日立ソリューションズの“全方位的なセキュリティソリューション”を裏側から支援しているのが、腕利きのエンジニアやアナリストが集まるセキュリティプロフェッショナルセンタに所属する「ホワイトハッカーチーム」だ。いったいどのような人たちがどんな仕事をしているのだろうか。
今はデジタル技術の活用を抜きにして企業の成長は考えられない時代となり、サイバーセキュリティの必要性は高まるばかり。しかし、具体的に自社内でどのように対策を進めるかとなると、思い悩む企業は少なくないだろう。
そんな悩める企業に向けて「トータルセキュリティソリューション」を提供している日立ソリューションズのセキュリティソリューション本部では、腕利きのエンジニアやアナリストが集まるセキュリティプロフェッショナルセンタに所属する「ホワイトハッカー」たちの技術支援を得ながら高品質な製品やサービスを提供している。ホワイトハッカーチームに所属するセキュリティアナリスト、青山桃子氏に、その日常と仕事の醍醐味(だいごみ)、日立ソリューションズならではの取り組みについて話を伺った。
――今、国内のユーザー企業でセキュリティ人材が求められる「背景」とは何でしょうか。
青山氏 企業は今、デジタルトランスフォーメーション(DX)やクラウドシフトといった大きな課題に直面しています。その中で、ITは企業運営そのものになくてはならない要素となっています。新型コロナウイルス感染症(COVID-19)の影響で急激に導入が進んだテレワークによって、それを痛感した人も多いでしょう。
情報システムでデータを扱うとき、切っても切れないものが「セキュリティ」です。外部からのサイバー攻撃から身を守るだけではなく、ヒューマンエラーや内部不正の防止といった観点からもセキュリティが果たす役割は非常に重要になっています。そこで、「社内にセキュリティについて詳しい人材を持たなければならない」と多くの企業が考えるようになっています。
技術や作業自体は外注することもできるでしょう。けれど、自社にとって必要なセキュリティが何かを判断し、適切に外注するには、自社のビジネスとセキュリティ、双方を理解した人材が必要になります。つまり、ビジネスや経営とセキュリティの現場の「橋渡し」ができる人としてのセキュリティ人材が求められていると思います。
――青山さんご自身は、橋渡し人材というよりも、そうした人々を支援するセキュリティのプロフェッショナルですよね。
青山氏 私は学生のころからセキュリティを専攻してきました。日立ソリューションズに入社してからは、ネットワークセキュリティ機器のプリセールスとWeb/ネットワークのセキュリティ診断を担当しました。今は、「セキュリティプロフェッショナルセンタ」の中にある、ホワイトハッカー部隊に所属し、主に社内向けのセキュリティ技術支援をしています。セキュリティインシデント発生時の調査を支援したり、日立ソリューションズが提供するセキュリティサービスの企画検討に協力する他、セキュリティ以外の製品/サービスについてもセキュリティレビューに参加し助言しています。
学生のころは、純粋にセキュリティ技術を研究していましたが、社会に出てそれが少し変わりました。ただセキュリティを強化するだけではなかなかうまくいきません。「運用に影響を与えない、使いやすいセキュリティを提供することが、みんながセキュリティを守ることにつながるんだ」と感じるようになりました。「セキュリティと使いやすさはトレードオフの関係にある」といわれます。日立ソリューションズとしては、「どちらか一方ではなく、使いやすく、しかもセキュリティもしっかりしている世界をめざすことが大切だ」と考え、そうしたコンセプトで技術支援をしています。
――使いやすさに加え、コストという要素もあります。限られた範囲の中で、どこまでやれば安心できるのか、そもそも「安心と安全」をどう実現すればよいのかという相談も多いと思いますが、いかがでしょうか。
青山氏 セキュリティに限った話ではありませんが、物事に100%はありません。ですから、業界水準から見て十分妥当な対策を講じていても不安に感じるお客様はいますし、逆に、若干不安なレベルでも安心に思うお客様もいます。その中では、やはりコストとのバランスを見ながら対策を進めていくことが重要だと思います。限定的な効果しか得られない対策に多額のコストを掛けるという考え方は、適切とはいえないでしょう。コスト、そしてビジネスとの兼ね合いで納得いただけるような支援をしたいと思います。
――そうした支援をするために、日立ソリューションズではどのようにセキュリティ人材を育成しているのでしょうか。
