どんな人材が望まれているのか?
こんなセキュリティエンジニアが欲しい
第3回 2、3年後の自分を常にイメージせよ!
遠竹智寿子
2002/12/13
インターネット セキュリティ システムズは、不正侵入検知などの製品でよく知られた外資系企業だが、日本に拠点を設けてからわずか数年しかたっていない。そのような企業では、どのようなエンジニアを求め、どのような人材に期待しているのか? そして同社のスキルアップへの考え方とは? 今回はそれらを紹介しよう。
■インターネット セキュリティ システムズのエンジニア
インターネット セキュリティ システムズ 総務人事部 人事課 マネージャー 渡辺アキコ氏 |
ネットワーク・セキュリティを専門とするインターネット セキュリティ システムズは、1994年に米国で設立され、1997年2月に日本法人が設立された。日本法人の設立当初は、ネットワーク/システム監視ソフト「RealSecure v1.1」や「Internet Scanner v4.3」などのソフトウェア製品の販売が事業の中心であった。その後、官公庁や企業などへのハッキング事件が相次ぎ社会問題化する中で、インターネット・セキュリティの重要性が認知されるようになった。あたかもそれに歩調を合わせるかのように、同社の事業は拡大を続け、2000年には監査サービス「プロフェッショナルサービス」を開始、さらに2001年7月には監視サービス「マネージド セキュリティ サービス(MSS)」を開始した。
事業の拡大に伴い、エンジニアの確保が急務となり、同社はここ1、2年で積極的に人材採用活動を行ってきた。多いときには1日3人以上と面接を行ったというインターネット セキュリティ システムズ 総務人事部人事課 マネージャー 渡辺アキコ氏に、同社が採用するエンジニアの採用基準や求めるキャリア、スキルなどについて、具体的なお話を伺った。
同社のエンジニアを大きく分けると、次の表のように監視系エンジニア、プロダクト系エンジニア、それに監査系エンジニアの3つのカテゴリがある(正確には、これに社内のシステム担当のエンジニアがいる)。この3つのカテゴリ別にエンジニアの採用を行っており、それぞれで求められるスキルは異なるという。そのスキルがどのようなものかを把握する前に、まずはそれぞれの業務を紹介しておこう。
|
|||
インターネット セキュリティ システムズにおけるエンジニアの分類 |
プロダクト系エンジニアは、製品の技術支援や技術教育を行う。同社は、自社の製品を製品販売代理店を通して販売している。そのため、同社の製品を利用しているユーザーからの連絡が直接入るわけではない。彼らのミッションは、あくまで製品販売代理店向けに技術支援を行うことである。代理店から上がってきた問題について、オフィス内のラボで検証し、それが解決できた場合はその内容を代理店に伝え、解決できない問題については、米国本社のサポート部隊や開発部隊とやりとりして解決する。
監査系エンジニアは、顧客企業のネットワーク・セキュリティを診断・監査する。つまり、同社のプロフェッショナルサービスを担うエンジニアだ。渡辺氏はこのサービスを、「ネットワークの人間ドック版ですね。顧客のところにお伺いして、弊社のツールを使って(ネットワークやシステムの)の弱い部分を検出します。その結果を、セキュリティ面の設計やポリシーのご提案、つまり“処方せん”としてレポートを提出するのです」と分かりやすく説明してくれた。ただし、実際のシステムインテグレーションは手掛けていないため、インテグレーションなどが必要であれば、パートナー企業を紹介するという。
監視系エンジニアは、マネージドセキュリティサービスを担当している。このサービスは、顧客のセキュリティ面での運用を請け負うアウトソース事業。複数のチームにより社内監視センター(Security Operation Center=SOC)から24時間体制で顧客企業のネットワークの監視を行っている。もちろん、同社の製品だけでなく、他社のファイアウォール製品やウイルス対策製品もサービスの対象である。
■大量採用は一段落、今年から新卒採用を
インターネット セキュリティ システムズの採用募集は、転職サイトや自社のWebサイトで随時行っているという。ただし、マネージャ以上の募集に限って、人材紹介会社を使うことがあるという。
同社は前述したように、ここ2年ほどだけで社員を約100名採用した。エンジニアはその8割を占める大量採用だった。その採用活動を無事成功裏に終えたこともあり、現在はエンジニアの中途採用については一段落した段階だという。
その代わりというわけではないが、今年から新卒採用を始めたという。IT業界で設立間もない企業が新卒採用するのは珍しいこと。その理由について渡辺氏に尋ねると、「ネットワークの世界は、まだ新しい世界です。そのため、大学で情報通信工学などを学んでいる学生がキャッチアップするのは難しくないのです。弊社では中途採用と同様に、『このエンジニアを募集します』という形で職種を限定して新卒採用を行っています(図1)。学生とはいえ、暗号化などを含め、セキュリティ経験者もいます。新卒採用はいまのところ技術者のみになりますが、毎年コンスタントに行っていく予定です」という。
図1 募集職種は、上記のような形で募集している(実際の仕事内容は一例) |
■採用者の経歴と年齢層
同社が中途採用したエンジニアの前職には、傾向があるのかどうか、興味本位で尋ねたところ、「最も多いのは、ソフト開発をしていた方でしょう。それもプログラマだけではなく、システムエンジニア(SE)として設計部分からやっていた方ですね。それからシステムインテグレータで、プリセールス、ポストセールスの経験者もいます。そのほかにも、企業内のネットワーク管理者として働いていた方が、今度は外に向かって働きたいといって面接に来られることも結構ありますよ」(渡辺氏)。採用者の平均年齢は、20歳代後半〜30歳代前半だが、マネージャとなると30歳代後半の場合もあるようだ。
TCP/IPネットワーク、UNIXの知識は必須と語る渡辺氏 |
■必要なスキルとは?
