スマートフォンとインターネットが生活に当たり前のように入り込み、さまざまなビジネスでもオンラインを無視することができなくなった。それに伴い、サイバーセキュリティの重要性は高まってきている。しかし、肝心のセキュリティ人材は不足しており、サイバーインシデントは絶えることがない。
一方その現場には、セキュリティのために働く人々がいる。ITmedia NEWSでは、その“働くセキュリティ人”たちに注目。2021年度の総務大臣奨励賞を受賞したポッドキャスト「セキュリティのアレ」のメンバー・辻伸弘氏と一緒に、セキュリティに携わるキーパーソンたちを訪ね、その未来を語る企画をスタートする。
第1回となる今回は、日本セキュリティオペレーション事業者協議会(ISOG-J)の「セキュリティ対応組織の教科書」やITU-T国際標準勧告「X.1060」を執筆し、GMOサイバーセキュリティ byイエラエでSOC(Security Operation Center)事業を立ち上げた阿部慎司氏を迎え、SOC人材の未来やサイバーセキュリティの理想を語り合った。その対談の様子を前後編でお届けする。
後編となる本稿では、若手セキュリティ人材に知ってほしい考え方や、それをどのように伝えるかが焦点となった。
前編:「大企業を守るには、中小を守らねば」──セキュリティの“周回差”、ニッポンらしい埋め方は
●「セキュリティ人材」に必要なスキルとは?
──セキュリティ人材不足が叫ばれています。人材育成に関して感じることはありますか?
辻:僕、人を育成したことはあんまりないんですが、その思いだけは人一倍あります。世に言う「空回り」ですけれど(苦笑)
セキュリティ人材を育成することは大事なことだと思うんですけど、“とがった人材”に話が行きがちすぎるというか。そういう人たちを育成すること自体は悪くはないんですが、お客さまが置かれた現状とのギャップを埋めにくく、セキュリティに詳しいがゆえに、セキュリティに詳しくない人たちの気持ちや、感覚を掴みにくく、理解するまでに越えないといけないハードルがいくつかあるように思うんです。
技術は、時間とお金、そして労力をかければある程度ついてくると思うんです。それを人に伝える、あいだを取り持つということは、相手のリソースを考えつつ、100%ではなかったとしても「このくらいがいいのでは?」と言えること。いまよりもいいものに導けるスキルこそ、これから求められるものなのではないかと思います。
仕事でしゃべることが多くなってきましたが、聞いていただいた方から「分からなかったことが分かった」とかと感想をいただくことも増えました。多分、世の中にある説明が、まだうまく伝わってないのではないか、分かっている人の視点で書かれてしまっている説明が多いんじゃないかと思います。
人事の人から「どういう人材が必要になるんでしょうか」と聞かれることも多いんですが、技術よりも「ロジカルシンキングができて、会話がちゃんとできて、文章が書ける人」と答えます。こういうのがスキルとして認められないと、ギャップが広がってしまうのではないでしょうか。
阿部:実際に必要なスキルというと、政治力含む社内での立ち振る舞い方とかもですよね。結局、事件は会社のなかで起きているんです。その会社の中で、どう解決するための動きができるかというところがフォーカスされるはずなので、単に技術を持っていても、誰も動かなかったら何も解決しません。
アウトソース/インソース議論もその一環だと思っていて、セキュリティのことにも下地があるけども、社内のこともよく分かっている必要がある。私がISOG-J(日本セキュリティオペレーション事業者協議会)で書いた「セキュリティ対応組織の教科書 第3.1版」も、アウトソースとインソースの区分って会社の中の情報を使うか、外の情報を使うか、そこにセキュリティのスキルを使うかによってマッピングをしています。
参考:活動成果|ISOG-J:セキュリティ対応組織の教科書 第3.1版
辻:自分が守るべきものがお客さまであったり、自分の組織であったりといろいろ形がありますが、求められるのは「訴求力」なのではないかと思います。自分たちが入れたいと思う製品やサービスを、上層部にどれだけ訴求できて、説得できるかっていうところ。
僕もそうでしたけど、若いときは「自分が持つ技術力はすごい」と自己評価が高くなりがちですよね。それを上は何も分かってないみたいなことを言っちゃうのはやっぱりよろしくない。自分の持っている素晴らしいもの、素晴らしさのその価値を説くことができないと、多分お給料も上がらないし、自分たちの成果を見せにくいっていうか。
セキュリティとは、ちゃんとやっていて守れたのか、それとも攻撃が来なかっただけなのか、パッと見では分かりません。それをアピールする“力”みたいなものがないと、認めてもらえないのではないかと思います。
阿部:「守る」ということが、誰の目線で、どう考えているかで結構変わってしまいます。技術者が上と話が合わないみたいなのは、それぞれ守りたいと思うことが違うから起きていることで、これをしっかり定義できている会社は話が通りやすい。
要するに、経営者の目線ではKPIや使うべき技術など、ロードマップが整っていることが必要で、経営課題にひも付けばつながっていく。そこが本来そろっている考える必要がある。ぼんやりと「ランサムウェアが怖いから守らねば」ではなく、経営者として資産や知財、レピュテーションリスクを考え、それを守るためにランサムウェア対策を考え、現場はバックアップなどの仕組みを実現する。セキュリティに限った話ではないと思います。
辻:「組織人」になれるかというような、普遍的な部分かもしれませんね。
●阿部式・スキルチャートを導入
辻:阿部さんも長くSOCのキャリアを続けられていて、部下もたくさんいらっしゃると思うんですけど、さっき話したような考え方ってどうやって伝えているんですか?
