取引先のセキュリティ対策支援とセキュリティ人材の育成を担当
NECソリューションイノベータは、従業員数約1万3,000名を有する国内最大級のソフトウェア企業です。ITでさまざまな社会課題を解決するこの企業で、セキュリティエンジニアとして働くF.MとI.Nは、取引先のセキュリティの課題と日々向き合っています。
F.M 「私のチームはセキュリティサービスの提供をミッションとしています。主に取引先の工場などの制御システムが対象です。それとは別に、セキュリティ人材の育成も行っています。I.Nさんはクラウドのノウハウを持っているので、クラウドセキュリティを担当してもらっています。チームのメンバーは計4名で、I.Nさんもそのうちのひとりです」
I.N 「私は主にクラウドサービスのセキュリティ対策支援をしています。たとえば、NECが提供するサービスのインフラがクラウド上にあり、そのインフラのセキュリティ対策の提案から実施まで行うといった内容です。F.Mさんと同様に、セキュリティ教育にも携わっていて、外部でセキュリティ人材育成のプログラムの講師を務めたり、社外向けのセキュリティセミナーの講師をしたりもしています。
学生時代は、数学科で、そもそもITの業務内容はまったく知らない状態でNECソリューションイノベータに入社しました。配属されてすぐ、上司のすすめでクラウド関連の社内研修を受け、そこから勉強が始まりました。後で聞くと、クラウドが得意な人材が少ないので、頭の柔らかい新人に担当させようという狙いだったようです」
同じ部署でセキュリティエンジニアとして働くF.MとI.Nは、上司と部下の関係にあたります。F.MとI.Nが所属するデジタル事業ライン デジタル基盤事業部 第三グループとはどのような案件を担当する部署なのでしょうか。
F.M 「現在の部署がデジタル基盤事業部という名称になったのは、2020年になってからです。第三グループは、私が東京大学への出向から戻ってから発足した新しいチームです。個々のメンバーが、クラウドや組み込み、Active Directoryセキュリティなど、コアな技術を持っているので、出向時のノウハウや各自の強みをビジネス化していくのがチームのミッションだと考えています」
I.N 「たとえば、私はAWS(Amazon Web Service)のセキュリティ対策支援サービスの開発に携わっています。具体的には、意図しないまたは不必要なリソースがないか定期的にチェックするサービスなどを開発中です」
システムエンジニアを続ける上で、何かに特化した強みがほしかった
I.Nは、もともと高校の数学教員になりたいと考え、大学の数学科に入学しました。当時は、エンジニアになる未来は想定していなかったものの、研究室配属後に暗号理論を学んだことをきっかけにセキュリティシステムの分野に興味を持つようになります。
I.N 「セキュリティに携われるシステム会社はほかにもありますが、当社はセキュリティ教育に力を入れている点がポイントです。最近は、外部でのセキュリティ人材育成に携わる機会もあります。もともと教員をめざしていたこともあり、教えるのは得意なので、強みを活かせていると思います。
最初は何も知らない状態で、急にクラウドを担当と言われても、ITすら知らないのにどうしよう……。と思っていましたが、上司や先輩から励まされて、頑張ってクラウド関連の資格を取得しました。
私はエンジニアを続ける上で、何か特化した強みを持っていることが重要と思っています。入社してから、マルウェアの解析に詳しい先輩、WAF(Web Application Firewall)に詳しい先輩などと出会い、自信をもって自分の技術について話しているところを見て、かっこいいなと思い、自分も何か強みを持ちたいと思ったのです」
一方、F.Mは入社当初、セキュリティ業務ではなく、SEとして開発業務に従事していました。セキュリティエンジニアと通常のSEでは働き方の違いはあるのでしょうか。
F.M 「SEはものづくりに近い業務ですよね。それに対し、セキュリティはものをつくるというよりは品質を高めるのが目的で、重要ではありますが、成果がわかりやすい形としては見えづらい仕事だと思います。
私が本格的にセキュリティ業務に携わったのは、2015年からJPCERT/CCに出向し、脆弱性検証やサイバー攻撃対応支援を担当したときからです。ここは、日本全体のサイバーセキュリティを守る政府的な組織で、中立的な立場で日本のセキュリティを向上させる活動を行っていました」
I.N 「その後、東京大学へ出向されたんですよね?」
