セキュリティはビジネスの推進力である - 当社が目指す“Speed × Quality”を支えるセキュリティ組織とは

これは KINTOテクノロジーズ Advent Calendar 2025 の7日目の記事です🎄

1.はじめに

KINTOテクノロジーズ、セキュリティ・プライバシー部のKa-Saiです。

私たちはトヨタグループの一員として金融を含むモビリティサービスを提供するにあたり、お客様やパートナー企業からお預かりした個人情報や機密情報、そしてそれらを支えるシステムといった「情報資産」を守ることを最重要テーマの一つとして位置づけ、次のミッションとビジョンを掲げて活動しています。

ミッション

• お客様に安心、安全なサービスを提供する。
• 私たちのミッションはブレーキを踏むことではなく、どうしたら安心・安全にアクセルを踏めるのかを考えることである。

ビジョン

• セキュリティ・バイ・デザイン、プライバシー・バイ・デザインを浸透させ、安心、安全なサービスが当たり前の世の中を作る。

・・・・・

さて、セキュリティという言葉からは「スピードを落とすもの」「新しい挑戦を止めるもの」というイメージが先行しがちです。しかし私たちはセキュリティはビジネスの“ブレーキ”ではなく、“推進力”になりうると考えており、このエントリーでは、

• なぜセキュリティがブロッカーに見えがちなのか
• その構造的な課題に対し、当社がどのような哲学と設計で向き合っているか
• 具体的な組織・仕組み・取り組み
• そして、私たちが見据える未来

についてご紹介したいと思います。

2. 課題意識：従来型セキュリティのジレンマ

2-1. セキュリティはなぜ“遅くするもの”に見えるのか

多くの組織で、セキュリティは次のように捉えられがちです。

• 手続きが重く、レビューや承認でスピードが落ちる
• 新しいツール、クラウドサービス、生成AIなどにストップがかかる
• リリース直前に差し戻しが発生し、手戻りが大きくなる
• コストセンターとして扱われ、価値が見えにくい

これらは、「後付けのセキュリティ」「人に依存した個別判定」「都度相談ベース」といった構造から生じる課題です。そしてもう一つ、私たちが強く意識しているのが、

「ルールは存在するだけで、暗黙のブロッカーになりうる」

という現実です。これは、ルールが存在するだけで、「なんとなく怖いからやめておこう」「ここに触れるのはやめておこう」という自己検閲が働きます。その結果、チャレンジもイノベーションも生まれにくくなります。

2-2. 飛躍成長に“スケールする”セキュリティへ

当社は、モビリティ×金融という高いレギュレーションと複雑なビジネス要件が絡み合う領域で、事業の飛躍的成長を目指しています。
新しい市場・国・サービス形態への展開にあたっては、セキュリティも同じスピードとスケール感で成長しなければなりません。

ここで重要になるのが、

「セキュリティもリスクだが、ビジネスの減速もまた大きなリスクである」

という視点です。

攻撃を受けるリスクだけでなく、成長の推進力を失うリスクも、経営にとっては無視できません。

そこで私たちは、「いかに早く“セキュアなプロダクト”を世の中に出せるか」を重要視しています。
つまり、最初の段階から一定水準のセキュリティとコンプライアンスを満たした状態で、素早くマーケットに到達できるかという観点です。

• 新しいビジネス・機能を早く世に出す
• 同時に、金融・モビリティ領域に求められる厳しい安全基準を満たす

この両方を満たすためには、「ビジネスゴールに直接貢献する目標」と「セキュリティの目標」を切り離さず、同じテーブルで設計するアプローチが必要です。

2-3. 従業員の負担をどう減らすか

セキュリティ・プライバシー部は全知全能ではありません。すべてのコード、すべての設定、すべてのデータフローを当部だけで確認することは現実的ではなく、従業員一人ひとりの協力が不可欠です。

