Tech総研
2005/7/20
| 今年4月から個人情報保護法が全面的に施行になったものの、情報が漏えいしたというケースは絶えない。企業の情報セキュリティへの関心はとても高いが、結果がまだ十分に出ていないところが多いようだ。いま情報セキュリティのプロフェッショナルになれば引く手あまたか?(Tech総研/リクルートの記事を再編集して掲載) |
PART1 |
■セキュリティ市場は2007年に1兆円市場に成長
2005年4月1日に施行された、「個人情報の保護に関する法律」(個人情報保護法)。加えて相次ぐ情報漏えいや不正アクセスによるサイト閉鎖などによって、企業も個人もセキュリティへの関心が高まっている。
それを反映して、セキュリティ市場も拡大の一途をたどっている。富士キメラ総研の調査によると、2003年のセキュリティサービスの市場規模は4981億円(実績)。それが2007年には1兆1095億円になると予測している。セキュリティサービスとはセキュリティ検査やセキュリティポリシーの策定から教育、セキュリティ設計と構築、不正アクセスやウイルスの監視、電子認証サービスなどを指す。つまり、セキュリティ製品やツールなどを単体で売ること以外のあらゆるビジネスが含まれる。
■外部セキュリティから内部セキュリティへ
特に最近では、セキュリティサービスの流れは外部から内部へと変化している。というのも大規模な企業では、ファイアウォールや不正アクセス防止ソフトウェアを導入するなど、外部セキュリティへの対策はすでに行われていることが多いからだ。またそれだけでは、セキュリティ対策は万全ではないことも明らかになってきた。そこでいま、多くの企業が積極的に取り組んでいるのが、蓄積した情報を保護するための仕組みづくり、いわゆる内部セキュリティへの対策である。
このように範囲が広がってきたセキュリティ業界。そこではどんな企業がどんな人材を求めているのか見てみよう。
PART2 |
Company1 |
セキュリティシステムの開発 ――CIJ |
■暗号を使ったミドルウェアの開発
独立系ソフトウェア開発会社のCIJは、業界でもかなり早い時期からセキュリティのソフトウェア開発に取り組んできた企業の1つ。新規ビジネス事業部 ネット&セキュリティ部 部長 清水邦彦氏によると、同社のセキュリティビジネスは大きく2種類に分かれるという。第1が暗号エンジンを呼び出すAPIなどのミドルウェアの開発。第2がそれらの製品を使った認証局のシステムづくりである。
「私たちの仕事は、顧客が会社間や個人間でやりとりをする際、データを盗まれないようなセキュアな仕組みのエンジンを開発することです。しかも、顧客にとって効率的なものでなければならない。どういうAPIがあればよいか、顧客の潜在的な要求を掘り起こしていくのです。私たちが行っているアプリケーションの開発は、顧客にはまったく見えない部分です。だからこそ、一般のソフトウェア開発とは一味違った面白さが味わえるのです」(清水氏)
■「セキュアである」ことへの意識が身に付く
清水氏はCIJでコンパイラの開発や大規模オンラインの開発支援に携わった後、5〜6年前に現在の役職に就いた。その経験から「セキュリティシステムの開発とはいえ、特にこれを知らなければならないという技術要素はない。例えば、暗号ロジックの開発者であれば数学を知らないと無理でしょう。しかし当社での仕事は、その暗号ロジックを利用して、どのくらいセキュアな環境を生み出さなければいけないかを考えることですから」と語る。
清水氏自身、セキュリティにかかわり始めた5年前には「新しいことに携わっているんだ」という自負があったが、いまでは「セキュリティはエンジニアにとって常識的な知識になりつつある」と実感している。
「今後は業務システムなど、固有のプログラムをセキュアにしていかなければならない。現在、そういう経験者が圧倒的に不足しています。セキュリティシステムの開発に携わることで、セキュアであることの必要性を理解できる。そういう意識を持ったエンジニアは今後、高く売れるようになると思いますね」(清水氏)
Company2 |
セキュリティ製品の開発 ――フューチャーテクノロジー研究所 |
