挑戦を後押し、未来のあたりまえを創る――関西電力 IT戦略室 セキュリティ部門とは

――まずはご経歴と現在のご担当を教えてください。

巽様：現在は、関西電力 IT戦略室でIT企画部長を務めています。入社後4年は福井・高浜の原子力で保修業務に携わりましたが、その後の社内ローテーションでIT部門へ移り、「ITっておもしろい」と感じて以来、ずっとIT部門一筋です。

昨年7月からはサイバーセキュリティやDXを含むIT全般を統括しています。私にとってITの魅力は、経営戦略から日々の業務までを「仕組み」として設計し、各部門と一緒に会社の土台を作ることです。そのダイナミズムに惹かれ、日々取り組んでいます。

久保田様：入社後は通信部門の現場配属を経て、社内ネットワークの設計等を担当しました。その後、グループ事業統括部門を経由してIT戦略室へ戻り、中長期計画、業務改革、大規模システム開発や基盤刷新、セキュリティ、新規事業・サービス開発および関係会社K4 Digitalでのデジタル業務に従事してきました。

現在は再びセキュリティを担当し、チーフマネジャーとして日々活動しています。重要インフラを守る業務には困難な面がある一方で、経営、業務、技術等の観点から横断し、当社にとっての最適解を求め続けていく必要がある点に大きなやりがいを感じています。ネットワークの設計、システム開発およびAI活用など、過去の経験を実務に直結させています。

寺本様：2014年に入社し、当初は情報システムの開発と運用を担当していました。2019年にセキュリティ部門へ異動し、2020年にはIPAが実施している1年間のセキュリティ研修に参加し、セキュリティについて徹底的に学びました。

現在はリーダーとしてセキュリティ戦略の策定を担当し、中長期の方針とロードマップを描いています。あわせてインシデントが発生した際の初動対応をリードする役割も担っており、戦略立案と現場の即応という両輪で仕事をしています。

――電気事業では制御系に関するセキュリティが重要である中で、一般的なIT企業との違い／共通点はどこにありますか？

巽様：基本の考え方は同じです。ただ私たちは生活インフラを担う以上、経営理念にも掲げている「『あたりまえ』を守り、創る」が最優先です。電気が空気のようにあるのと同じで、セキュリティも“空気”であるべき。守られている前提があるからこそ、事業やDXに安心して挑戦できます。私たちはその土台作りに力を入れています。

久保田様：電気事業においては発電・送電・変電・配電に関する設備が多様である中で、事務（OA）系とは求められるセキュリティ要件が異なる面があります。関連する法制度や関係ガイドラインに則り、設備特性等を踏まえて多層防御の観点から必要な対策を実施しています。対策の推進にあたっては、事務系と制御系の双方共に、社内外関係者と連携しながら継続して強化に努めています。

――大きな社会的役割の中で、どのような使命感で取り組んでいますか？

久保田様：「事業基盤を守る」を念頭に取り組んでいます。PCやシステムが停止すれば業務ひいては事業運営に影響するため、従業員の業務環境を守ることにも注力しています。直近では、大阪・関西万博の開催に際してセキュリティ対策に取り組みました。無事に閉幕を迎えられて、守るべきものを守れた達成感を感じることができました。

巽様：当社には社会やお客さまのお役に立ちたいと思って入社する人が多く、そのなかでも特にセキュリティは事業を支える最前線として強い使命感で取り組んでいます。

また「『あたりまえ』を守り、創る」の“創る”には、「未来のあたりまえ」も含まれています。お客さまの価値、時にはまだ気づかれていない価値まで形にする——その挑戦を安心して進められる土台がセキュリティです。
家庭や企業、パートナー、グループ社員まで、関わるすべての人が安心して挑戦できる仕組みを整える。それが私たちの使命です。

――発電・送配電を軸にしつつ、情報通信や生活環境ソリューションも広がっています。事業特性を踏まえせたセキュリティ戦略はどのように設計していますか？

久保田様：多様な事業領域において一律のルールで全てを守ることは現実的ではありません。基本方針・考え方を示し、各事業の実態等に合わせて、リスクの洗い出し→評価・優先順位付け→対策立案・実施に取り組みます。社内各部門やグループ各社と対話を重ねる中で、必要要件を共有しつつ、業務上の制約等を含めて検討することで、グループ全体でセキュリティを守る、高めていくことに注力しています。