それでは、エンジニアにどんな知識を持っていてほしいのかを尋ねると、「何が基本かは難しいですが、TCP/IPネットワーク、UNIXの知識は必須です。OSではWindows NT系よりもUNIXの知識をしっかりと付けてほしいです。また、ファイアウォールの知識や管理、Webアプリケーションの開発経験、システム管理をしていれば、面接などで目を引く要素です」という。なお、極めてまれなケースとして、次のような採用例があったという。それは、IT業界ではなく、ネットワークやセキュリティの知識もなかった人で、そのため、専門学校に通って知識を身に付けて応募してきたというのだ。
履歴書(職務経歴書も含む)については、「技術が優れていても表現力がなかったり、紙に落とし込んでいくのが苦手だったりする人もいますから、その場合にはこちらから指摘して、追加で詳細な情報をいただくことがあります」(渡辺氏)とのことで、書類の不備で厳しく落としていくのかと思っていたが、意外と寛大な対応をしているようだ。
監査系エンジニアについて渡辺氏は、「顧客が納得するような答えを用意できるエンジニアがいいですね。それだけの知識、経験がある方なら採用を検討します。システム構築を経験した人も重視します。監査系エンジニアは、顧客との折衝などもあるため、高いヒューマンスキルが求められるので、システム構築などを経験したエンジニアであれば、ある程度のコミュニケーション能力があると判断するためです」という。
資格については、シスコシステムズ、チェック・ポイント・ソフトウェア・テクノロジーズなどのネットワーク、セキュリティ関連のベンダ資格を持っていれば、経験と“同等程度”として考えているという。
なお、同社では採用候補者に対して、関連する技術分野についてのテストを行っている。もちろん、すべての問いに答えられるに越したことはないが、応募職種に必要な知識などが、一定レベルに達しているかを見るためにあるので、それほど神経質になる必要はないとのことだ。
他社の取材では、プロダクト系のエンジニアは、ほかのエンジニアと比較して、多少転職しやすいイメージがあったが、同社はちょっと勝手が違うようだ。渡辺氏は「特に入りやすいことはありません。プロダクト系のエンジニアは、OSの深い部分の知識を必要としますし、それなりのスキルが求められます。代理店とのやりとりは8、9割は電子メールなので、コミュニケーション能力はある程度あればこなせます。が、全くなくてもいいわけではありません。各エンジニアによって得意分野、不得意分野があると思います。それを補うため、情報共有が大切になります。そのため、エンジニア同士でのコミュニケーションができなければとは思います」と語る。
■ダメだと面接で思わせる人
その問いに渡辺氏が口にしたのは、「ネガティブな人」。人事面接のために来たのにネガティブな人とは想像がつかないが、「こちらがそうした答えを引き出すような聞き方をする場合がありますから(笑)」という。「問題となるのは、抱えている不満などをネガティブにとらえたままでいるのか、それともそれをポジティブにとらえ直し、次につなげることのできる力があるか、それが分かれ道になると思います。技術がどれだけあっても、『よし、やってやろう』という気持ちがないような人であれば、(採用は)お断りするでしょう」と渡辺氏。
それ以外では、漠然とセキュリティ関連の仕事がしたいという人だという。「言葉だけが先行しているようですね。技術的にセキュリティをやってみたいというのではなく、その分野なら取りあえず食いっぱぐれがないようだという理由だけで応募してくるようです。中には『セキュリティはオイシイから』と、面接で堂々といってのけた人もいましたが、まったくの見当違い。やはり、エンジニアとしての使命感を持っている方に来ていただきたいです」という。
■どれほどの英語力が必要か
同社は外資系企業。シマンテックの際にも気になった英語力について尋ねた(「ソリューションを提供できるエンジニアに」を参照)。海外とのやりとりが伴うエンジニアは、監視系とプロダクト系で、実際に顧客の元で起きているアクシデントについての説明を、英語でするというのは、かなり高度な英語力を要する。