■ハードウェアのセキュリティ製品を開発
2003年9月に、「面白くて役に立つ技術分野の開発を行っていきたい」という思いから設立されたフューチャーテクノロジー研究所。同社で開発された第1号製品が、USBキーにセキュリティ回路を組み込んだ「SEQA-Z」だ。SEQA-Zの最大の特徴は、暗号化通信においてデータのスピードが劣化しないこと。OSI階層モデルの第1、第2レイヤというレベルにおいて、独自のルールに基づき暗号化するためだ。
暗号化はパケット単位に行われるため、解読も困難である。さらに、USBキーにはそれを使用するパソコン固有のIDが振られる。このIDを監視サーバに登録、管理するため、万一キーが盗難に遭ってもなりすましは不可能である。この7月にもリリースされる予定だが、某市役所への導入が決まるなど、すでに実績もあるという。
■技術を応用し、機能を限定して製品を生み出す
セキュリティ製品の開発企業であるにもかかわらず、同社は工場を持たない。その理由について代表取締役会長 杉山修氏は次のように語る。
「暗号などの理論構造を考えるのは大学などの研究者に、製造は安価で高品質に製造できる最適なラインを持ったメーカーに依頼するという形を取っています。つまり当社のエンジニアに求められるのは、機能を定義して製品を作ること。例えば、業態別に使い方を考えて、その理論構造をうまく生かす最適な設計をする。回路設計や通信の知識、セキュリティシステムの開発経験のあることは望ましいですが、何より技術を応用して何かを生み出すという、柔軟な考え方ができることが重要です」(杉山氏)
同社のメンバーはほとんどが団塊の世代。そのため杉山氏は「単なる技術屋で終わるのではもったいない。世の中で役立つ製品を生み出すためにも、若手エンジニアにはマーケットや経営にも興味を持ってほしい。そういうチャンスが当社にはいっぱいあります」と語る。
PART3 |
CASE |
「将来は企業リスク管理の専門家」 ――東京海上日動リスクコンサルティング 脇田修二氏(31歳) |
|
|
■技術スキルをコアに視野を広げたい
システム開発会社でネットワークや業務システムの構築・運用に約3年間携わってきた脇田氏が、現在の会社に転職しようと思ったのは、「技術的なスキルだけでは影響を及ぼせる範囲が少ない」と感じたためだ。ネットワークやシステムの構築において、セキュリティの知識はいまや不可欠となっている。しかし、情報リスクの管理という視点でとらえたとき、技術的な面だけでは対処できないという現実がある。そこで「環境やPL(product liability:製造物責任)など、ほかの分野のリスクにも長年取り組んできた東京海上日動コンサルティングなら、これまでとは違う視点から情報のリスク管理について考えられるかもしれない」と思ったそうだ。 現在の脇田氏の仕事はセキュリティを実現するための体制構築。セキュリティポリシーの策定から教育、ルールづくりなどである。 「エンジニア時代に培った技術的な知識は非常に役立っています。しかし、セキュリティを考慮したシステムづくりをしていたとはいえ、セキュリティを実現するための体制構築や仕組みづくりは初めて。ISMS規格などの教科書的なスキルは研修によって習得しましたが、コンサルティングの方法など仕事のやり方については、ほとんどがOJT。やっと慣れてきたところです」 (脇田氏) ■仕組みのないところに仕組みをつくる面白さ エンジニア時代との大きな違いは、「技術だけを追求する姿勢ではうまくいかない」ことだ。「例えば技術的な視点からだけで考えると、『システムを止めない』ことのみを追求してしまう。しかし、顧客にとって情報の価値はさまざま。その要求に応じて、情報リスクが考慮された技術を提供していかなければならない。技術的な追求のみに面白みを感じる人にとっては、ストレスになるかもしれませんね」と脇田氏。またどういう仕組みづくりをするか、顧客と話をし、提案することから始まるため、どうしても「コミュニケーション能力が重視される」という。 最大の面白さは、仕組みのないところに仕組みをつくるため、その成果が見えるところだと脇田氏はいう。 「欧米では、日常は危険と隣り合わせであるという考え方が浸透していますが、日本では危険に対する備えはこれからです。リスクマネジメントをもっと知ってもらうことに注力しています。その一環として雑誌への寄稿や本の執筆ができることも、この仕事のやりがいですね」(脇田氏) そんな脇田氏は、情報セキュリティのオペレーショナルスキルをコアとした、リスクマネジメントの専門家を目指している。 |
