情報セキュリティリスクが多様化・複雑化する一方で、セキュリティ人材の不足が叫ばれている。今、企業で求められるセキュリティ人材とはどのような人材なのか。セキュリティ人材はどのようにして育成すべきなのか。1月23日にマイナビPLACE歌舞伎座タワーにて開催されたセミナー「THE SECURITY 2024 January 最新のセキュリティトレンドを知る」のパネルディスカッションで、セキュリティの専門家3名が語った。
登壇者
インターネットイニシアティブ セキュリティ情報統括室長 根岸征史氏
SBテクノロジー プリンシパルセキュリティリサーチャー 辻伸弘氏
セキュリティインコ piyokango氏
-
左から根岸征史氏、辻伸弘氏、piyokango氏(パネルでの出演)
登壇者のキャリアを振り返る
まず3氏は、セキュリティの専門家としての自身のキャリアについて振り返った。
piyokango氏は自身のキャリアについて、個人のキャリアの8割は偶然の出来事によって形成されるという考え方「計画的偶発性理論」に沿うものだったと振り返る。10年以上継続して運営している「piyolog」は、自身が参加したセキュリティイベントの記事レポートを発信してみたいと思ったことがきっかけでスタート。記事に対して読者から予想以上に良いフィードバックをもらえたことが継続のモチベーションになっているという。
-
piyokango氏は能動的に発信したことが今のキャリアにつながっていると話す
「長年活動を続けているなかで、さまざまなめぐり合わせがありました。運が良かった面もあるが、行動や努力がそうした機会の創出につながっています」(piyokango氏)
「とにかく飛び込んでやってみるのが大事。悩んで何もできないよりは、そのほうが好き」だと語るのは辻氏だ。かつて在籍していた会社では、セキュリティに限らずさまざまな業務を担当しており、他のセキュリティ専門企業に引け目を感じていたという。そのなかで、ペネトレーションテストなどの自身の経験を文章や講演で伝えていこうと前向きに捉えるようになり、今の仕事につながっているそうだ。
3名のなかで最もキャリアの長い根岸氏は、これまでにSecurity Operation Center (SOC)、Computer Security Incident Response Team (CSIRT)での勤務や、脆弱性診断、ペネトレーションテストといったセキュリティ関連の業務、コンサルティングなどを幅広く経験してきた。これについて根岸氏は「幅広い分野を経験したのが強み」だと話す。
「1つの分野に精通しなければという気持ちもありつつ、いろいろなことをやってみたいという気持ちが強く、他の人よりも幅広い分野を経験できました。結果として、分野横断的に物事が考えられるようになり、それが自分の強みになっています」(根岸氏)
-
多種多様な経験を得たことが強みと語る根岸氏
企業はそもそもセキュリティ人材の定義ができていない
そもそも「セキュリティ人材」という言葉に対するイメージは、人によって異なる部分もある。piyokango氏が実際に公開されている各社のセキュリティ人材の募集要項を調査したところ、次のようにさまざまなタイプのものがあったという。
A社:応募条件「セキュリティに関するご経験」
B社:業務内容「全社の情報セキュリティ全般の管理」「社内セキュリティポリシーの策定」「セキュリティインフラ管理」「セキュリティサービス管理」
C社:業務内容「システム関連子会社へ常駐。ISMS運用における認証更新の対応。ISO審査・内部監査への対応」(未経験大歓迎)
これを見た根岸氏は「業務範囲が広すぎたり、具体的だが実現性があるのか不明だったりするものもある。これでその企業が求める人材が採用できるのかは疑問。求める側がどういう人材が必要なのかイメージできていない状況も考えられる」とコメントした。
「脆弱性診断士など、求める人材を詳細かつ明確にしている要項もある」と話すpiyokango氏も「いずれも稀有な事例ではなく、どの企業の要項にもよく書かれている内容。応募する側からすると少し考えてから応募しなければならない」と続けた。
一方、辻氏は「現場では求める人物像が細かく明確化できているのに、人事部門との認識に齟齬が発生してしまい、要項に落とし込めていないケースもある」と、現場と採用担当側で意識のずれが生じてしまっている状況を明かした。セキュリティ人材の不足が叫ばれているにも関わらず、その定義が曖昧になってしまっているケースが多いのが現状だ。piyokango氏は「人材を募集する場合には、改めて自社の採用情報を見直すと良いでしょう」と呼びかけた。
セキュリティ人材の育て方
続いては、それぞれが自身の経験を振り返って、セキュリティ人材の育て方について議論した。
辻氏は、最初の会社では脆弱性診断やペネトレーションテストの案件があまりなく、攻撃者の観点を踏まえたサーバの構築やVPN拠点間接続なども担当していたという。
「OSや機器の専門用語が身についたことは、後のセキュリティ関連の仕事にも役に立った」と紹介し、「そもそもセキュリティ人材は、セキュリティの仕事から始めたほうが良いのか。セキュリティは単体で存在し得ないのに、セキュリティ特化型の人は必要なのか」と問題提起した。
それを受けて根岸氏は、「専門的にセキュリティを担当する人でも、他の業務経験が必要なケースもあれば、専門ではないがセキュリティを一部やらなければならないケースもあり得る。後者については経済産業省のフレームワークで『プラス・セキュリティ』と表現されている」と整理した。
辻氏は、セキュリティを専門とする人も周辺領域を学んだほうが良いという立場から、「ウイルススキャンをしたり、攻撃コードを打ち込んだりする環境を自分で構築してみると理解が深まるのでは」とアドバイスをする。
piyokango氏もこの考えに賛同しつつ、「セキュリティの苦労は身をもって理解していないと、相手に伝わらない。さまざまな業務の経験を積んでステップアップすることを推奨したい」と述べた。
セキュリティ人材に必須のスキルとは
続いての話題は、「セキュリティ人材に必須となるスキルは何か」についてだ。3氏とも具体的な技術力というよりは、業務に対するスタンスや意識の重要性について指摘する。
「コミュニケーション能力がまず大事」だとするのは辻氏だ。これに加え、コスト意識も必要だという。
「募集要項に書くようなことではありませんが、コスト意識は重要です。自分が活動するとどれだけのお金が必要になるのか、なぜ自分に対して給料が支払われているのか、お金の流れを意識して仕事に取り組んでみると良いでしょう」(辻氏)
-
辻氏はコスト意識について「必要なお金は使って、必要ないものには使わないのが基本」と話す
piyokango氏は、「自分で手を動かして、検証や確認をすること。特にセキュリティ分野は(そのような行動が)マストに近い」としたうえで、「誰かが発信していた情報を自分のアウトプットとしているケースを見かけるようになったが、昨今ではSNSなどで問題も生じている。こうした課題に対するアプローチの1つは、自分で手を動かしてみることに尽きる」と強調した。
最後に根岸氏は、「学ぶ意欲があること」を挙げた。
「『自分はこれしかやりたくない』ではなく、『違う仕事があったら学んでみよう』とか『想定と違っても新しいことなので挑戦してみよう』という学ぶ意欲やチャレンジ精神がある人は成長できるはずです。実際に採用面接のときにも注目しているポイントなので、ぜひ意識してみてください」(根岸氏)
既知の脅威に対し、なぜ実効的なセキュリティ体制が築けていないのか
