全社で取り組むセキュリティに対する意識と知識の底上げ

article image 1
▲技術管理統括部 セキュリティマネジメント部 セキュリティ技術推進室の原 悟史

いまやITは人々の生活に欠かせないものとなり、あらゆる機器がネットワークにつながって様々なデータをやりとりしている。システムが重要なものになればなるほど、それらをターゲットにしたサイバー攻撃は増加の一途をたどり、システムを開発する時点でセキュリティ対策を施し安全に利用できるシステムを作ることが求められている。 

原 「セキュリティは富士ソフトが重点を置いている分野の一つです。そのため、開発の中で一定のセキュリティ品質を守れるようにするルール作りやセキュリティ技術を支える人材の教育・育成に尽力しています」

人材育成は、ハイレベルなスペシャリスト人材の育成から、最低限のセキュリティ知識を全社に伝えていくという全体教育まで多岐にわたる。原は、社内のセキュリティ技術を推進するミッションを持ち、各開発現場でのセキュリティの技術支援や相談対応などを行っている。 

原 「スペシャリストの教育としては、セキュリティの国家資格である情報処理安全確保支援士の試験に向けた勉強会をオンラインで開催して支援しています 。現在(2021年10月時点)、145名ほどの資格登録者がいます。セキュリティエンジニアの需要の高まりもあり、スキルアップのチャンスと捉え資格取得に励む方が年々増加しています。また、セキュリティの基礎知識を学べるeラーニングの教材を作り、社内向けに公開してセキュリティに対する意識と知識の底上げを図っています」 

他にも社内インターンシップ制度を導入し、部門の垣根を超えた人的ネットワークを形成している。 

原 「セキュリティ分野の中核となるハイレベルな人材を育てるために、社内インターンの方を受け入れています。期間は1〜2年と少し長いのですが、セキュリティ技術の理解を深め、ノウハウや知識をしっかりと身に付けてもらい自部署で活躍できる体制を整えています」 

セキュリティ対策を支援する理由は、企業理念にも関わっている。 

原 「富士ソフトでは、『ひのき(品質・納期・機密保持)』や『セキュリティは人と技術で守る』などのスローガンがあります。重要な情報資産を新たな経営資産と位置付け、情報セキュリティを強化しています」 

システム開発を行う上でセキュリティは必須項目となっている。開発現場へセキュリティ知識を浸透させ、開発・運用におけるセキュリティ意識を日々高めているのだ。

Windowsとの出会いが人生を大きく変えた

2005年に新卒入社した原は、もともと大学で機械工学を専攻していた。コンピューター上でシミュレーションをすることが多く、プログラムにはなじみがあったという。 

原 「大学ではシミュレーターを作成し、コンピューター上で機械の動作を再現することが多かったので、機械を実際に動かすことがほとんどありませんでした。その反動で機械制御に興味を持つようになり、就職先はメーカー系企業なども含めいろいろと探しました。そんなとき、ソフトウエア開発企業の中で組み込み系に強いという、珍しい会社が富士ソフトでした」

入社後配属されたのは、希望していた組み込み開発の部署。Windowsのソフトウエア開発をする課に入ることとなった。 

原 「部としては希望通りでしたが、Windowsのアプリ開発という想定外のスタートになりました。しかし、大学で作成したシミュレーターもWindows上で動かすソフトでしたから、親和性は高いものでした」 

原は、Windowsのソフト開発に従事するかたわら、IPA(情報処理推進機構)主催の組み込みのスペシャリスト試験に合格。さらには、開発と試験で得たノウハウを元に、Windowsと組み込み機器、両方の性質をもった医療機器システムの開発に従事。Windowsのアプリ開発の経験が大いに役立ったと語る。

原 「その医療機器は、Windowsと複数の組み込みCPUから構成される組み込み機器としては複雑なシステムでした。Windowsと組み込み機間で通信するので、Windowsの知識も組み込みの知識も役に立ちました。希望とは異なる配属でしたが、結果的にはプロジェクトの責任者として全体を見る立場になることができました」 

Windows×組み込みのスキルを掛け合わせることができるのは、社内でも数少ない存在だった。 

原 「組み込みは昔ながらの開発技術で、プログラムの書き方も特有です。でも、昔よりもハードウェアが進化したことにより実はWindowsでやっていたような設計や考え方が通用するようになったことがわかったので、Windowsとほかの分野の良さを取り込むことができました。エンジニアとしていろいろな経験ができたことが自分の強みとなりました」 

組み込み系エンジニアの喜びは、自分の開発したシステムが世の中の役に立っているということを実感できることだと微笑む原。 

原 「実は最近うれしいことがありました。3歳になるうちの子が小児科にかかったとき、見覚えのある機器が置いてあったんです。それが、5年前に私が開発で関わった医療機器だったんです。実際にそれを使ってわが子を診察してもらったときは、感慨深かったですね」 

富士ソフトはBtoBのビジネスがメイン。開発しているものは、他メーカーや企業を通じて世の中の役に立っている。自分が手掛けたシステムを目にすることは、やりがいへとつながる。

唯一無二の存在へ──社費留学で書いた研究論文が受賞。

article image 3
▲横浜国立大学 博士課程の修了式に参加した原

セキュリティ技術推進室(旧・サイバーセキュリティ推進室)は2017年に発足した比較的新しい部署だ。メンバーは、社内公募で集まった者が多い。 

原 「当時、富士ソフトとして、セキュリティを新しい軸に掲げていこうという方針が打ち出されたタイミングでした。私は、情報システムやインターネットなどが世の中に浸透していく中で、情報セキュリティ対策の重要性を感じていました。