――「セキュリティは高いほど良い」と思いがちですが、実際はいかがですか？

久保田様：時間と費用をかけることができればセキュリティレベルを上げることは可能かもしれませんが、脅威の高まりと共に「100点」の基準も上がり続けています。事業推進とコストのバランスも不可欠です。今後想定される脅威を見極め、どの部分に、どのようにリソースを割いて対策を実施するかについて、様々な観点から判断し取り組みを進めていくことが重要であると考えています。

――AI活用が進む中で、課題や最新の取り組みについて教えてください。

久保田様：AI活用としては、業務でAIをどのように使うか、そしてセキュリティ強化にAIをどのように活用するかという観点があると考えています。今後、AI活用は益々進展していく中で、セキュリティソリューションやその提供形態も変わり続けていくでしょう。そして、今や攻撃者もAIを使う時代であり、今後は「AIにAIで対抗する」ことが考えられます。だからこそ、AIを安全に使うための要件や、進化し続ける技術動向等を念頭において、想定される脅威やそれらに対応するための新たなソリューション等について継続的に把握・評価し、検討し続けていかなければならないと考えています。

――昨年度掲げられたビジョン「人と事業に寄り添うセキュリティ」の具体例を教えてください。

巽様：キーワードは“寄り添う”で、ブレーキではなくガードレールになることです。
新しい挑戦に対して“セキュリティが壁になる”のではなく、安心して踏み出せる土台になることを目指しています。

AIリスク対策では、当社のAIに関する規約やガイドラインを分かりやすく見直しました。全体最適の観点で効果の薄いルールは廃止するなどのバージョンアップを行い、AIを安心して利用して挑戦できる環境作りを進めています。

――成果や手応えはいかがでしょうか？

久保田様： 先を見据えて取り組むべき方向性を定め、年度計画に落とし込んで「実行→検証→見直し」のサイクルを回していくことにより、中期的な視点をより意識しながら、各対策の立案・実施につなげています。

また、「人と事業に寄り添うセキュリティ」にある“寄り添う”には強い思い入れがあります。まずは人を守ること——従業員やお客さまの暮らしがあることを常に意識しています。また、寄り添うというのは、ただ「ルールだから守ってください」と言うことだけではなく、ルール順守がシステムやサービスの可用性を下げることもあるので、必要となるセキュリティの確保を前提に業務への影響をできる限り小さくする、その両立のために日々考え、工夫を重ねています。

――高度なレベルを維持するための技術課題への向き合い方を教えてください。

寺本様：まずは法規制と業界ガイドラインを確実に守ること。電力業界特有の基準もあるので、抜け漏れなく対応することが大前提と考えています。そのうえで、さらに上を目指すという観点で、NIST CSFやCIS Controlsなどのフレームワークを用いて現状を第三者的な指標の基評価し、できている部分と改善点を明確にして継続的に是正しています。電力業界は求められる水準が高いですが、それに見合う対策を積み上げています。

――高いセキュリティ水準とユーザビリティの両立を実現する工夫を教えてください。

寺本様：目指すのは“ガードレール”のセキュリティです。ガードレールは運転中に意識はしないけれど、いざという時は確実に守ってくれるというものですので、セキュリティでも同じ状態にするのが理想です。業務の重要度や影響度に合わせてセキュリティ対策の強度を調整し、過剰防御で仕事を止めない、業務とセキュリティのバランスをとることが重要と考えています。負荷が過大なら、ルール面も含めて見直します。

――セキュリティのトレンド更新に対して、チームで行っていることはありますか？

寺本様：最新脅威の情報を日次で集めています。今後、人手に頼る部分はAIによる効率化・自動化で仕組み化するのが重点テーマです。

――IT戦略室にはセキュリティスペシャリストも多い印象です。関西電力ならではの技術領域の面白さはどのようなものでしょうか？

寺本様：スケールと裁量の大きさです。数万台のPCや数百に及ぶ社内システム・クラウドサービスを網羅的に守る難しさはありますが、広い環境に最新トレンドをどう適用するかを考え抜くことに大きなやりがいを感じています。

