手厚い育成と「外資系らしからぬ」文化で華開く、セキュリティコンサルタントというキャリア：未経験から挑戦できる場所がここにある

エンジニア経験を生かし、資格取得支援やメンター指導でプロフェッショナルへ成長する。多様な業務で自分を磨き続けられるキャリアが、ここにある。

PR／＠IT

PR

　ランサムウェア（身代金要求型マルウェア）感染や情報漏えいの被害が増えるにつれ、セキュリティインシデントが起こった際、IT部門や経営層などの社内のステークホルダーと連携して対応に当たるとともに、日頃から教育などを通して防止に取り組むCSIRT（Computer Security Incident Response Team）を設置する組織や企業が増えてきた。

　ただ、官公庁や事業会社のCSIRTにセキュリティの専門家がそろっているケースは少ない。いざというときにどう判断を下し、何から手を付けていくべきか、緊迫した場面で迷うこともままあるだろう。

　Musarubra Japanは、ソリューションブランド「Trellix」の下、そうした企業を支援するセキュリティコンサルティングサービスを提供している。エンドポイントやネットワーク、ログ解析といった幅広いセキュリティソリューションを長年にわたって供給し、最前線の脅威動向を把握してきた知見を生かし、インシデント対応からセキュリティ教育・訓練、さらに監査に至るまで、幅広いサービスを担っている。

　セキュリティコンサルタントとしてこれらのサービスに携わるTrellixの三宅梨沙さんは「お客さまと近い距離で、生の声に耳を傾けながらアウトプットを作り出していけることにやりがいを感じています」という。

Musarubra Japan プロフェッショナルサービス本部 パブリックサービス部 セキュリティコンサルタント 三宅梨沙さん

　三宅さんがいま担当しているのが、官公庁向けのCSIRT支援だ。セキュリティ教育のコンテンツ作成や標的型攻撃メール訓練で利用するおとりメールの文面作成など、さまざまな業務に従事している。

　「こちらから提案し、それに対する『もっとこうしてほしい』といった要望を受けて修正するサイクルを繰り返しながら最終的なアウトプットを作り上げるところが、やりがいになっています」

　支援を通して顧客のセキュリティ対策が成熟し、リテラシーやセキュリティ文化の醸成につながっている手応えも感じている。

セキュリティの楽しさを知り、さらなる成長を目指してTrellixへ

　そんな三宅さんだが、もともとはセキュリティコンサルタントではなかった。大学では電波関連の研究に取り組み、新卒で就職した大手重工メーカーではソフトウェア設計、開発に従事していた。その後、縁あってサイバーセキュリティ関連の部署に異動したことが、セキュリティ分野に携わるきっかけだったという。

　「IoT（Internet of Things）デバイスに対する攻撃経路を検討したり、プロダクトオーナーとして重要インフラを守るセキュリティ対策製品をアジャイル方式で開発してPoC（Proof of Concept：概念実証）を実施したりと、それまでとは違った仕事に触れ、とても楽しいと思うようになりました。加えて、この先サイバーセキュリティが重要な要素になっていく実感もあり、もっと学びたいという気持ちが芽生えました」

　これらの業務に必要となる体系的な知識を身に付けるため、「GSEC」（GIAC Security Essentials）や「GCIH」（GIAC Certified Incident Handler）といったセキュリティ資格も取得した。しかし、「その先」を目指そうとしたところで壁を感じたという。

　「セキュリティ製品を導入すると、過検知も含めさまざまなアラートが出ます。その後の対処をどうすべきか、重要インフラを止めていいものか迷う場面がありましたが、より高度で専門的な知見の必要性を感じていました」

　悩んだ末、サイバーセキュリティに特化した会社で経験を積み、より成長していきたいという思いが強くなり、転職を決意。これまでの製品開発経験を生かし、自社製品を持ち顧客の課題を解決できる企業で働きたいと考えてTrellixへの転職を決めた。

　Trellixの名前は、過去に視察で訪れたセキュリティイベント「Black Hat」で目にしていた。「ITのセキュリティだけでなく、IoTや制御システムのセキュリティも手掛けているという展示を見て、興味を持っていました」

　かつて重工メーカーに就職した理由の一つに、国の安全を守り、広く世の中の役に立てる仕事に就きたいという思いがあり、Trellixの事業領域にも通ずるものを感じていたという。

勉強時間の確保に配慮し資格取得を支援、メンターによる実践的な指導も

　Trellixではコンサルティング業務に携わることになった三宅さん。従業員の成長を後押しするTrellixの有形無形の支援によって、思った以上にスムーズに業務をキャッチアップしている。

　技術的な面では、「CISSP」（Certified Information Systems Security Professional）の取得が入社後すぐの目標であった。三宅さん自身ももちろん努力したが、「費用面のサポートはもちろん、勉強する時間が取れているかどうかまで配慮して業務量を調整してもらえました。ここまでされたら勉強せざるを得ないというか、『絶対に取るぞ』とモチベーションが上がり、勉強に身が入りました」という。