青山氏 一般的なセキュリティ教育も行っていますが、日立ソリューションズならではの取り組みとしては、われわれホワイトハッカーチームが主体となって実施している「社内セキュリティコンテスト」があります。このコンテストは、実際の環境やシステムに触れ、手を動かすことで、実践的な教育を受けてもらうことを目的としています。グループ会社である日立ソリューションズ・クリエイトと共同で年に一度、コンテスト形式で実施しています。
このコンテストの目的は2つあります。1つ目は全社的なセキュリティ技術の底上げで、2つ目は専門的なセキュリティ技術を持つ人材の育成と発掘です。それぞれの目的に応じて2種類のイベントを実施しています。
――参加者はどのくらいいるのでしょうか。
青山氏 セキュリティに限らず、プログラム開発やインフラ構築に携わる人たちも含め、幅広いエンジニアが参加しています。1回あたりおよそ500〜600人は参加していますね。
――コンテストを通じてホワイトハッカーチームに加わった人もいるのでしょうか。
青山氏 はい。コンテストで上位に入賞した社員の中には今までセキュリティ業務を担当していなかった人でも、本人の希望もあってセキュリティに関する業務に携わる部署に異動した人がいます。他にもコンテストの上位入賞者でAI(人工知能)やプログラミングなどで高い技能を持っている人を見いだし、そのスキルを生かせるように適切に人材を配置しています。
――皆さん、コンテストに向けて予習したりするのでしょうか。
青山氏 そういう声も聞きます。「来年までに勉強したいから、いろいろ教えてほしい」と意見をもらったり、われわれホワイトハッカーチームが社内向けに開催しているセキュリティ技術の勉強会に積極的に参加していただいたりと、コンテストがポジティブに学ぶきっかけになっています。
――こうして高いスキルを示した技術者は、どのように評価されるのでしょうか。
青山氏 日立グループ全体の人材評価制度として「日立ITプロフェッショナル認定制度」があります。シルバー、ゴールド、プラチナといったプロフェッショナルとしての認定を受けたエンジニアは高度な知識や技能を備えた安心できるIT人材だということを日立グループ内で共有し、人材育成を行っています。
――ホワイトハッカーというと、昼も夜もなくコードを解析したり、脅威の動向を収集したりしているイメージがあるのですが、皆さんプライベートとの両立はできているのでしょうか。
青山氏 ワークライフバランスや育児に関して、とても理解のある職場です。私自身、2歳の息子がいます。保育園からの急な呼び出しがあっても、ホワイトハッカーチームのメンバーにフォローしてもらい、本当に助けてもらっています。「職場の理解はとても重要だ」と感じながら仕事をしています。お客様と直接接するのではなく、社内向けの技術支援という、時間を調整しやすい業務をメインに担当させてもらっていることも大きいですね。
また、コロナ禍によって急速に進んだテレワークですが、日立ソリューションズではもともとテレワークの基盤が整備されており、私も前からかなり利用していました。テレワークを使って時間を融通できるのは、本当に助かります。コロナ禍をきっかけにテレワークを導入した企業でも、今後活用していくといいんじゃないかと、自分の経験を踏まえても思います。
――セキュリティ関連業務のうち、テレワークではやりにくいことはありますか。
青山氏 解析の作業自体はテレワークでもできます。中には、実機に触れながら進めなければできない解析もあるので、そのときには現場に行く必要がありますが、それ以外は非常にテレワークがしやすい環境だと思います。
お客様への対応も、事前に詰めるべきところを詰めておけば、テレビ会議なども含めテレワークでやっていけると思います。1つ注意が必要なのは、機密情報の取り扱いです。セキュリティ関連の業務ですから、ときにお客様の個人情報やシステムの脆弱(ぜいじゃく)性情報といった機密情報を取り扱うこともあります。「自宅などの一般的には社内よりはセキュアではない環境で、そうしたデータをどのように取り扱うか」「どういったルールで、そうした業務を許可していくか」といったことをきちんと整備していけば、テレワークへの移行はしやすい部類の仕事だと考えています。
――男性社員でも、育児などと両立されているのでしょうか。
青山氏 はい。小学生のお子さんのためにお休みを取るなど、家族のために時間を取りやすい環境になっていると思います。
――とはいえ、限られた時間の中で業務を行い、家族との時間も大事にして、さらにセキュリティ技術者としてスキルアップしていくとなると、時間がいくらあっても足りないのではないでしょうか。何かコツはありますか。