それもあってか、同社では何名かでチームを組む場合、日本人以外のスタッフを入れるようにしているという(監視系エンジニアの場合)。こうなると、英語でコミュニケーションを取らざるを得ない。そして、その環境に慣れてくるというのだ。また、プロダクト系では、英語がネイティブのエンジニアがいるチームが、本社とのやりとりなどを担当している。しかし、一般的には、話すことや聞くことよりも、読む力の方がより必要とされるという。渡辺氏は、「基礎(英語の読書き)があって気持ちがあれば大丈夫です。その環境に放り込まれて、力を付けていけるかどうかが肝心でしょう」と、英語力におびえなくていいという。
■必要なことは自分で身に付ける
入社後の社内トレーニング制度は特に設けていないが、業務に必要な技術関連のトレーニングなどは、サポートしている(外部の講義の受講など)。ただし、英語は業務で必須だが、特に会社でサポートはしていない。「仕事で必要だから会社がお金を出すところもあるでしょうが、当社では仕事で必要かつ大事なスキルだというのは分かっているので、自分でやりなさいという主義ですね」(渡辺氏)
興味深いのは、同社に入社してからネットワークスペシャリストやセキュリティの勉強をして、資格を取得するエンジニアが多いことだ。資格を取ることで特に報酬などのインセンティブがあるわけではないが、「この業界では、常に勉強していかないと取り残されるという雰囲気があると思います。資格が、勉強するためのきっかけになっているのかもしれません」と、渡辺氏は分析する。また、そうした雰囲気が社内に出来上がりつつあり、ある社員が資格を取得すると、それに刺激を受けてほかの社員も勉強を始め、その過程で資格を取る、といった循環が出来つつあるようだ。
■マネージャかシニアセキュリティエンジニアか
最後に、インターネット セキュリティ システムズのキャリアパスの例を紹介しよう。同社では、例えば営業と一緒に動くプリセールスのエンジニアの場合、そこからコンサルタントへ、そしてリーダー/スーパーバイザー、さらにはマネージャやディレクターといったポジションが用意されている。30歳代前半でマネージャへのチャンスが訪れることもあるが、まだまだ技術もあきらめたくないという人には、シニアセキュリティコンサルタント、エグゼクティブセキュリティエンジニアといった専門職へのキャリアパスも、きちんと用意されている(図2)。
図2 インターネット セキュリティ システムズにおけるキャリアパスの例 |
■異動制度と社長の言葉
さらに渡辺氏にお話を伺っているうちに、社内異動プログラムの存在を知った。それは、社内のイントラネットにある異動申請書で希望を人事に提出できるシステムだ。
中途採用者は原則として入社後1年は異動できないことになっているが、その後であれば異動申請書を提出できる。また、所属長には拒否権がない。優秀な部下であればあるほど、どうしても手元から離したくない、というのが上司の心情だろう。しかし、「当社の社長は、常に『自分の3〜5年後を考え、その時点での目標を決めておけ!』といっています。例えばコンサルタントが目標であれば、その目標を起点して1年ずつ戻って考え、それによっていま、何をしなければならないのか、来年は何をしていないといけないのか、というふうに考えろというわけです」という渡辺氏のコメントに見られるように、しっかり社長の言葉が現場まで浸透しているように感じた。
「この部署ではこれをやったから、次はこのスキルが必要。だからこそ、その部署に移してほしい」という場合は、そのキャリアパスを尊重して異動が認められる。採用面接でも、3年後にどうなっていたいのかは必ず聞くことだという。転職を考える際には、将来のキャリアパスをあらかじめ一緒に考えておくことが必要のようだ。
@IT自分戦略研究所は2014年2月、@ITのフォーラムになりました。
現在ご覧いただいている記事は、既掲載記事をアーカイブ化したものです。新着記事は、 新しくなったトップページよりご覧ください。
これからも、@IT自分戦略研究所をよろしくお願いいたします。