　周囲にはさまざまな資格を持つメンバーがおり、勉強方法に関するアドバイスを気軽に求められる環境にある。いい刺激を受け、次は監査業務に関する「CISA」（Certified Information Systems Auditor）資格取得に向けて勉強を進めているところだ。

　「勉強することで、お客さまがおっしゃっていることがより深く理解できるようになってきました」

　見事一発でCISSPを取得した三宅さんだったが、一方で気にかかっていたのが、顧客向けのコミュニケーションやコンサルタントとしての考え方といったソフトスキルの不足だった。「前職でもお客さまの前で話す機会はありましたが、場数も少なく、力不足を感じていました」

　そこで大きな存在となったのが、シニアセキュリティコンサルタントとして活躍する同じチームの先輩で、三宅さんのメンターとなった菅原陽子さんだ。

　「私の所属するプロフェッショナルサービス本部では、毎年1月、現在のスキルを踏まえ、今後どのようなスキルを身に付けたいか、どのような研修を受けたいかをヒアリングします。そこで菅原さんとも相談し、外部のクリティカルシンキングに関する講座を3カ月ほど受講し、考え方を鍛えることができました」（三宅さん）

　顧客にプレゼンテーションや提案、質問に対する回答などを出す際には、まず三宅さんが案を作成し、セキュリティコンサルタントとして長い経験を持つ菅原さんがレビューし、「顧客は何を求めているのか」「何がポイントになるのか」を踏まえて改善案を伝えている。最初は手取り足取りだったが、三宅さんの吸収が早く、徐々に菅原さんの業務を引き継ぎつつあるそうだ。

　「私の成果物を細かく見た上で、『こういう理由だから、もう少しこうした方がいい』と具体的に指摘をしてもらい、何度もやりとりが往復することもあります。ここまで労力をかけて指導してくれる人はそうそういないと思いますし、私のことをちゃんと思って指導してくれている優しさを感じます」（三宅さん）

「手厚いサポートのおかげで、セキュリティコンサルタントとしてのキャリアとプライベートを両立できています」と語る三宅さん

　菅原さんは、三宅さんが一人前のプロフェッショナルとして育ってくれれば、未来の自分にも返ってくるものがあると考えている。

　「三宅さんに仕事を任せられるようになれば、私がもっと違う業務をしたり、仲間として相談したりできるようにもなります。後輩の育成も大切な業務の一つです」（菅原さん）

　三宅さんと菅原さんは、いまも定期的に1on1ミーティングを行い、業務の進め方や、今後担当したい業務などについて相談している。プライベートについて相談することもあるという。

　「こうした手厚いサポートをしていただいているおかげで、セキュリティコンサルタントとしてのキャリアとプライベートを両立できています」（三宅さん）

外資系らしからぬ温かい空気感で、助け合う文化も

　菅原さんは、システムエンジニアとしてキャリアをスタートさせた。「当時からバグを探すのが好きで、得意分野でした。よく分からない状況から答えや道しるべを探すことが面白く、それがいまのインシデント対応支援でも生きていると思います」という。

　小学生の子ども2人の母親である菅原さんは、テレワークを組み合わせ、仕事と育児、家事を織り交ぜながら両立させている。

　「お客さまに成果物を納めなければならないといった期限はありますが、そこまでの時間の使い方は個人の裁量に任されています」（菅原さん）

Musarubra Japan プロフェッショナルサービス本部 パブリックサービス部 シニアセキュリティコンサルタント 菅原陽子さん

　菅原さんと同様に、それぞれのワークライフバランスで仕事と育児や介護を両立させている従業員は多い。チーム全体が「お互いさま」の精神で、個人の事情を酌み取りながら助け合ってプロジェクトを進めている。「『外資系』という言葉からイメージされるドライな雰囲気はなく、困ったときには助け合う温かい文化があります」と三宅さんは言う。

　「経験の浅い私が意見を言っても、メンバーが頭ごなしに否定するようなことはなく、いったん受け入れてくれます。心理的安全性が保証されたここの文化が好きです」（三宅さん）

　三宅さんも菅原さんももともとは別の分野の出身だが、Trellixでは同じように、システム開発やインフラ、あるいはコンサルティングなど、さまざまな経験を持つメンバーが働いている。チームのメンバーそれぞれが強みを生かし、補完し合うことで、より良いサービスを提供できると考えている。

　「セキュリティに関する知識を持っていればもちろんありがたいのですが、それと同じくらい大切なのは、コンサル的なものの考え方ができるかどうかです。一つのことを突き詰めて考えたり、物事を多面的に捉えたりできる方が、こうした業務に入りやすいと思います」と菅原さんは述べる。

　多様な業務にチャレンジし、さまざまな経験ができるTrellix。三宅さんは今後、より顧客の幅を広げ、未経験の業務にどんどん取り組んでいきたいと考えている。一方菅原さんは、さらに上のレイヤーで、組織全体を見据えた視点から顧客と会話し、支援できるようになることが目標だ。2人のように、自分を磨き続けていける場がTrellixと言えそうだ。