しかし従業員にはそれぞれ本来のミッションがあります。プロダクト開発・運用・ビジネス側のタスクも山積みです。

• セキュリティ対応が「追加の仕事」として乗ってくる
• 手動のチェックや証跡作業が増える
• 要件理解に時間がかかり、本来の仕事が圧迫される

結果として、過剰または非対称な（かけた時間に対してインパクトが小さい）セキュリティ作業が発生しがちです。だからこそ、当社では

• CISOからのトップダウンな支援
• 現場への権限移譲と自律的なボトムアップの行動

この両方のバランスを取り、従業員の負荷を増やさずにセキュリティレベルを上げる設計を重視しています。

3. 当社のセキュリティ哲学：Security as Momentum

上述の課題を踏まえ、当部がたどり着いた結論はシンプルです。

セキュリティは、正しくデザインすれば、事業を加速させる推進力になる。

この哲学のもと、私たちは次のような考え方を採用しています。

3-1. “プラットフォーム”としてのセキュリティ

人が一つひとつチェックするのではなく、仕組みやプラットフォームにセキュリティを埋め込むことで、摩擦を最小化します。

• 安全なクラウド設計・設定をガイドラインとテンプレートに落とし込む
• CI/CD パイプラインに自動チェックを組み込む
• セキュアなデフォルト値を提供し、「何もしなければ安全」な状態をつくる

3-2. “止める人”ではなく“実現する人”

セキュリティの役割は「No」を突きつけることではなく、「どうしたら安全にYesと言えるか」を一緒に考えることです。

• 企画段階からの相談を歓迎し、実現可能な選択肢を提示する
• “やってはいけないこと”だけではなく、“こうすればできる”を示す

3-3. 開発者体験としてのセキュリティ

“セキュアな開発者の体験” を整えることは、結果的に開発組織全体の生産性向上につながるため、開発者にとっての「安心してアクセルを踏める環境づくり」になっているかを常に意識しています。

• 「このテンプレートを使えばOK」という明確なガードレール
• 面倒なセキュリティ評価の証跡取得作業を自動化
• 相談しやすいチャネルと、わかりやすいドキュメント

4. セキュリティ管理部署の組織体制：ビジネス成長と速度を支えるための構造

当社はトヨタ自動車の子会社であるトヨタファイナンシャルサービス（TFS）のグループ会社に属しています。TFSグループではサイバーセキュリティのリスクを最も重要な経営課題の一つとして位置づけ、グループ全体で対策を推進しており、この方針のもと、当社における情報セキュリティ管理は、TFSグループのセキュリティプログラムを基盤として運用されています。

4-1. GIS Standard：グローバル基準に基づくセキュリティフレームワーク

そしてTFSグループでは、NISTやISO27001などの国際標準をベースに、金融サービスに最適化された独自のセキュリティ要件「GIS Standard（Global Information Security Standard）」を策定し、グループ全体で運用しています。

このGIS Standardには

• ガバナンス
• オペレーション
• テクニカルコントロール
• クラウドセキュリティ
• 生成AI などの新領域

といった多岐にわたるドメインをカバーする300以上の管理項目が含まれており、当社はこのGIS Standardを自社の標準として採用し、グローバル水準の安全性と信頼性を前提条件として事業を進めることを選択しています。

4-2. セキュリティ・プライバシー部の3つの専門グループ

このGIS Standardというセキュリティフレームワークを現場で機能させるため、セキュリティ・プライバシー部は以下の専門グループで構成されています。

1.クラウドセキュリティG

• クラウドにおける設計・設定標準化（ガイドライン・ガードレール）
• CNAPP / CSPM / CIEM などの導入・運用
• マルチクラウド環境のリスク監視

2.サイバーセキュリティG

• SOC業務（ログ収集・分析・インシデント対応）
• 脆弱性管理・診断（Red Team / Blue Team）
• シャドーIT対策

3.インフォメーションセキュリティG

• GIS StandardアセスメントのDX化
• 規程整備・リスク評価
• 情報セキュリティ教育の高度化
• プライバシー影響評価（PIA）
• AI利用におけるデータ保護ガイドライン策定
• 知的財産権管理の仕組化

