システム開発、基盤運用、PMOなど、今までのキャリアとは異なるセキュリティ業務を
株式会社NTTデータ フィナンシャルテクノロジーの前身・NTTデータシステム技術株式会社へ2007年に入社した河田。
河田 「入社してから最初の数年間は、いろいろなシステムを経験しました。入社当初に配属されたのは証券会社のシステムの基盤運用。次に、信託銀行で社内イントラ再構築案件を担当し、次に勘定系案件でプロジェクト管理業務を担当した後、国債清算システムの維持保守案件で業務チームリーダを担当しました」
初めてチームリーダを任されたことで、今までと仕事の取り組み方が変わってきたと言います。
河田 「約3年間、国債清算システムで業務を担当しました。国債清算システムは日本銀行ともつながっており、世の中にとって重要なシステムの一つ。そのようなシステムの業務リーダを任され、最初はプレッシャーもありましたが、自分の裁量でチームを動かすことができ、とても良い経験となりました」
リーダとしてプロジェクトを遂行し、自信をつけていった河田。次に担当したシステムにも思い入れがあると続けます。
河田 「今度は流通系プロジェクトにプロジェクト管理チームとして参画し、ポイントシステムを作り上げました。誰でも利用したことがあるような有名サービスだったので、自分たちが作ったものが多くの人たちに使われる嬉しさ、世の中に貢献できたという感動を肌身で感じた仕事でした」
取り組んだ作業が形になり、達成感や充実感が得られた瞬間であったと河田は言います。その後、クレジットカード会社のシステム開発を経て、クレジットカード決済のセキュリティ業務(3Dセキュア)を経験することになります。
河田 「3Dセキュアは、クレジットカードの不正利用を検知するセキュリティ関連の仕事であり、今まで経験してきた開発、基盤運用、プロジェクト管理とは異なるものでした。私はそれまでセキュリティに特別興味はありませんでしたが、このプロジェクトを通じて興味がわくようになりました」
これまでのキャリアとはまったく異なる業務に携わることになった河田ですが、このプロジェクトを通してセキュリティのおもしろさに気づけたと言います。
新たな業務を経験することで自身の「興味のあるもの」に出会った
2017年から、セキュリティに携わるようになった河田。業務を進めていくにつれ、その奥深さを知り、だんだん興味が湧いてきたと言います。
河田 「最初のセキュリティの仕事は、3Dセキュアのリスクベース認証機能におけるセキュリティ設計と監査対応でした。今までのプロジェクトではプロジェクトを管理する立場が多かったですが、本現場では、セキュリティ要件を満たすための実作業を数多く経験することができました。プロジェクトを管理する立場から、実行する立場に役割が変わったんです。
サーバやNWの技術的な要素も多く、日々調べながら検討を進めていましたが、今までにない充実感を得ることができました。自分は技術寄りの作業が好きなんだと改めて気づかされました。設計を進めていくうちに理解も進み、仕事で取り扱うカード決済のセキュリティはもちろんのこと、サーバや通信方式などのセキュリティにも興味が湧くようになっていきました」
セキュリティ自体に興味が湧いてきたため、会社の資格支援制度を使い、業務外での勉強を始めることにした河田。
河田 「まずは情報処理安全確保試験士の勉強から始めました。サーバ側の知識は業務で実機を触りながら理解していましたが、セキュリティの体系的な知識が不足していると感じたので、資格試験を通じてその部分を理解することにしたんです。
会社からは資格試験の通信講座をサポートしてもらいましたし、資格取得後も情報処理安全確保士の登録費用、毎年発生する高価な資格維持のための研修費用も自己啓発制度として支援してもらっています」
河田は、セキュリティの資格取得後もエンジニアとして注意していることがあると言います。
河田 「セキュリティの世界は日進月歩の世界。そのため、インターネットなどを通じて複数サイトからの情報収集を毎日する必要があります。また、情報収集だけではなく、情報を発信していくことで、理解を整理することも重要です。今は社内に閉じて情報発信をしていますが、いずれは対外的にも情報発信していきたいと思っています」
