はじめに

こんにちは！セーフィー株式会社でサイバーセキュリティを担当している金原です。

前回、こちらの記事でセーフィーがどのようにセキュリティ戦略を策定しているか、その考え方についてお話しさせていただきました。

engineers.safie.link

さて、今回はその続編として、策定した戦略を実行していくために不可欠な「チームづくり」について、私たちの考えとこれまでの取り組みをご紹介したいと思います！

• はじめに
• 戦略を実行する「チーム」の重要性
• 基本的な考え方は「ちゃんとマネジメントする」
• マネジメントは「セルフマネジメント」から
• 「個」から「チーム」へ：チームビルディング
• アジャイルな仕事の仕方を取り入れる
• チームを育成し、拡大していく
• おわりに

戦略を実行する「チーム」の重要性

前回お話ししたサイバーセキュリティ戦略ですが、策定した時点では、まだ多くの仮説を含んでいます。

また、脅威の状況やビジネス環境は常に変化するため、戦略も固定的なものではなく、継続的に見直していく必要があります。

そこで、私たちは以下のような、

1. 小さく実行し、
2. フィードバックを得て、
3. 学びを次に活かす

というサイクルを、うまく実行できる、フィードバック駆動のハイパフォーマンスなチームになりたいと考えました。（このアプローチが戦略をうまく進めていける鍵になると信じてます）

では、どうすればそのようなチームになれるのか？

その問いに答えていきたいと思います。

基本的な考え方は「ちゃんとマネジメントする」

セキュリティ問わず、ハイパフォーマンスなチーム作りに、特別な近道や魔法はありません。

私たちが大切にしている基本的な考え方は、「ちゃんとマネジメントする」ということです。

（当たり前のことを主張してすみません。でも大事なんです）

マネジメントと聞くと「管理職」というキーワードから「管理すること」と捉えられがちなのですが、ここで言うマネジメントとは、単なる「管理」ではありません。

ドラッカーも言うように、マネジメントとは「メンバーとチームの力を最大限に活かし、チームとして価値の高い成果を生む」ための働きかけを指します。

これは、どの業務でも同じですよね。

ということで、まずは正しい理解を身に着ける（体系的な知識を得る）のがよいだろうということで、以下を実施しました。

＜私たちの取り組み＞

• マネジメント勉強会を実施しました。チーム全員がそろって参加して、「マネジメントとは何か？マネジメントがなぜ重要なのか？」を学び、マネジメントについての目線合わせをしました。

  

  勉強会の様子

• 具体的には以下の書籍を参考にしたスライドを作成して講義形式で開催しています。 （私自身が、著者の藤田勝利先生のマネジメント講座を受講した際にとても分かりやすく学べたので参考にしました）

  

(出典)藤田勝利,新版-ドラッカー・スクールで学んだ本当のマネジメント,日経BP,URL:https://www.amazon.co.jp/新版-ドラッカー・スクールで学んだ本当のマネジメント-藤田-勝利/dp/4296108832,（2025年5月2日アクセス） (出典)藤田勝利,ノルマは逆効果 〜なぜ、あの組織のメンバーは自ら動けるのか〜,太田出版,URL:https://www.amazon.co.jp/ノルマは逆効果-〜なぜ、あの組織のメンバーは自ら動けるのか〜-藤田-勝利/dp/4778316614,（2025年5月2日アクセス）

＜チームからのフィードバック＞

• マネジメントって苦手意識があったけど、ハードルが下がった。
• マネジメントの目的が何かを知ることができてよい学びの機会だった。
• マネジメントにあまり魅力を感じてなかったけど、今後必要なスキルだとわかった。

マネジメントは「セルフマネジメント」から

マネジメントとは何かを学んだことで、何から始めたらいいか、が分かるようになりました。

チームをマネジメントする前に、まず私たち自身が「セルフマネジメント」できているかを見つめ直すことがマネジメントの出発点です。

では、セルフマネジメントとは具体的に何を意識することなのでしょうか？

それは、まず自分自身を客観的に理解することから始まります。

• 自分自身の強みや弱み、仕事の進め方を理解しているか？
• 自身のセキュリティ知識・スキルレベルを把握し、常にアップデートする意識を持っているか？
• 定期的に内省（振り返り）を行い、学びを得られているか？
• そのためのツールとして、1on1ミーティングなどを効果的に活用できているか？

