若手セキュリティ人材に知らせたい、「ちゃんと守れた」を伝える訴求力 「問題が起きない＝評価されない」にしない考え方

阿部：「守る」ということが、誰の目線で、どう考えているかで結構変わってしまいます。技術者が上と話が合わないみたいなのは、それぞれ守りたいと思うことが違うから起きていることで、これをしっかり定義できている会社は話が通りやすい。

　要するに、経営者の目線ではKPIや使うべき技術など、ロードマップが整っていることが必要で、経営課題にひも付けばつながっていく。そこが本来そろっている考える必要がある。ぼんやりと「ランサムウェアが怖いから守らねば」ではなく、経営者として資産や知財、レピュテーションリスクを考え、それを守るためにランサムウェア対策を考え、現場はバックアップなどの仕組みを実現する。セキュリティに限った話ではないと思います。

辻：「組織人」になれるかというような、普遍的な部分かもしれませんね。

●阿部式・スキルチャートを導入

辻：阿部さんも長くSOCのキャリアを続けられていて、部下もたくさんいらっしゃると思うんですけど、さっき話したような考え方ってどうやって伝えているんですか？

　僕は若干の危機感を持っていて、エンジニアとキャリアアップしてきた人とが、どこかで分断されてしまっているように思えるんです。SNSでも「ペネトレーションテストやりたいです」「CTF（Capture The Flag）得意です」みたいな方が目立つように思います。5年後、10年後も同じことができる方もいなくはないとは思うのですが、一握りだと思いますし、立場も変わっていくべきだと思っています。未来があるその人たちに何かを伝えるとしたら、どういう伝え方されているのかなと思って。

阿部：結局は分担論だと話をしています。仮にうちのチームで何をやっているかを紹介すると、このセキュリティ含めた業務は3つの領域に分かれますって話をよくしています。1つが「マネジメント」。2つ目が「運用」、3つ目が「技術」。メンバーそれぞれが得意なところをやるからこそ、お客さまを助けられるわけです。

　それらの領域ごとに5つずつの業務が定義されていて、計15の分野を設定しています。その中でどれがやってみたいですかと話しています。若い子は技術志向になりますし、ちょっとシニアになると、プロダクトやエンジニアリングのマネジメントに向かうよう、目標を持ってもらいます。トータルで見たときに、会社全体のチャートとして過不足ないチーム作りを目指しています。

辻：ネットで見ていると、「自分はテクノロジーを追いかけているけど、結局出世するのは陽キャやん」なんて発言も見られます（笑）。技術力がなくてもコミュニケーション力があればいいのかよ、と。そういう人たちをやる気にさせるにはどうしたらいいんだろうというのを悩んでいます。僕に部下は一人もいないけれど（笑）。