当社では、課題特定から要件定義、選定・導入・運用まで一気通貫で関われます。もちろん運用する方たちやベンダーの方と協力しながら進めていくことになりますが、「何をどうするか」は自分たちで決めたうえで、自身で裁量をもって取り組めるのは当社の特徴だと思います。

――セキュリティ人材は御社の経営戦略でどのような位置づけですか？

巽様：当社の経営戦略は三本柱の一つにBX（Business Transformation）を据えており、「人」と「仕組み」の取組みを強化する方針としています。その方針のもと、サイバーセキュリティスペシャリストを重点育成対象と位置づけ、育成への投資を進めています。

――育成制度について教えてください。

寺本様：「セキュリティスペシャリスト」を制度として明確化しており、認定者はIPAの1年間の研修や社外の専門研修（費用の高いプログラムも含む）に参加できます。知識を深める環境と、幅を広げる環境の両方を整えており、資格取得も会社が支援します。具体的には合格報奨や更新費用の負担などで、継続的な学習を後押ししています。

久保田様：中途入社のメンバーからも「当社の育成は手厚い」という声が上がっており、私たちのスタンスの一端を表していると思います。

――研修は手上げ制ですか？

巽様：はい、サイバーセキュリティスペシャリストは手上げ制です。また、スキル管理の仕組みとして、毎年まずは自己診断で不足点や伸ばす領域を明確にし、「この研修を受ける」「この資格を取る」と自ら宣言して進めます。実務成果や強み・啓発点も含めて上長と定期的に対話し、次の成長プランを設計します。IT部門は人材像を8類型で定義し、スキル要件とキャリアプランに基づき、アセスメント→対話→成長計画のサイクルを回しています。

――キャリア入社のセキュリティスペシャリストには、どのようなキャリアパスが用意されていますか？

寺本様：基本はセキュリティの専門性を深め続けること。配属ローテーションは主に3つです。関西電力 IT戦略室のサイバーセキュリティグループ、関西電力送配電株式会社のセキュリティ組織への出向、株式会社オプテージ セキュリティ技術部への出向があります。

関西電力送配電は関西電力から分社化した会社で、オプテージはグループの情報通信の中核会社であり、セキュリティの監視も担っています。知見の集約と効果を考え、この3拠点を主軸にしています。

――日常的な業務の進め方について教えてください。

久保田様：まずは、年度計画として取り組むべきことを施策として反映し、業務領域別のチーム毎にタスクとマイルストーンを設定して業務を進めていきます。その中で、社内・グループ会社のリスク評価を行い、弱点が抽出されれば、技術的・人的、組織的等の対策へ展開していきます。中でも技術面においては、関連ソリューションの進展を背景として、試行（PoC）による評価等、必要な対策の実施に向けた最短のアプローチを模索しています。

――チームの雰囲気はいかがでしょうか？

久保田様：チーム毎にコミュニケーションの実施形態は多少異なりますが、例えば、毎朝・毎夕のスモールミーティングに加え、月2回のグループ全体ミーティングを実施しています。業務を進めていく上で、IT戦略室内だけでなく、関西電力送配電、オプテージおよび関電システムズといったグループ会社とも密に連携しつつ、対面とリモートとの対話を両立させています。

――セキュリティ業務は突発対応も多い印象です。どのような体制ですか？

久保田様：セキュリティインシデントはいつ発生するか予測できないことを前提として、インシデント発生時の対応チームを設置し、各メンバーが役割分担しながら対応に当たります。休日や深夜における連絡対応体制を整え、常に「ワンチーム」を意識して動けるようにしています。

――他部署とはどんな関わりが多いですか？

久保田様：当社従業員やグループ会社から寄せられる日々の問い合わせにわかりやすく回答し、申請や手続きのサポートも行います。セキュリティチェックにおいては、各部門における一次チェック後に私達がサイドチェックすることで、正しい評価となるよう努めています。新たなソリューションを導入する際は、社内の業務や環境に影響を与えることなく、如何に効果を高めることができるかが肝となることから、導入後の運用面を含めて対応いただく部門と調整・フォローしていくことも重要となってきます。