自分という最も身近な資源を理解し、活かすことから全ては始まります。（と、ドラッカーも言っているはずです）

特にセキュリティ分野は変化が激しくストレスも多い仕事であるため、自分自身をモチベートして、継続的な学習意欲を維持することがとても大事だと考えています。

自分自身に向き合うという方法としては、1on1が使えるだろうということで、以下を実施しました。

＜私たちの取り組み＞

• 1on1勉強会を実施しました。1on1の重要性や具体的な方法について、1on1を実施される側も含めて、こちらもマネジメントと同じくチームで共通理解を作りました。

  

• 勉強会で学んだことを、少しずつ1on1に取り入れて、私たちの1on1の型を作っていっています。とくに、セキュリティエンジニアとしてのキャリア形成やスキルアップをどのように進めていくかを対話し、支援していくことが大事になるだろうと思っています。

＜チームからのフィードバック＞

• 前職で1on1を実施していたが、なんとなくやっていた。進め方が分からないので最初から本題に入るとか…。これだと1on1をよい場にはできないんだという気づきを得ることができた。
• 1on1にも型があって、それをまずは実践して、守破離の流れで自分のものにできれば、今後のキャリアの役に立ちそう。

「個」から「チーム」へ：チームビルディング

セルフマネジメントを意識できるメンバーになってきたら、次は「チーム」として機能するための土台作り、すなわちチームビルディングです。

（実際は、セルフマネジメントができているかにかかわらず、チーム組成のタイミングで実施するのがおすすめです）

実は、組織体制上の箱として組織を作り、そこに人を集めただけだと、それは単にグループであって、チームとは言えません。チームになるためには、共通の目的、相互理解、期待のすり合わせが必要で、それができて初めてチームになれるのです。

そのため、まずは正しい理解を身に着ける（体系的な知識を得る）のがよいだろうと考え、以下を実施しました。

＜私たちの取り組み＞

• 「ドラッカー風エクササイズ」という手法を使いました。

• メンバーそれぞれが「他のメンバーに期待すること」や「自分がチームに貢献できること（強み）」「大切にしたい価値観」などを共有し、相互理解を深めました。

  

  ※ 実際に使ったドラッカー風エクササイズのテンプレート（Miro）。一般的な4つの問い（四方）に真ん中の「個人の夢/目標」を入れているのが工夫ポイントです。人数分作成して、チームで対話しながら共有していきます。

• チームビルディングを通じて共有された個性や期待を参考に、チームの「ミッション」や「大切にしたい価値観」を作りました。

  • チームの大きな方向性は「セーフィーのサイバーセキュリティ戦略の作り方」にある通りです。
  • これを組織の「意図」として捉え、チームのミッションと価値観に落とし込みました。 （記事での紹介は長くなるので割愛します！）

＜チームからのフィードバック＞

• 一緒に仕事していても、意外とその人のこと知らないんだって気づいた。こういう機会があると、今後の仕事もちょっとやりやすくなりそう。
• 期待を伝え合うのはちょっと気恥ずかしいけど、このすり合わせが大事なんだと思った。ちょっとやる気が出たかも。

アジャイルな仕事の仕方を取り入れる

さて、チームビルディングをしたぞ！明日から、いいチームワークで仕事ができるぞ！となればいいのですが、そう簡単ではありません。

仕事の仕方を少し工夫する必要があります。

フィードバック駆動のチームになるためのヒントは「アジャイル」です。

アジャイルとは何かの説明は本記事では省略しますが、アジャイルを取り入れようとしたときに気を付けないといけないのは、盲目的かつ表面的にプラクティスに従ってしまう「フレームワークの罠」です。

そして、この「フレームワークの罠」から逃れる方法は、「①意義のあるものにする」「②自分のものにする」の2つが大事になってきます。

※ 脅威モデリングナイト#8 （金原登壇資料）より抜粋

「①意義のあるものにする」に関しては、すでにセキュリティ戦略とチームのミッション、価値観という理由付けができているので、ここでは「②自分のものにする」ためのプラクティスを考えます。

