セキュリティ×クラウド、フォレンジック キャリアの幅を広げるエンジニアの幸せな働き方とは：掛け合わす“変数”を増やせる環境に

セキュリティ人材の不足が続く中、セキュリティエンジニアのキャリアも多様化している。どのキャリアが自身に合っているか、判断ができない人もいるのではないだろうか。セキュリティエンジニアとしてさまざまなキャリアが展望できる一例として、日本総合研究所のセキュリティチームで働くエンジニアたちに話を聞いた。

[PR／＠IT]

PR

　シンクタンク・コンサルティング・ITソリューションの3事業を展開し、ITソリューション領域では三井住友銀行（以下、SMBC）とともにSMBCグループ全体のサイバーセキュリティ対策を支える日本総合研究所（以下、日本総研）。

　そこで中心的な役割を果たすのが同社のセキュリティ統括部に在籍するセキュリティエンジニアだ。今回は2人のセキュリティエンジニアに、これまでの職歴や日本総研を選んだ理由、現在の仕事や今後のキャリアビジョンについて、セキュリティ系ライターの高橋睦美さんを交えて語ってもらった。

（左から）セキュリティ系ライターの高橋睦美さん、日本総研の増井健人さんと石原義久さん

セキュリティエンジニアを目指したきっかけは？

　一口にセキュリティエンジニアといっても、最初から目指す人もいれば、Webサイトに攻撃を受けたことがきっかけで関わるようになった人など、そこに至るいきさつはさまざまだ。学生時代に遭遇した事故を機にセキュリティを学び始めたり、Webサイトを構築する中で脆弱（ぜいじゃく）性に興味を持ったり、あるいは漫画や小説で「ハッカー」に憧れを抱いたりと多くのエンジニアを取材してきた高橋さんは、2人のキャリアに興味津々。「何がきっかけでセキュリティエンジニアを志し、日本総研へ入社したのでしょうか」と早速尋ねた。

　石原さんはゲーム業界出身というユニークな経歴を持つ。

　「ゲーム会社で10年ほどソフトウェア開発をしていました。今後のキャリアを考えて汎用（はんよう）的なスキルを身に付けたいと思い、SIer（システムインテグレーター）などへの転職を視野に情報を調べ始めました」

　転職活動を進める中、多くの領域でセキュリティ対策の知識やスキルが必須だと知った。「セキュリティ」に絞って転職活動を進めたが、ゲーム業界の知識のみでセキュリティエンジニアに転職するのは難しかった。そこで、経済産業省の「第四次産業革命スキル習得講座」（Re スキル講座）でフォレンジックを学び、情報処理安全確保支援士の資格を取得した。

　その後、フォレンジックサービスの会社に入社。約50件の調査に携わった。経験を積む中で、より長期的な視点でセキュリティエンジニアとしてキャリアを積みたいと考えるようになり再び転職活動を始め、日本総研と出会った。

　「慣れ親しんだゲーム会社のセキュリティ部門への転職も考えました」と振り返る石原さん。しかし、国内有数の金融グループに属する日本総研なら、より高度な知識やスキルを身に付けられると考え転職に踏み切った。当初は不安もあったが、思い切って飛び込んだ現在の環境に満足している。

　石原さんの経歴に高橋さんは「キャリアを徐々にセキュリティ寄りへしていったのではなく、あえて厳しい環境に挑戦したんですね」と驚く。

　新卒で入社した増井さんも、セキュリティエンジニアを初めから目指していたわけではない。「リーマンショック直後だったこともあり、志望していたマスコミ業界は全滅でした。就活サイトやパンフレットを見て日本総研に応募しました」

　元来コツコツ取り組む性格で、自分が努力すれば着実にステップアップできるIT業界に魅力を感じた。入社後、アプリやネットワークの保守開発チームに3年半在籍し、「キャリアの強みになる」と思い社内公募で海外拠点に赴任。ニューヨークの子会社でネットワーク、セキュリティのプロジェクトを5年にわたり経験した。帰国後は現在のセキュリティ統括部に在籍する。

