから入社してくださる方それぞれのキャリアプランに沿った仕事は間違いなくあります。そのため、セキュリティ分野でのキャリア形成を目指す方にとってふさわしい会社だと考えています。

また個人的な観点では、セキュリティ部門とIT部門の現場の人とのコミュニケーションがしっかりとれる会社であることが、魅力だと思います。

会社によっては、「セキュリティが生産性やITの利便性を阻害する」ということで敬遠されることもありますが、当社では両部門が膝を突き合わせて議論し、「ビジネス上、優先順位が高いこと」と「セキュリティとして押さえてほしいこと」をしっかり議論し、お互いに腹落ちした上で次のアクションに移る文化が根付いていると感じます。

時間と労力はかかりますが、納得感のある仕事ができる環境こそが、私が実感している魅力であり、アピールしたい部分です。

――グローバルでのガバナンスは難しいテーマだと思います。どのような点に気を付けていますか。

私が拠点を訪問する際は、まず拠点のトップと対話し、セキュリティに対する期待や懸念を必ず聞くよう心掛けています。その上で、トップの認識と現場のセキュリティ部門との間にあるギャップを把握し、必要な改善策を提案しています。その際、セキュリティ強化が現場の業務改善や評価向上にもつながるよう心掛けて説明するようにしています。

また、実際に現地を訪問することで初めて見えてくる課題もあります。例えば、最近訪問したヨーロッパの拠点で話を聞き、国ごとに異なる法規制への対応が必要なことを実感しました。これらの知見をもとに、地域の特性に合わせたセキュリティのアーキテクチャを構築する必要があります。

このため、現地訪問だけでなくオンライン会議を通じて、定期的に現場の声を聞き、密なコミュニケーションを維持することを最も重視しています。

――グローバルにビジネスを展開されている貴社で、海外でのキャリアを積む機会としてどのようなものがありますか。

大きく3つあります。1つ目は、アメリカの支社に赴任するケースです。情報セキュリティ部以外に、アメリカの支社に7名のメンバーが在籍しています。日米間の時差を活用して24時間体制の構築を進めており、さらなる人員強化を予定しているため、アメリカに赴任するというオプションは今後も増えていくと思います。

2つ目は、グループ会社へ赴任するケースです。グループ会社は各社が独自にセキュリティ人材を採用している状況ですが、本社とグループ会社間の連携を強化するため、各地域にリエゾン担当者を1名ずつ配置する計画です。3年程度のローテーション制で、一部ではすでに赴任が始まっています。

3つ目は、海外のセキュリティオペレーション拠点への赴任です。セキュリティ強化に向けた内製化を進めるに当たり、日本国内だけで人を増やすのは難しい部分があり、将来的には、海外のセキュリティオペレーション拠点設立も必要になると思っています。

――英語力はどの程度のレベルが求められるのでしょうか。

社内のコミュニケーションは基本的に日本語ですが、海外との定例会議や赴任者、出張者とのやり取りなど、英語を使用する機会も多くあります。そのため、英語でセキュリティのキャリアを積んでいきたい方にもおすすめできる環境だと思います。

英語に自信がない方でも、セキュリティの専門知識があれば、それを生かせるポジションからキャリアをスタートできます。現場レベルでは、英語よりもセキュリティのスキルの方が重要で、リーダークラスまでは英語力はそれほど求めていません。海外と仕事をするなど機会は提供しますので、それを活用しながら英語力を高めることが可能です。

ただし、マネジャーになると英語でのコミュニケーションが増えるため、一定レベルの英語力は必要になります。

――多様なバックグラウンドをおもちの方がおられるとのことですが、活躍されている方に共通することはありますか。

活躍する可能性が高い人の傾向として、コミュニケーション能力が高いことが挙げられます。先ほどお話ししたとおり、会社でのコミュニケーションの機会が非常に多くあります。

私たちはサプライチェーン全体に関わるセキュリティ課題に取り組んでおり、製造、販売、サポートなど各部門と密接に連携しています。また、セキュリティルールの策定には法制度の理解が不可欠なため、法務やコンプライアンス部門とも密に連携を取る必要があります。また、私たちにとって一番のリスクは技術情報を盗まれることですので、内部不正対策のために人事部門とも連携を取っています。さらに、外部機関や社内の関係部署と連携するなど、ステークホルダーは多岐にわたります。

――最後に、セキュリティ領域の次のキャリアステップを考えている方へメッセージをお願いします。

まずは、カジュアル面談でも構わないので一度お話ししたいと思っています。

その人がもっているキャリアをヒアリングさせていただいた上で、私たちからも会社の考えや魅力、その人に合った提供できる機会をお伝えします。

場合によっては一企業人として、当社への入社を前提とせず、「このような道もあるかもしれませんね」というキャリア提案もできると思います。時間が許す限り、なるべくいろいろ色々な人とコミュニケーションをとっていきたいですね。

日本全体でサイバーセキュリティ人材が不足しています。私は常々、その人が「次のセキュリティ人材をつくっていける」ことを意識したコミュニケーションを取るようにしているので、次世代のセキュリティ人材育成について、広い視点で一緒にお話しできればと思っています。