F.M 「JPCERT/CCで知り合った方から東京大学で新しい仕事やるから一緒にやらないかとお声がけいただき、興味深かったので、自ら志願して出向する形で、その仕事を受けました。
東京大学では、セキュリティ中核人材育成プログラムのプログラム開発・講師や攻撃検知などの研究を担当しました。出向先でさまざまな経験をしたことで、セキュリティ関係の人脈が大きく広がったのは、収穫だったと思います」
I.N 「そのときにできた人的ネットワークを業務でフルに活かされていますよね。現在のグループが抱えている案件は、F.Mさんの人脈ありきのケースが多いと思います」
そんなふたりは、2023年3月現在の部署で具体的にどのようなプログラムを構築し、どのようなセキュリティサービスを創出しているのでしょうか。
F.M 「JPCERT/CCへの出向時代の経験を活かして、自社ビジネスとしてちょうど2年前くらいに立ち上げたのが、Active Directoryセキュリティリスク診断サービスです」
I.N 「私は現在入社4年目で、今年度からF.Mさんのグループに入りました。これまでの3年間もさまざまなことに挑戦してきましたが、このActive Directory診断や制御システム診断の業務に参加し、まだまだ知らないことがたくさんあることを痛感しています。しかもF.Mさんは、名古屋工業大学の大学院で社会人ドクター(博士研究員)として、サイバーセキュリティの研究も行っているんですよね」
F.M 「社会人ドクターについては単純に勉強したいという意志もあるのですが、新たな人脈づくりの狙いもあります。大学院では、制御システムのセキュリティを専門にしています」
攻撃者の視点に立ってセキュリティを突破してこそ見えるものがある
そんなふたりの共通点は、セキュリティ人材育成に携わっていること。現在はセキュリティ教育のプログラム開発や講師業務も行っていると言います。
F.M 「開発しているプログラムは、どちらかと言うと実習形式のものが多くて、オンラインよりは対面で行うケースが多いですね」
I.N 「たとえば、受講生にサーバ構築からアプリケーションの構築までやってもらって、講師陣がその環境に攻撃してメチャクチャにしてセキュリティ対策をしないとこうなると身をもって知ってもらうという過酷な講習をやったりしています(笑)。
講義の受講者は普段自社のセキュリティ対策を担当されている方が中心で、教えたことをそういうことかと頷いてもらえる反応がうれしいですし、授業が終わった後に、詳しく質問を受けるときなどもやりがいを感じます」
2019年入社のI.Nに対し、F.Mは2004年入社。15年も先輩にあたります。I.Nから見たF.Mはどのような上司なのでしょうか。社内の雰囲気も気になるところです。
I.N 「私にとって、F.Mさんと出会うまでの上司というのは現場を離れてマネジメントをするイメージだったのですが、F.Mさんはいつも現場にいるんです。そして、私たちが技術的に困ったときにすぐに相談にのってくれます。いつまで経っても現場にいて、技術的にも一番詳しいところをすごく尊敬しています」
F.M 「私のチームは新しいことに挑戦する機会が多いので、チーム一丸となって課題に取り組む必要があります。私自身も日々、試行錯誤の連続です。一方で、クラウド領域はI.Nさんの方が詳しいので、そこは安心してお任せしています。チームとしての団結力は、かなりあると思いますね」
I.N 「F.Mさんが、チームとして大切にしていることはありますか?」
F.M 「いい意味で楽観的というか、細かいことを気にしすぎない姿勢は大切にしていますね。新しい挑戦には、失敗はつきものです。ただ、それを気にしすぎていてもチャンスを逃すことになります。試行せずに何も変わらないより、やって失敗した方がいいかなという気持ちで取り組んでいます。I.Nさんは、仕事をする上で大切にしていることはありますか?」
I.N 「私は自分が学んだ内容を誰かに話すことを重要視していて、会社から言われて資格の勉強をして終わりではなく、そこで学んだことをプロジェクトのメンバーに話したり、社内で勉強会を開催して発表したりして、業務に還元することを心がけています。
せっかく勉強したなら、チームの成長にもつなげたいと強く思っています。最近は、チームの壁を越えて、部署の若手社員を集めて、AWS勉強会を開催したりしています。やはり誰かと知識を共有することで、はじめてスキルとして定着する実感があります」
企業の生産現場の制御システムやクラウド環境のセキュリティ業務を担うのが、セキュリティエンジニアです。F.MとI.Nのふたりは、この仕事のどのような点にやりがいを感じているのでしょう?