　増井さんの場合、特に米国での経験がセキュリティエンジニアという選択に影響を及ぼした。

　「米国ではネットワークのセキュリティ製品導入案件でプロジェクトマネジャーを務め、SOC（Security Operation Center）チームの立ち上げにも関わりました。これまでに経験したことのないスケールで、さまざまな立場の人をコーディネートしてまとめた成功体験が大きな自信になりました。また、サイバーセキュリティは今後ますます重要視されていく領域だと感じたため、日本でも挑戦したいと思いました」

　増井さんの経験を聞いて「ある意味“戦略的”に海外へ渡り、そこでの経験が転機になったんですね」と高橋さん。「お二人ともいきさつは違ってもキャリアを着実に歩まれた結果、セキュリティエンジニアとして日本総研で活躍する今につながっているのは興味深いですね」と述べる。

当事者としてSMBCグループ全体のサイバーセキュリティ対策を担う

　2人が在籍するセキュリティ統括部は、SMBCグループ全体のセキュリティ監視を担う「SOCチーム」、セキュリティ製品の導入・検証や脆弱性診断を行う「対策チーム」、CSIRT（Computer Security Incident Response Team）をメインに大学との共同研究やエンジニア採用などに携わる「企画チーム」があり、増井さんはSOCチーム、石原さんは企画チームに所属する。特徴的なのは、日本総研とSMBCのセキュリティ担当部署が同じフロアで一体運営しながら、SMBCグループ全体のサイバーセキュリティ対策に当事者として携わっている点だ。グループ企業間の連携強化をはじめ、金融グループ特有の脅威に対する分析の高度化や技術的な対策の強化を推進している。

　「SOCチームの役割にはセキュリティアラートの分析やマルウェア解析、フォレンジックなど今実際に起きているサイバー攻撃への監視や対応だけでなく、SMBCグループのセキュリティ監視を発展、改善させるための企画も含まれます。私はグローバルとクラウドをキーワードに監視品質の向上や、対象領域の拡大などSOCの強化につなげる企画を推進しています」（増井さん）

　「CSIRTのメンバーとして業務にあたっています。突発的なインシデントや脆弱性への対応が最優先ですが、多くのメンバーは中長期のプロジェクトを担当しており、私も複数のプロジェクトを動かしています」（石原さん）

過去の経験や人との出会いが成功につながる

　プロのセキュリティエンジニアとしてキャリアを歩んでいる2人。そこにたどり着くまではさまざまな経験があったはずだ。日本総研の業務を振り返り、やりがいや成長を実感した瞬間を高橋さんが聞いた。

　石原さんは「インシデントを防ぐための知見を高められたこと」や「フォレンジックの知見を社内で生かせたこと」を挙げ、次のように語る。

　「日本総研に入社する前は、フォレンジックベンダーでインシデント被害後の対応を専門に行い、技術的なスキルや解析能力を深めてきました。現在は日本総研のCSIRTとして、インシデント被害が発生する前の事前準備や訓練に取り組む中で、フォレンジックの知見を生かせていると実感しています。例として、インシデント対応訓練のシナリオ作成を担当した際には、実際に遭遇したマルウェアの挙動をもとに、よりリアルなシナリオを作ることができました。現在は、対応策の策定やセキュリティポリシーの構築などのスキルを磨くことができ、セキュリティエンジニアとしての成長を強く実感しています」

　増井さんは「過去の経験や人脈が成功につながっていると実感した瞬間」を挙げた。

　「米国の経験を基に別の国でSOCを立ち上げたり、当時関わった日本のメンバーと一緒に仕事することになって『その節は……』と話が盛り上がったり、新しいことに挑戦するたびにキャリアの伏線を回収しているようでうれしく、やりがいを感じます」

