PR：現職分野を生かしてセキュリティの世界で活躍する

ITエンジニアにとって重要なのは、今後“売れる”技術を学び、自分にしかできない分野を確立することだろう。これが実現できる技術分野として最適なのがセキュリティ分野である。セキュリティコンサルティングの草分け、NRIセキュアテクノロジーズにセキュリティコンサルタントになる秘けつを聞いた。

　セキュリティ分野は技術知識の集大成

　＠IT自分戦略研究所とJOB＠ITが2009年6月に実施したITエンジニアの意識調査によると、実に8割以上のITエンジニアが仕事における将来的な不安や危機感を抱いている。彼らはこの状況にどう対処しているのだろうか。同調査によると、「新しいテクニカルスキルを身に付けるための勉強」「資格取得またはそのための勉強」「マネジメントスキルの勉強」に勤しむという回答がトップ3を占めている。

NRIセキュアテクノロジーズテクニカルコンサルティング部部長鈴木伸氏

　問題は、「今後、売れる技術や資格は何か」ということだ。SaaSなどのWebサービスが浸透していく中で、システム開発の手法は少しずつ変化している。いわゆる“標準技術”は成熟期に入り、Javaや.NETの技術者の数は増える一方だ。つまり、これまでと同じことや、ほかと同じことをやっていては、なかなか差は付かない。ITエンジニアは、もともと勉強熱心で、最新技術の習得や海外動向の収集には余念がない。その向上心を駆使し、自身の新たな付加価値を創出するには、単に使える技術の種類を増やすだけでなく、さまざまな技術知識を体系化し、自分にしかできない分野を確立することが必要だ。これが実現できる技術分野として最適なのが、セキュリティ分野である。

　セキュリティコンサルティングの草分け的存在であるNRIセキュアテクノロジーズ（NRIセキュア）テクニカルコンサルティング部部長の鈴木伸氏は次のように話す。

「セキュリティは、技術・マネジメントという総合的な観点で対策を考えていかなければなりません。技術的な観点でいえば、ネットワーク、OS、ミドルウェア、アプリケーションと、複数のレイヤでさまざまな脆弱性があります」

　ソフトウェア、ハードウェア、ミドルウェア、そしてビジネス・ヒューマンスキルと、セキュリティ分野はエンジニアが有するすべての技術の集大成なのだ。

　総合的な提案をするために必要な
「1つの専門技術＋3つのビジネススキル」

NRIセキュアテクノロジーズテクニカルコンサルティング部上級セキュリティコンサルタント観堂剛太郎氏

　1995年に野村総合研究所内のビジネスユニットとして設立され、2000年にNRIセキュアテクノロジーズとして株式会社化した同社は、インターネット黎明期から今日に至るまで、セキュリティ市場とユーザー企業の動向をずっと見つめ続けてきた。

　テクニカルコンサルティング部上級セキュリティコンサルタントの観堂剛太郎氏によると、「ここ数年は、ユーザー企業の担当者自身が相当勉強しており、知識レベルが一段と高くなっています」という。そのため、セキュリティコンサルタントに求められる知識や提案スキルは年々高くなっている。日々更新されるあらゆるレイヤの脆弱性や、ハッキングの手口・技術を知り、かつシステム技術についての知見が求められるのだ。特に金融業界などセキュリティ意識が高い業界になると、こうした技術知識の有無については、「（セキュリティコンサルタントと）ほぼ互角でしょう」（観堂氏）とのこと。そのため、セキュリティコンサルタントに求められる成果は、「セキュリティリスクの優先度を付けること」「具体的な対処策の提案」だと述べる。

　例えば、鈴木氏と観堂氏が所属するテクニカルコンサルティング部は、技術観点からシステムを診断する「セキュリティ診断サービス」を展開している。同様のサービスは他社にもあるが、中には診断レポート提出に終始し、具体的な対策の提案にまでつながっていないケースがあるという。そのような状態では、セキュリティ対策が不十分になってしまう可能性が高いためNRIセキュアは、ユーザー企業の業務やシステムの構成を考慮し、リスクの優先度を付けて、具体的な対策を提示する。

　さらにいえば、他部門と組んで、費用対効果を最大限化するセキュリティ対策プランや、内部的なセキュリティルールの策定にあたるなど、技術とマネジメントを一体化させたセキュリティコンサルティングができるという強みを持つ。その中で求められるのは、専門の技術知識という柱を“1本”持っており、加えて「コミュニケーションスキル」「プレゼンテーションスキル」「情報収集力」がある人材なのだ。