具体的には以下のような形で、プラクティスを取り入れました。

＜私たちの取り組み＞

• スクラムを採用しました。（わかりやすい＝自分のものにしやすい）

• スクラムのインベントの中で、今のチーム状況に合った以下の3つから始めています。

  1. スプリント期間の設定：現在は2週間としています。
  2. スプリントの始まりと終わりにイベントの実施：スプリントの開始時に「スプリントプランニング」を、終了時に「スプリントレビュー」を実施します。
  3. タスクを可視化してデイリーで認識合わせ：「カンバン」を利用して日々のタスクの状況をデイリーで共有しています。困っていることはここで可能な限り解消します。

  

  

  ※ 実際に使っているカンバンです。弊社はNotionを使っており、「Anthropic プロジェクトプランナー」というテンプレートをカスタマイズして使ってます。プロジェクトとタスクでうまく整理できる良いテンプレートです。

• 特に重視しているのが「スプリントレビュー」です。

  • ここでは、2週間のスプリントで得られた成果や学びを、経営層（正確にはCTO森本）に直接報告・デモンストレーションしています。
  • これにより、セキュリティに関する課題や進捗状況の透明性を高め、経営層からの理解とサポートを得やすくなると思っています！（そう願っています）
• なお、お気づきと思いますが、フィードバック駆動と言いながら「ふりかえり」をやっていません。これは現時点で私たちチームの人数が少数なのと、日々のコミュニケーションで常に改善を実施できている（デイリーでフィードバックができている）ことが理由です。
• そして、これが完成形ではないので、これから徐々に自分たちの型を作っていきます！

＜チームからのフィードバック＞

• チームでタスクを共有して、2週間でやるとコミットしてるので、メリハリが生まれる。
• カンバンで、チームのみんなが何をやっているかわかるので、タスクの調整がしやすくなった。
• スプリントレビューで、自分たちのやっていることを把握してもらいやすくなった。

チームを育成し、拡大していく

チームとして機能し始めたら、次に取り組むべきはメンバーの成長支援と、戦略実行のためのチーム拡大です。

なお、ここまでのチームづくりでは、セキュリティの話題はあまり出てきませんでしたが、ここまで整えてやっとセキュリティの話ができます。（お待たせしました）

セキュリティチームの育成と拡大になりますので、サイバーセキュリティにどのようなキャリア（スキルセット）があるのかという全体像を把握した上で、セーフィーのサイバーセキュリティ戦略と個人の意図をうまく整合させて、成長につなげます。

＜私たちの取り組み＞

• SANSの「COOLEST CAREERS IN CYBER」を参考にしました。

  (出典)SANS - Discover the Coolest and Most In-Demand Cybersecurity Careers,https://www.sans.org/cybersecurity-careers/20-coolest-cyber-security-careers/（2025年5月2日アクセス）

• まずは、私を含めた”今ここにいる”セキュリティチームのメンバーがそれぞれどのキャリアの意図なのか、それに必要なスキルセットは何かを「1on1」や「チームビルディング」を活用して明らかにして、成長の目標にします。

• 加えて、先に策定したサイバーセキュリティ戦略から、戦略実行に必要な人員とスキルセットを見定めます。（下の画像はコーポレートセキュリティの例です）

  

  コーポレートセキュリティの例

• そうすると、現状のチームメンバーでカバーしきれないスキルセットやキャパシティ（リソース）が見えてきます。これが戦略とのギャップになります。

• このギャップをベースに採用計画を立てて、今現在、積極採用しております！

＜チームからのフィードバック＞

• 目指すべき場と次のステップの具体的なイメージを持つことができた。
• セキュリティ業務の大まかな全体像がつかみやすい。
• 現状のチームと戦略とのギャップが見えて、どういう強みや経験を持った人を採用したいかが言語化できた。

おわりに

セーフィーのサイバーセキュリティ戦略を実行し、より高いレベルの「安心・安全」を実現するためのチームづくりは、まだ始まったばかりです。

今回お話ししたように、

• 「ちゃんとマネジメントする」ことを全ての基本とし、
• そのうえで戦略に基づいた人材の育成と採用を進めること

が、その核心にあると考えています。

セルフマネジメントから始め、チームとして機能させ、アジャイルに動き、成果を出していく。このプロセスを通じて、セーフィー全体のセキュリティ文化をより良いものにできるよう私たちセキュリティチームも成長していきたいと思います！

私たちのこうした取り組みに少しでも共感し、「セーフィーのセキュリティチームで一緒に仕事がしたい！」と感じていただけたなら、ぜひ採用情報もご覧いただけると嬉しいです。

open.talentio.com

最後までお読みいただき、誠にありがとうございました。