　この話に高橋さんもうなずく。「SIerの業務は1つのプロジェクトが終わるとお客さまとのつながりも切れてしまうケースも多いと聞きます。グループの金融システムを担う日本総研では、培った人脈を生かしてさらなる挑戦ができる機会が多いのかもしれませんね」

同じベクトルで進む仲間がいる理想の環境

　仕事をしていく上で仲間や先輩の存在も大切だ。「セキュリティエンジニアの中には、助け合える仲間やロールモデル、師匠のような存在がいないと嘆く人が多いように感じます。お二人はどのように感じていますか」と高橋さん。

　増井さんは「すべてのメンバーに対して何かしら尊敬できる点があります。また、近年は新卒時からセキュリティエンジニアを目指し入社する社員も増えており、若手社員のチャレンジングな姿勢に刺激を受けています」と語る。

　石原さんは「製品選定をする際には、幅広いセキュリティ製品があるため判断に迷うこともあると思います。日本総研には、どの製品でも必ずエキスパートがいるため専門的な見識から選定することができます。もはやメンバー全員が師匠ですね。私も得意としているフォレンジック以外のことを聞かれる機会が増えましたが、答える側としてもっと貢献していきたいと思います」と意気込む。

　2人のコメントを受けた高橋さんは「師匠を求める以前に、高い技術力やセキュリティ対策への使命感を持つ仲間が周りに少ないと悩むエンジニアは多いです。同じ方向を向いて一緒に進める仲間がいる環境は大変恵まれていて、エンジニアにとって希少な会社だと思います。仲間と成功、失敗体験を活発にシェアすることでチームが自然と強くなっていき、持続可能な組織につながっていくのではないでしょうか」と述べる。

セキュリティエンジニアの未来のために、掛け合わす“変数”を増やせる環境を

　最後に高橋さんから、金融業界におけるセキュリティ対策の第一線で活躍するエンジニアとして感じる、日本企業が抱えるセキュリティ対策の課題や対策は何か、また自身がどう関わっていきたいかを聞いた。

　セキュリティ人材のワークエンゲージメントについて大学院で研究している増井さんは、「モチベーション維持」を課題として挙げる。セキュリティエンジニアは仕事にやりがいを感じて熱心に取り組む人が多いが、業務の性質上、過度なストレスや疲労によって「燃え尽き症候群」に陥りやすい傾向にあるという。「見た目では分からないけれど実は“爆弾”を抱えているような状態」（増井さん）の人も珍しくないとのこと。

　これに対する解決策について、増井さんは次のように説明する。

　「セキュリティ×クラウド、セキュリティ×フォレンジックのようにセキュリティと掛け合わせる“変数”をより多く選択できるような環境に身を置くことが重要です。モチベーションを維持できない原因の一つは『この仕事はもう未来がない』『この会社にいてもやりたいことができない』など選択肢や可能性がなくなってしまうことに起因します。選択できる変数を増やせる環境かどうかが、モチベーションの維持やより良いキャリアの選択にもつながると思います」

　一方、石原さんはフォレンジック業務の経験から「セキュリティに対する投資意識の欠如」を挙げる。インシデントが発生した企業は驚くほどセキュリティ対策への投資が少なく、余計なコストと捉えていた傾向にあったという。

　「日本総研で積み上げた知識を糧に、日本企業全体のセキュリティ意識の向上に貢献したいと考えています。経営者の方に、セキュリティ対策に投資する必要性や意義を感じていただけるような啓発活動を行っていきたいですね」

　高橋さんも深くうなずき、「投資を判断する経営層へのメッセージ発信の重要性はずっと言われ続けています。最近はサプライチェーン全体でセキュリティ対策の向上に取り組む動きもあり、社会全体で底上げできるようになるといいですね」と共感する。

　日本総研には知識やスキルが豊富な人材も、成長を遂げられる環境もそろっている。セキュリティエンジニアとして、掛け合わせる“変数”を増やせるキャリアを目指したい人は同社の扉をたたいてみてはどうだろうか。