これらのグループが連携しながら、プロダクトチーム・コーポレート部門・グローバルの関連会社と伴走する体制を形作っています。

5. 当社の具体的な取り組み：セキュリティを推進力へ変える実装構造

5-1. プラットフォームセキュリティ：仕組みに埋め込むセキュリティ

(1) クラウドセキュリティの標準化

• AWS / Azure / GCPごとのセキュリティガイドライン
• ガードレールの「カイゼンガイド」
• AIセキュリティガイドライン

を整備し、「これに沿って設計・実装すればGIS Standardやベストプラクティスを自然に満たせる」状態を目指しています。

(2) CNAPP(Cloud-Native Application Protection Platform)の導入

• クラウド設定の継続的評価
• IAM権限の過剰状態の検知と是正
• クラウド上のワークロード保護
• ログ収集・分析による脅威検知

を自動化。「人が都度チェックする」から、「システムが常時監視し、必要に応じてアラートを上げる」体制へと進化しつつあります。

5-2. サイバーディフェンス：攻めと守りの両輪

(1) Red Team（攻め）

• 新規プロジェクトや診断未実施プロダクトへの積極的な脆弱性診断
• SBOM・Secret管理・EOLなど、ソフトウェアサプライチェーンの観点も含めた検証

(2) Blue Team（守り）

• SIEM・EDR・Proxy・DNSなどを用いたログ監視・分析
• インシデント対応計画の整備と演習
• 検知ルールの継続的なチューニング

これらの取り組みにより、「攻撃を受けてから慌てて対応する」のではなく、 事前の備えと継続的なモニタリングで、組織全体の“余白”を生み出すことを目指しています。

5-3. セキュリティ・プライバシーアセスメントDX：コンプライアンスを“副産物”にする

(1) セキュリティガバナンス

• GIS Standardへの適合評価（アセスメント）の自動化
• エビデンス収集のダッシュボード化
• リスクベースアプローチによるアセスメント対象の整理
• セキュリティ問い合わせの自動応答化

いわゆる”セキュリティガバナンス”を「DX（デジタルトランスフォーメーション）」の対象として捉え、「監査対応のために証跡をかき集める」ような後ろ向きの作業を減らし、「普段の運用がそのまま証跡になる」状態へと近づけています。

(2) プライバシーガバナンス / 知的財産の管理

• プライバシー影響評価（PIA）の導入・運用
• AI利用におけるデータ保護ガイドラインの策定・浸透
• ライフサイクルに連動した網羅的な知財調査とログ管理

これにより、「安心して使えるサービス」であることが、ビジネスの選ばれる理由になる状態を目指しています。

6. おわりに：セキュリティを職人仕事から“標準化”、そして“推進力”へ

セキュリティ・プライバシー部のミッションは、お客様に安心・安全なサービスを提供することです。
その達成のため、セキュリティは単なる「リスクの最小化」ではなく、ビジネスの成長と推進力醸成にどう貢献できるかを常にSpeedとQualityの両面から考えています。

一方で、現実には

• 急速なビジネス成長への対応
• 従業員の負担軽減
• 法令要件への効率的な準拠

といったテーマのバランスをとることが、大きなチャレンジであることも事実です。私たちは、このチャレンジに対して

「職人仕事」から「標準化」へ

一部のセキュリティエキスパートだけに依存した属人的なセキュリティから、 誰もが同じ品質を出せる標準化された仕組みへ

従業員中心設計（Employee-Centered Design）

セキュリティのために人を酷使するのではなく、 従業員が無理なく・誇りを持って取り組めるように設計する

自動化中心設計（Automation-First Design）

トイル（自動化可能な業務）を減らし、クリエイティブな仕事に集中できるようにする

アジャイルガバナンス

一度作ったルールも、“壊しながら”作り直し続ける姿勢を持つ

という観点で取り組みを進めており、

私たちはQualityを高めるセキュリティを提供するだけでなく、Speedにも寄与し、事業を加速させる形でセキュリティを推進できる

と信じてこれからもビジネス、開発、そしてお客様とともに歩んでまいります！