加えて、セキュリティ技術推進室では、大学院の博士課程に通って博士号を取る人を募集していると聞き、またひとつ、自身にオリジナリティを出せると思ったので、すぐさま公募に手を挙げました」 


2017年4月にセキュリティ技術推進室へ異動したと同時に、社費留学で横浜国立大学大学院博士課程に在籍した原。組み込み機器セキュリティの研究を行い、2020年9月に博士号(工学)を取得した。 

原 「組み込み機器に対する攻撃の観測を通じて、どのようにセキュリティを高めていくかが研究テーマです。近年、特定機器でのみ動くマルウエアや、仮想環境を検知して振る舞いを変える、特定のIoT機器を狙ったマルウエアが観測されており、従来の汎用的な解析環境ではこのようなマルウエアの挙動を正確に解析できませんでした。実機そのものを用いた動的解析の研究は途上だったため、解析に使用可能な機器の条件や解析手法を体系立てて、実証実験を重ねました」 

マルウエアとは、不具合を起こす意図で作成された、悪意のあるソフトウエアや悪質なコードの総称。こうした マルウエアについて研究活動をする中で、論文執筆をして学会に投稿したところ、2021年5月に一般社団法人電子情報通信学会様より、通信ソサイエティ 論文賞を受賞した。

原 「社費留学させてもらったことで、研究者としても経験を積むことができ、セキュリティのスペシャリストとしてさらなる成長を遂げることができました。また、大学院で得た知識をもとに、セキュリティ系の国家資格をいくつか取得することもできました」 

その知識と実績が社内でも評価され、2020年7月にセキュリティ技術推進室の室長に昇進した。 

原 「人数が少ない部署で、セキュリティの知識を持っていないと難しいポジションなので、これまでの知識と実績の両方を評価してもらえたことは素直にうれしかったです」 

室長としてメンバーのマネジメント面で原が意識しているのは、自発性・自律性の尊重だ。 

原 「何でも指示を出すのではなく、メンバー自身が自分で考え、やるべきことや問題に気付き、提案を行動に具体化できるような仕掛けづくりを心掛けています。そのためには、メンバーの考えや価値観などを理解し、個々の『才能・強み』を見つけられるよう、コミュニケーションをしっかり取るようにしています」

メンバーの気持ちに共感し長所を伸ばす。「ここは自分が成長できる組織だ」と認識してもらえるよう、マネージャーとしてまい進している。 

技術の掛け合わせから生まれた自分のオリジナリティ

富士ソフトの強みは、チャレンジさせてくれる社風にあると原は語る。 

原 「入社当初の仕事はWindows開発でしたが、組み込みの案件も希望するとやらせてもらえました。まったく知識がなかったセキュリティ分野に飛び込んだときも同様でした。富士ソフトは過去の経験にとらわれず、『背伸び』をさせてくれる会社だと思います」 

富士ソフトには資格取得の奨励制度がある。原はこの制度を何度か活用してスキルアップを図っている。 

原 「会社指定の資格を取得した社員には、能力開発に対する奨励として一時金がもらえるんです。入社間もない頃、ソフトウェアのモデリング記法の資格を取得して奨励金をもらったことを課のメンバーへ話したところ、みんなの士気が一気に高まり、資格取得ラッシュになったんですよ(笑)。

現在はスペシャリスト制度が充実し、認定されると毎月の認定給が出ます。 お金がもらえるとなればモチベーションも上がるしスキルも上がるので、ありがたい制度です」 


昨今、サイバー攻撃の高度化・複雑化に加え、被害が発生した場合の企業への影響や損害額の規模、社会的評価への影響などが一層深刻化している。しかしセキュリティに知見のある人材は少ない。 

原「セキュリティエンジニアの需要は年々高まっています。将来数十万人が不足するともいわれているので、セキュリティの資格を持っていると今後役立つと思います。これからは、セキュリティの知識を『持っていて当たり前』という時代になります」 

なぜなら、家庭や会社で使用されているあらゆる機器がインターネットにつながる社会が到来している。だからこそ、セキュリティ攻撃の脅威を実感していると原は眉をひそめる。 

原 「テレビを外から録画でき、エアコンも外から電源をオンにできる時代です。組み込み機器がインターネットにつながるようになると、攻撃される危険が高まります。組み込み機器を取り巻くセキュリティ環境は、今後急激に変わります」 

原の今後の目標は、開発の各現場にセキュリティ知識を浸透させ、開発・運用におけるセキュリティを日々高めていくことだ。

原 「インターネット越しにアクセス可能な端末であれば、サイバー攻撃をいつ受けてもおかしくありません。サイバー攻撃を受けてしまうと、自らが被害を受けるだけでなく、第三者への攻撃に加担させられるリスクがあります。開発・運用におけるセキュリティルールの整備や人材育成が急務であり、進めているところです」 

先取りしていくことで、より希少価値の高い人材になれる。 

原 「セキュリティ×何かの技術という、掛け合わせで考えることが重要。ぜひ、自分のオリジナリティを出せる技術を見つけてほしいですね。そのオリジナリティは必ず自分の強みとなり、仕事をするときの自信へとつながります」 

自らが語るセキュリティ×技術を体現する原は、近い将来起こり得るサイバー攻撃を迎撃するために、先頭を切って社内、そして社外にも発信。その経験は、ロールモデルとして多くの後進の目標になっているのだ。枠にとらわれずオリジナリティを追及し、今後も富士ソフトをけん引していく。