　セキュリティコンサルタント、鈴木氏と観堂氏の場合

　鈴木氏、観堂氏の2人は、共に「アプリケーション開発に従事していた」という経歴を持つ。鈴木氏は金融業界向けのスペシャリストとしてCOBOLによる資産運用システムの開発に従事し、観堂氏はJavaプログラマとして活躍。その知見は、セキュリティコンサルタントの仕事を遂行するうえでも役立っているという。

「システム開発の勘所を押さえているため、セキュリティホールが発生する原因や脆弱性をあらかじめ予見できます」（観堂氏）

　もちろん前述したとおり、セキュリティの脆弱性や攻撃対象は、ネットワークからアプリケーションまでさまざまなレイヤがある。だからこそ「総合的に解決するためには、チームを組んでコンサルティングに当たります。各人がチームで力を発揮するには、“誰にも負けない”技術の柱を1本持っていることが必要です。それぞれの強みを融合し提案することができるからです」（鈴木氏）。

　例えば同社テクニカルコンサルティング部は、セキュリティ診断の結果を基に、「Webサイトのセキュリティ診断：傾向分析レポート2009」を発表している。このレポートによると、全体的な傾向として、致命的な欠陥が発見されたWebサイト自体は減少しているものの、「全体的なセキュリティ対策に至っていない」という結果が出た。そのリスクの種類と原因を調べていくと、設計の段階で何らかの手を打っておけば、低コストでセキュアなWebサイトが実現できるという結果が得られた。これは同部に所属するメンバーが、システム開発にさまざまな役割や立場で参画してきたからこそ見えた結果だろう。

　ただし、前述のとおり、技術知識があればそれで十分というわけではない。なぜなら開発現場と異なり、セキュリティ問題や対処策は、企業トップに直々に提示することが多いため、技術的なセキュリティリスクを経営リスクの観点で説明しなければならないからだ。そこで、「経営層は、どのような提案を求めているのか」「どのように説明すれば、理解してもらえるか」という、コミュニケーションスキルとプレゼンテーションスキルが必要になるのだ。

　このようなビジネススキルは、一朝一夕には育たない。特にプレゼンテーションスキルは、場数を踏んで鍛えられるものなのだ。NRIセキュアでは、事前に社内でプレゼンテーションのシミュレーションを実施し、スキルを鍛えているというが、「やはり、初めてのプレゼンテーションでは緊張しました」（観堂氏）という。

　もちろん、コミュニケーションスキルやプレゼンテーションスキルが生かせるのも、根底に技術知識やセキュリティ知識があってのことだ。そのため、セキュリティコンサルタントには、何よりも「情報収集力」や「最新技術に対する興味・関心」を備えていることが求められるのである。

　技術への向上心がセキュリティ分野での可能性を無限に広げる

　セキュリティコンサルタントは、日々新しい脅威や脆弱性が発生する中で、その先を行く防御策を考えなければならない。そのためには総合的な技術知識が必要とされる。

「ただし、1人の人間がすべての技術知識を身に付けようと思っても、それは不可能でしょう。それよりも、セキュリティという軸で自分の知識を昇華させるような勉強をした方がいい」（鈴木氏）

　つまりセキュリティの分野は、ITエンジニアが生来持つ勉強意欲や情報収集力が、ほかのどの分野よりも生かせるのだ。

　時には、ユーザー企業のシステムの脆弱性を調査するために、クラッキングの手口を使って調査することもある。脅威に立ち向かうには、“敵”と同じ目線に立ち、「どの脆弱性を突くことが最も効率が良いか」を考える必要があるからだ。一方、防御策を講じるときには、「自分の知見やチームメンバーの知識を結集し、『新しい策を提案する』というやりがいがあります」と観堂氏は語る。日々勉強し、新しい技術をいろいろなシステムで試し、その先を見据えた提案をする――。

　今後、企業内だけでなく、ネット家電が生活の中に入っていくと、セキュリティに対する意識は、家庭・個人レベルでも高まりを見せると思われる。そうした時代の変化の中で　セキュリティは、今後ITエンジニアにとってますます活躍の可能性が期待できる分野なのだ。