||
PART4 |
■採用意欲が高いユーザー企業
セキュリティ系の求人は現在、どのような状況にあるのか。リクルートエイブリック 第一ビジネスユニット IT通信サービスマーケット CA3グループ キャリアアドバイザー 垣見大介氏は「IT系企業からの求人ニーズは以前同様、高い状況が続いています。個人情報保護法の施行直前の2、3月ごろからは、IT系企業に限らず、金融や電機メーカーなどユーザー系企業の採用意欲も高まっていますね」と語る。
セキュリティ系のエンジニアとひと口にいっても、IT系、ユーザー系の違いによって求められる知識・経験は大きく2極化していると垣見氏はいう。IT系の中小システム開発企業やインターネットサービスを提供する企業の場合は、経験よりもセキュリティへの志向が大きなポイントとなる。一方、IT大手やユーザー系では経験が重視される。「即戦力を求めているので、例えば中小のシステム開発会社でセキュリティシステムをバリバリ構築している、というレベルの経験が必要です」(垣見氏)。
しかし、セキュリティの専門家が少ないのも現実だ。それ故、中小のIT系企業では、ファイアウォールや電子認証のサーバを構築したことがある、またはセキュリティ製品の技術営業に携わっていたという経験でも、採用される可能性はいまなら十分にある、と垣見氏はいう。
■セキュリティをコアスキルにするメリット
セキュリティ系の求人は、今後もしばらくは伸びていくと予想される。では、この分野に転身するとキャリアにどのようなプラスとなるのか。
「これまで、企業のリスク管理担当というと、希望する人が少ない職域でした。というのもセキュリティは効率性や利便性と相反するもの。ユーザーに喜ばれる仕事ではないからです。しかし、企業が本腰を入れて、リスク管理への取り組みを行うようになりつつあり、これからはセキュリティやリスク管理担当のポジションや仕事の重要性はかなり上がっていくので、それに伴って高い評価を得られるようになるでしょう」(垣見氏)
CIJの清水氏も語っているように、今後、ITにかかわる人材なら誰でも、より深いセキュリティの知識が不可欠になることは間違いない。つまりエンジニアの基本スキルに加え、いち早くこれらの知識をコアスキルとすることで、市場価値を高めることができるのだ。いまなら、大手メーカーからも引っ張りだこのセキュリティスキル。それを身に付けるために、この分野に転身を考えてみるのも“アリ”とは思わないか。
セキュリティスキルで広がるキャリアの可能性
|
| ☆セキュリティのプロの決め手は総合力 | |
セキュリティには総合的な視点かつ専門的な技術が必要で、高度な分野だと思う。実装が厳重だろうが、逆に緩慢だろうが、最終的には結果責任で会社に損害を与えないことが重要になる。 そのバランスも大事だ。時にセキュリティと利便性はトレードオフになる。随所に対処を施すなど、厳重にすれば安心かもしれないが、それが社員の生産性を落とすことになっては、本末転倒にもなりかねない。 究極的にいえば、セキュリティとは人間の悪意からの防衛ではないかと思うことがある。技術だけでは防ぎきれないが、せめて技術的にできることを総合的に行うのが、情報セキュリティのプロの範ちゅうとなるのだろう。 企業の情報が被害に遭わないために総合的に対処できる視野とスキルがあれば、システムの内容や企業の業種によることなく永続的な武器になることは間違いない。 (加山恵美) |
@IT自分戦略研究所は2014年2月、@ITのフォーラムになりました。
現在ご覧いただいている記事は、既掲載記事をアーカイブ化したものです。新着記事は、 新しくなったトップページよりご覧ください。
これからも、@IT自分戦略研究所をよろしくお願いいたします。