僕は若干の危機感を持っていて、エンジニアとキャリアアップしてきた人とが、どこかで分断されてしまっているように思えるんです。SNSでも「ペネトレーションテストやりたいです」「CTF(Capture The Flag)得意です」みたいな方が目立つように思います。5年後、10年後も同じことができる方もいなくはないとは思うのですが、一握りだと思いますし、立場も変わっていくべきだと思っています。未来があるその人たちに何かを伝えるとしたら、どういう伝え方されているのかなと思って。
阿部:結局は分担論だと話をしています。仮にうちのチームで何をやっているかを紹介すると、このセキュリティ含めた業務は3つの領域に分かれますって話をよくしています。1つが「マネジメント」。2つ目が「運用」、3つ目が「技術」。メンバーそれぞれが得意なところをやるからこそ、お客さまを助けられるわけです。
それらの領域ごとに5つずつの業務が定義されていて、計15の分野を設定しています。その中でどれがやってみたいですかと話しています。若い子は技術志向になりますし、ちょっとシニアになると、プロダクトやエンジニアリングのマネジメントに向かうよう、目標を持ってもらいます。トータルで見たときに、会社全体のチャートとして過不足ないチーム作りを目指しています。
辻:ネットで見ていると、「自分はテクノロジーを追いかけているけど、結局出世するのは陽キャやん」なんて発言も見られます(笑)。技術力がなくてもコミュニケーション力があればいいのかよ、と。そういう人たちをやる気にさせるにはどうしたらいいんだろうというのを悩んでいます。僕に部下は一人もいないけれど(笑)。
阿部:イエラエの場合、3つの領域、それぞれ5つの業務で15分野に分けた後、その1個1個の“箱”にさらに4段階のレベルを分けています。レベル4まで行けばじゃあ次はこっちにしよう、というかたちで。実力がポイントになっているので、それがそのまま給与にもマッピングされるようにしています。これはSOCですけど、イエラエでは他の分野でも同じようなスキームが採用されるようになりました。
──辻さんも、会社内で「部下を育てろ」みたいな指令はないんですか?
辻:「お前のコピーを作れ」って言われたことも過去にありますが、いつも跳ねのけています。それは自分がすごいとかいう意味ではなくて、コピーを作る必要なんてないですし、そんなにオススメできるものでもないと思っているからです。いつも一人で決めて、自分でやるみたいなのが板についてしまっているんですが、誰かを育てる、というのも興味はあります。
阿部:個々の技術については教えることはできると思うんですが、組織としての観点であると、マネジメント領域ならPMP(プロジェクトマネジメント・プロフェッショナル)や情報処理安全確保支援士といった資格をただ単に取ればいいというわけでもなく、組織ごとに必要な人材もスキルも違うはずです。
辻:そういう意味だと、僕は何かを教えたいというよりも、若い人たちと日常会話をたくさんしたいですね。若い人が何に価値を見いだしていて、どんな考えを持っているのか、お互い分からないじゃないですか。与えるだけじゃなく、僕が得られるものもたくさんあるから、技術というよりも対話がしたいです。そうすれば、お互いの視野がもっと広くなるはず。それが足りていない気がしますね。
「お前もおっさんになったら分かる」というフレーズほど、若い人に刺さらない言葉ないじゃないですか(笑)。押しつけがましくならないように、会話の中で価値観の1つとして伝えられるといいですね。
阿部:方向性を見いだしてあげる必要があると思います。「ペネトレーションテストをやりたい」という言葉のその裏にある、“なぜ”を掘り下げていく。それが純粋に技術として楽しいからだとしたら、じゃあなぜ技術を楽しいと思えるかを掘っていくと、だんだん人間味が出る方向になってくると思うんです。
よくある例え話なら「君はなぜ石を積んでいるんだ?」と。石を積む仕事だからか、家を建てようとしているからか、いやこれは今後立派な教会になって、いろんな人を救うんだとか。そういった視点を高めてあげれば、技術をやりたいという思いが、何をかなえたくてそう思っているのかっていうところに自覚的になっていけると、自然と視野が広がっていく。それが大人の役割なのかなというのを、40代になって思い始めています。
●「子どもも興味を持つサイバーセキュリティ」を目指し
──辻さんは講演やポッドキャストで、阿部さんもイエラエ公式YouTubeなどで、積極的にセキュリティの情報を発信されています
辻:いろんな経路で、いろんな方法で発信したいと思っています。手を替え品を替え、自分の伝え方を変えながら、というのを意識しています。セキュリティの情報がまだ届いていないところがたくさんありますので。
阿部:明らかに届いていない人たちがいるので、入口を用意しなければと思っています。例えばYouTubeは子どもたちもよく見ているじゃないですか。わが家でも弁護士の方のチャンネルを子どもが見て、「六法全書が欲しい」というほどにもなりました。
そういうことができるのはすごいですね。上手にやれば、サイバーセキュリティでも子どもたちに刺さるコンテンツにできるのかもしれないとも思います。もっと間口を広げないといけないのかもしれません。そういうことがそのうちできるといいと思っていますね。
辻:いろいろなところで話をする機会があるんですが、以前キャラクター事業を手掛ける大手企業で講演したときに、「サイバーセキュリティのキャラ作ってくれませんかね?」ってお願いしたんですよ(笑)。少なくとも自分がいる場所からでは届きにくいところにも届くかもしれませんし。言うのはタダですからね(笑)。
阿部:以前、日本科学未来館でも、マルウェアのデモを含めた講演をやったことがあるんですが、子どもたちも自分ごととして見てくれたし、親御さんもすごいと言ってくれた。これがとても印象的で、忘れられない出来事でした。みんなの安心、安全のためのセキュリティ。自分たちは、そういうみんなが守られる世界を目指している。いつかはそこにたどり着けるようになればいいと思っています。
──ありがとうございました。