F.M 「一般的なSEだと固定のお客様がいて、継続の案件に取り組むことが多いと思うんです。一方、私のチームはまったく逆で、固定のお客様は基本的にいなくて、各案件から得られた新しいセキュリティのノウハウをサービス化していくような仕事の進め方をします。お客様も新規の方が多いので、だんだん信頼を得てリピートしていただけたときはうれしいですね。
また、セキュリティは守る側のイメージが強いなと思うのですが、私のチームではペネトレーションテストといって、攻撃者の視点に立って実際に悪さをしてみるようなことをします。攻撃者の立場に立ってみるとより守る方法がわかるので、それがすごくおもしろいなと思いますね」
I.N 「私も同じで、攻撃者が垣間見えるのがおもしろいと思っています。ペネストレーションテストもそうですが、私はセキュリティ製品のログを分析する機会が多くて、それを見ると会社のサーバがかなり攻撃を受けているのがわかるんです。普段、自分から他社のサーバを攻撃するようなことは絶対にないので、攻撃者の詳細な手口を観察できるのはおもしろいです。
こんなこと、大学時代はまったく考えていませんでした。暗号を研究していて、これをNECソリューションイノベータでもやりたいと思っていたわけではなく、ただなんとなく、暗号といえばセキュリティ……。という感覚で採用試験を受けました」
新たに学んだ知識をチームで共有できる人と一緒に働きたい
そんなふたりがかねてから力を入れているのが、次世代のセキュリティエンジニアの育成です。今後、どのような人に仲間入りしてほしいと思っているのでしょうか。
I.N 「自分がバックグラウンドとして持っているスキルや新しく学んだ知識をチームで共有できる人と一緒に働きたいなと思っています。セキュリティ分野だけではないと思いますが、この業界は進化のスピードが速いので、常に勉強する姿勢が重要です。積極的に情報共有してくれるメンバーがいたら刺激になりますね」
F.M 「セキュリティ分野は、人脈がとても大切です。というのも、1社だけではとても守りきれないので、外部組織や同業者と情報交換を常に心がける必要があるのです。その点で、コミュニケーション能力も求められますね。セキュリティ分野は、いろいろな技術の上に乗っているものなので、幅広く学びたいという人に向いていると思います」
I.N 「人脈というのは特定の人ではなく、常に幅広い分野の人とつながっていく必要があるという意味ですよね?」
F.M 「そうですね。特定の人だけで集まっているのみでは、入ってくる情報も限られてきますからね」
セキュリティエンジニアとして、それぞれの強みを活かしながら、活躍の場を広げるふたり。今後、NECソリューションイノベータでどのような存在になっていきたいと考えているのでしょうか。最後に将来にビジョンについて聞きました。
F.M 「NECソリューションイノベータ内での部門間の連携、さらに、NECグループ内の企業連携に注力したいですね。外部とのハブになれるような存在になっていきたいと思っています」
I.N 「出向や社会人ドクターなども経験されて、見えてきたこともありますか?」
F.M 「忙しいなかでも楽しんで仕事をするのが何より大切だと思っています。すべて100点をめざすと多分できないので、70点くらいの気持ちで、あまり完璧をめざしすぎずにやっている感じです」
I.N 「新しいことを続けていくためには、そんな少し肩の力が抜けた姿勢も大事なんでしょうね」
F.M 「100点だけをめざすと、できることも限られてきますからね!」