青山氏 スキルアップにしても何にしても、楽しんでやることでしょうか。大変だと思ってやると疲労感がたまるかもしれませんが、自分にプラスになること、やりたいことに楽しんで取り組めば、自分の気持ちも上がりますし、時間のやりくりもできると思います。
――ホワイトハッカーチームの皆さんはそうしていらっしゃるのですね。
青山氏 そうですね。みんな、「こういう調査をしたい」「こういう技術を極めたい」といった自分の意思に基づいて、本当に楽しく仕事をしています。先ほど紹介した社内コンテスト自体、「こういうイベントをやりたい」とボトムアップで立ち上がった企画です。こうしたい、ああしたいという意見を取り入れながら、楽しんで運営できています。
――セキュリティという仕事の醍醐味はどこにありますか。
青山氏 純粋に「楽しい」ということもありますが、やはり、お客様に「安心」を提供できることが一番の魅力です。「情報セキュリティに詳しくないが、自社、そして顧客の大切な情報を、責任を持って守らなければならない」と考え、日立ソリューションズに相談してきてくださったお客様に、セキュリティに関するきちんとした知識や安心できるサービスを提供したいと常々考えています。そして、そうした困りごとの解決を支援できたときに感じるやりがいが、やはりこの仕事の魅力だと思っています。
――日立ソリューションズでは、セキュリティ人材育成の成果をどのように社内に生かしているのでしょうか。
青山氏 日立ソリューションズは、情報漏洩防止ソリューション「秘文」の他、セキュリティ診断サービスやMDR(Managed Detection and Response)など、高度なセキュリティ技術に基づくさまざまな製品やサービスを提供しています。ホワイトハッカーのような人材がこれらを裏側から技術的に支援することで、質の高い、安心して使っていただける製品やサービスの提供につながっていくと思います。
また、直接セキュリティに関連しないサービス、例えば一般的なWebアプリケーションの開発でも、セキュリティ技術は必ず求められます。最初に申し上げたとおり、ITが企業に欠かせない存在になっており、そのITに欠かせないのがセキュリティです。ですから、セキュリティコンテストなどを通して、会社全体で開発者、運用者のセキュリティ技術を底上げしていくことで、全ての製品やサービスの質を高めていくことにつながっていると思います。
――製品やサービス以外に、教育や人材育成なども支援していくのですか。
青山氏 人数も限られているためメインというわけではありませんが、外部向けにセキュリティ技術トレーニングも提供しています。また教育機関とも連携しており、2020年2月には早稲田大学と共同で、「情報セキュリティ vs AI 〜未来の脅威を読み解く〜」というテーマで、ワークショップも交えたシンポジウムを開催しました。
――個人ベースでコミュニティー活動や勉強会にも参加されていますよね。
青山氏 そうですね。私は「CTF for Girls」で活動していますし、他のメンバーも、本業ももちろんですが、それ以外で社会に貢献できる形で技術を提供しています。こうした場に参加すると新しい分野からの刺激や情報が得られ、自分自身にとっても楽しいですね。今はコロナ禍の影響で自粛モードですが、今後、Webなどを活用してまた再開できるといいなと思っています。
――青山さんがITやセキュリティ業界の動向をウォッチしている中で、今注目しているトピックは何でしょうか。
青山氏 テレワークの流れもあって、クラウドに関するセキュリティについてあらためて整理しておきたいですね。ゼロトラストとクラウドも関連性が高いので、それも使いこなしていけたらと考えています。
――最後に、情報システム部門の担当者に向けてメッセージをお願いします。
青山氏 最初に申し上げたように、DX化、クラウド化、そしてテレワークの推進が進むにつれて、何をやるにしても情報セキュリティが必要な世界になってきています。日立ソリューションズでは今日紹介したようにユニークな取り組みを通じて人材育成を行っています。もし、情報セキュリティに関して困りごとがあれば、ぜひご相談ください。皆様を助け、解決していけたらと思いますし、それが私たちの望みです。
Copyright © ITmedia, Inc. All Rights Reserved.
提供:株式会社日立ソリューションズ
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2020年8月7日