セキュリティエンジニアとして感じた理想と現実の矛盾

リクルートホールディングス傘下の企業として、各種サービスのシステム開発やWebマーケティングなどITに関するあらゆるプロフェッショナルが集うリクルートテクノロジーズ。その中でも、サイバー攻撃対策のスペシャリスト集団として活躍しているのがリクルートテクノロジーズ サイバーセキュリティエンジニアリング部だ。

同部 シニアマネジャーの鴨志田昭輝氏は、自らがユーザー企業へ転職した理由を「ベンダーのセキュリティエンジニアという立場では、専門性を高めると同時に売上への責任も求められます。やらなければならないことと、自分の考えるセキュリティのプロフェッショナルのあるべき姿や本当に自分がやりたいこととの間に、時に矛盾を感じることがあったからです」と振り返る。

同氏はかつて、メーカー系の研究職を経て、ベンダーのセキュリティ専業会社へと転職したが、役職が上がるにつれて自分の成果と売上がダイレクトにリンクするようになっていくなかで、必ずしもベストと思える施策を提案できるとは限らない状況もあったという。しかし、本来のセキュリティのプロフェッショナルの役目は、的確で効率よく、費用対効果の高いセキュリティ対策を提案し、実現することだ。

リクルートテクノロジーズ サイバーセキュリティエンジニアリング部
シニアマネジャー 鴨志田昭輝氏

「自分が正しいと思うことを貫きたい」という想いから、同氏はユーザー企業へと転職を決意。その後、新たなやりがいを求めてリクルートテクノロジーズへと転職し、リクルートグループにおいてサイバー攻撃対応やインシデント対応を支援するための仮想組織「Recruit-CSIRT」を立ち上げ、販促メディア事業、人材メディア事業、人材派遣事業など幅広い事業領域にわたるサービスを、さまざまな脅威から守っている。

現在ではRecruit-CSIRTの代表を務めるとともに、Recruit-CSIRTを構成する中核組織である「サイバーセキュリティエンジニアリング部」のマネジメントも担当、さらなる体制強化や認知度アップに精力的に取り組んでいる。

サイバーセキュリティエンジニアリング部は「インシデントレスポンスグループ」「セキュリティオペレーションセンター」「クオリティマネジメントグループ」で構成されている。

「インシデントレスポンスグループ」は、プロバイダや警察など外部連携を含めた各事業会社に対するインシデント対応の技術的サポートに加え、最新情報の入手により問題発生を未然に防ぐ早期警戒を日々実施している。Recruit-CSIRTを運営し、日本シーサート協議会などの外部機関との連携を強化するのも、このグループのミッションだ。

「セキュリティオペレーションセンター」は、グループ共通インフラのセキュリティ監視分析をはじめ、マルウェアの監視・解析・一次対応・被害発生時のフォレンジックまで自社で行っている。

「クオリティマネジメントグループ」は、平時よりセキュリティを向上させ、被害を未然に防止するミッションを持っている。脆弱性診断、開発者教育などのセキュア開発支援に加えて、パッチマネジメントやシステムの簡易監査といった施策を運営している。

「リクルートテクノロジーズへと転職して、仕事の環境が一変しました。リクルートグループのITを担う機能会社という立ち位置なので、売り上げ目標に捉われることなく、関係者と合意形成を取りながら、自分が正しいと思うことをしっかりと実現できるんです。正直、売上というプレッシャーがないことがこんなに幸せだとは思いませんでしたね。むしろ、いかに予算を抑えて費用対効果の高い施策をとれるかという、セキュリティエンジニアの本来の使命に没頭できるのは大きなプラス要素です」と、鴨志田氏は語る。

自身の経歴やスキルを活かせる理想的な環境

鴨志田氏は、所属するサイバーセキュリティエンジニアリング部において、若手・ベテラン問わず、セキュリティエンジニアとして働く上で理想的な環境を整えるべく、様々な施策を投じている。

まずポイントとなるのが、インプットの機会を多く得られることだ。一般的に、シニアクラスとして中途入社すると、短期的なアウトプットを求められる場面が増え、どうしても自身のインプット、成長機会が減ってしまう傾向にある。しかしここでは、海外カンファレンスや外部研修への参加を推奨するなど、積極的にインプットの機会が得られるよう配慮しており、特にシニアほど気を配っているという。

「セキュリティ分野は業界内での動きが早く、日本国内に入ってくる情報だけを見ていると初動が遅れがちです。そこで視野を広げ、最新の情報や技術を得るためにも、海外カンファレンスへの参加を推奨しています。そしてもうひとつ、今後を見据え、海外支援を含めたチーム作りに役立つという理由もあります」と語る鴨志田氏。

また、最先端の製品やテクノロジーに触れられるのも、セキュリティエンジニアにとっては大きな魅力だ。

鴨志田氏は「最先端の製品をかなり導入しているので、セキュリティ分野に詳しい方々は一様に驚かれます。私も入社当時は非常に驚きました。最新の機器を使えるというのは、エンジニアとしては胸が高鳴りますよね」と語る。

さらに、サイバーセキュリティエンジニアリング部では現在、セキュリティ対策に関する大規模な入れ替えを行っており、セキュリティの基盤から組織体制までを一気に垂直立ち上げするプロジェクトが複数計画されている。よりダイナミックな変化を体感しながら、コアメンバーとして参加できるチャンスが数多く存在する、まさに絶好のタイミングといえるだろう。

セキュリティエンジニアに必要な3つの“ty”

鴨志田氏は自身の経験から「セキュリティエンジニアには『専門性(Speciality)』『現実性(Reality)』『責任(Responsibility)』という3つの“ty”が必要だと考えています」と語る。

まず専門性(Speciality)は、当然のことながらセキュリティエンジニアとしての知識やスキルだ。セキュリティ分野は日々変化を続けているため、それに対応できる技術や専門性の追求は必要不可欠といえる。

現実性(Reality)については、いくら理想を語り、どれだけ対策を施しても、決して“リスクはゼロにならず、どこかでリスクを取るという決断をしなければならない”ことを念頭に置いた考え方が重要だという。そのコストや様々な制約など現実をちゃんと考えた上で、どこまでのリスクを会社として取るべきかの線を引く。その線を引けるのがセキュリティのスペシャリストだと、日々意識しているという。

責任(Responsibility)に関しては、取るべきリスクの線引きだけでなく、絶対に妥協できない部分は身をもって止めるなど、真剣に事業や現場と向き合うことの重要性を指している。「セキュリティのスペシャリストだからこそ、上から目線の発言や横柄な振る舞いは禁物です。むしろ、事業・インフラ・アプリなどさまざまな分野の人々と一体感を持ちながら業務を進め、双方が納得できるようなところを見つけていくことが大切です。こうした中で得られる信頼と感謝こそ、セキュリティエンジニアの幸せだと思います」と、鴨志田氏は自身の熱い想いを語る。

Securityの「ty」にかけた3つの“ty”(Speciality、Reality、Responsibility)。このシンプルな考え方に共感するエンジニアも多いのではないだろうか。

サイバーセキュリティエンジニアリング部では、ほとんどのメンバーが入社1年未満の中途入社者でありながらも、それぞれの高い専門性を発揮し、リクルートグループのセキュリティをより強固なものにするべく、日々業務に励んでいる。そこで働く人々は活力にあふれており、セキュリティエンジニアとして自身を大きく成長させてくれる、理想的な環境といえるだろう。

(マイナビニュース広告企画:提供 リクルートテクノロジーズ)

[PR]提供:リクルートテクノロジーズ