セキュリティ業務ではお客様とコミュニケーションも大切で、ご要望や裏の意図を読み取る力も重要な要素の一つです。
河田 「私が今、担当している3Dセキュアリスクベース認証機能は、クレジットカードの不正取引をユーザの振舞いに応じてスコアで評価するもので、不正のすり抜けや誤検知のトレードオフがついて回る、難しい分野です。お客様にそういったリスクをご理解いただき、そのうえでニーズに合わせた最適化を行っています。私たちの提案するセキュリティ対策がお客様に、どれだけ納得感を持ってもらえるかが大変重要になってきます」
セキュリティ対策をお客様に提案する際は、お客様に寄り添いながらも考えられるリスクははしっかりと伝えていくことを心がけていると河田は言います。
セキュリティの奥深さを知り、積極的に研修やセミナーに参加して知識を吸収
セキュリティの勉強を進めた河田は、セキュリティの奥深さを知るにつれて、積極的に外部の研修やセミナーにも参加するようになりました。
河田 「興味のある外部セミナーに参加して、新しいことに出会う機会を意識的に増やすようにしています。普段は業務で忙しいため、意識して時間を作るようにしています。参加することで、知識を深めたり、興味のある分野を広げたりしています。今は攻撃者目線でセキュリティを考え、不正の全体像を把握することに興味がありますね」
外部セミナーや研修だけでなく、NTTデータグループで実施しているセキュリティのイベントにも参加しています。
河田 「NTTグループで開催しているセキュリティイベント『NTT CTF』にも参加しました。これは大変おもしろかったです。CTFとはハッキング技術を駆使して隠されたFlagを見つけ出し、時間内に獲得した合計点数を競うコンテストです。通常のセミナーではあまり触れることのない実際の攻撃手法を、実機を使って試すため、システムの動きも良くわかります。とても貴重な経験で、攻撃者が脆弱性をどのように攻略するかを体験できました。
また、事前の動画もあり、初心者からでも参加できるような枠組みも備わっています。セミナー本番の問題は相当難しいですが、解説もついていますので消化不良で終わるということはなかったですね」
セキュリティはさまざまな分野と関わりがあり、クラウド関連のセミナーにも積極的に参加している河田ですが、今めざしているのはデータサイエンティストの資格取得だと言います。
河田 「セキュリティとデータサイエンスは結びつきが深い分野です。セキュリティ対策を行う場合、仮説を立て、分析し、検証することが重要で、その際に実際のデータを見る必要があり、データ分析はセキュリティエンジニアにとって必要なスキルなんです」
セキュリティとデータサイエンスをかけ合わせて、お客様により良い提案をしていきたいという河田。日々着実に成長を遂げています。
スキルアップには惜しみない援助をしてくれる風土のおかげで、次の目標へ進んでいける
外部セミナーや研修にも積極的に参加し、自己研鑽を続けて充実した日々を送る河田。挑戦する背中を押してくれる会社の風土が、とてもありがたいと言います。
河田 「会社が設定してくれる研修もありますし、自分の業務に必要なスキルであり、習得することで業務に貢献できる資格やセミナーについては、会社は積極的にGOサインを出してくれます。セキュリティの最上位資格の一つであるCISSPの研修にも参加し、無事に合格することもできました」
挑戦を続ける中、河田がセキュリティ業務でめざしている姿があります。
河田 「セキュリティ分野で技術系のスペシャリストになりたいと考えています。専門分野について社外に発信して、プレゼンスを発揮していきたいです。さまざまな業界において、セキュリティの設計から実装までを行えるスキルは、今後ますます重要になっていきます。そういった領域において、会社を牽引できる人材になっていきたいです」
安全・安心なシステムの提供とセキュリティ業務のスペシャリストをめざして、河田は次の目標に向かって歩み続けます。