――相談しやすい風土作りで意識されていることはありますか？

久保田様：私としては、可能な範囲で私たちから会いに行く姿勢も大事にしています。時には部門やフロアをまたいで「質問や悩みを伺いに行く」というスタンスで直接対話する中で、主な話の背景や周辺の内容も把握することができればと考えています。ビジョン内の“寄り添う”の具体化の1つとなれば良いなと考えています。

寺本様：問い合わせには、まずは「ありがとうございます」から。セキュリティ意識をしっかり持って取り組んでいただいていることにまず感謝したいですし、気軽に問い合わせてもらえる空気感を作ることをチームで心がけています。

――キャリア入社の方は、どの業界・職種からの転職が多いのでしょうか？

寺本様：ベンダー系企業、ユーザー系企業の出身が多いです。電力出身に限らず、異業界から来て活躍する人も少なくありません。

――電力特有の水準の高さがある一方、どんな経験が生きますか？

寺本様：キャリア採用で来られた方は、やはり当社ではあまり携わらない業務への経験をお持ちなので、こちらの想定を超える高度な・別領域のスキルを持ち込み、選択肢を広げてくれますね。

久保田様：電力固有の点はあっても、インターネットを使う業務であれば最新の脅威動向の把握、それらに相対するための技術・ソリューションに関する理解など、幅広い領域において注力することが求められるため、日頃から調査・試行・学習を重ねておられる方であればこれまでどおり、もしくはこれまで以上の経験を重ねていただけるのではないかと考えています。

――キャリア採用で求める人物像と、入社後の期待についてお聞かせください。

巽様：技術に限らず、外部動向や新技術に敏感で、変化を自分事として動ける方がいいですね。一番大事なのはビジネス視点、つまり顧客視点です。ルールは手段であって目的ではありません。なぜ必要か、今も有効か、本当に実現したいことは何か――その先にお客さまがいることを意識してほしいです。経験者の方には、他業界の常識でエネルギー業界をアップデートし、違和感があれば提言してほしいですね。

社会やお客さまの役に立つことに喜びを感じられる方は関西電力にぴったりです。とはいえ限定はしません。挑戦の機会が多く、達成感ややりがいの種はいくらでもあります。

久保田様：今の私達が持ち合わせていない皆さまの経験、雰囲気および考え方に基づいて、当社およびチームを成長させたいと考えていただける方にお越しいただければ有難いです。 重要インフラ事業者ゆえプレッシャーのような感覚もあるかもしれませんが、「守るべきものを守る」使命感に共感してもらえる方であればなおうれしいです。

寺本様：当社のセキュリティはまさに変革期にあります。だからこそ、セキュリティに対して熱い思いがあり、自分のスキルで「こう変えたい」というものを持っておられる方をお待ちしています。

――入社後に期待する貢献・キャリアはどういったものですか？

巽様：他社での経験は、我々にとって宝です。当社にない視点や技術を生かして発信してほしいです。信頼を積み上げつつ、IT戦略室／関西電力送配電／オプテージの3拠点を軸にステップアップしてもらえたらと思います。

久保田様：環境変化が激しい時代です。多様な視点で私達も視野を広げ、考えを改め続けていく必要があり、新たなそして皆さまならでは視点から当社で前例のない取組みを含めて挑戦していただくと共に、互いに対話しながら学び合えるパートナーとして期待しています。

寺本様：技術はもちろん、当社の取り組みの「ここおかしいんじゃないか？」という点に気づける目線など、「当社にないものを持っている方」を期待しています。

――最後に、応募を検討されている方にメッセージをお願いいたします。

巽様：セキュリティを通じて社会やお客さまへの価値提供を実現したい――その思いを共有できる方と一緒に挑戦をしたいです。よろしくお願いします。

久保田様：熱い思いとWILLを持って“セキュリティ”やってます。皆さまと共に成長し、万博対応で感じ得た達成感のような瞬間をご一緒したいです！

寺本様：今の関西電力は挑戦できるフェーズです。一緒に前に進みましょう。