どんな人材が望まれているのか?
こんなセキュリティエンジニアが欲しい
第2回 ソリューションを提供できるエンジニア

遠竹智寿子
2002/12/6

 セキュリティベンダとしてだれもが思い浮べるのは、ウイルス対策などで有名なベンダかもしれない。今回は、ウイルス対策で有名になり、現在ではエンタープライズ向けの製品なども販売しているシマンテックに、どんなエンジニアを採用したいのか、求めるエンジニアとはどんな人材かを聞いた。

シマンテックでのエンジニアの分類

 1982年に米国で設立されたシマンテックは、「Norton Utilities」などのユーティリティ製品やアンチウイルス製品で有名だ。しかし、ここ数年同社が力を入れているのは、企業向けの製品群やサービスである。現在ではサーバ用のアンチウイルス製品群、ファイアウォールなどのほか、セキュリティ・アプライアンスなど、セキュリティ分野の製品を広くカバーしている。

 急激に広がる日本のマーケットを支えているのが、シマンテックの日本法人のエンジニアである。今回は、同社の採用したいエンジニアについて、実際に人材採用に携わっているシマンテック システムエンジニアリング本部 本部長 野々下幸治氏にお話を伺った。

コンテンツ・セキュリティ
ウイルス・プロテクション、モバイル・コード・プロテクション、電子メール・コンテント・フィルタリング、インターネット・コンテント・フィルタリング
ネットワーク・セキュリティ製品およびサービス
脆弱性の検査、ネットワーク・ファイアウォール、Web認証技術、ネットワーク侵入防止技術、コンシューマ製品、インターネットセキュリティ、アンチウイルス、PCトラブル回避ソフト、システムユーティリティ
コンシューマ製品
インターネットセキュリティ、アンチウイルス、PCトラブル回避ソフト、システムユーティリティ
シマンテックの主な事業内容(同社のWebサイトから抜粋)

 野々下氏によれば、同社のエンジニアは「プリセールスシステムエンジニア(以下SE)」「ポストセールス(購入後のサポート)」「インプリメンテーション(コンサルティング)」「セキュリティレスポンス(新種ウイルスの解析など)」、それに「製品ローカライズ」の部隊に分けることができるという。

プリセールスシステムエンジニア(SE)
ポストセールエンジニア(サポートエンジニア)
インプリメンテーション/コンサルティングエンジニア
セキュリティレスポンスエンジニア
製品ローカライズエンジニア
シマンテックにおけるエンジニアの分類

 エンジニアの数だが、上記の分類では製品ローカライズ、プリセールス、ポストセールスの順に多い。ただし、今後の傾向について野々下氏は、「いままでは製品を主体として販売してきたわけですが、今後は企業のセキュリティ・ソリューションを実現するためのアーキテクチャやシステムのコンサルティング、インプリメンテーションができる人材が必要となっているので、そうした人材が増えてくるでしょう」という。

シマンテック システムエンジニアリング本部 本部長 野々下幸治氏

初めはポストセールスから

 セキュリティエンジニアといっても、求められるスキルは業務内容によってかなり異なる。

 ポストセールスエンジニア、つまりサポートを行うエンジニアは、SEやコンサルティングと比べ、それほど深い知識を要求されるわけではない。なお、シマンテックの会社のイメージから、そのエンジニアの多くは個人向けのサポート業務が多いのかと想像していたのだが、エンタープライズ向けのサポートが急速に増えているのが現状だという。

 そのため、彼らが要求される知識も、それを反映しているようだ。まず、製品に対する正しい知識とその前提となる知識が要求される。例えば、Windowsアプリケーションについての一般知識、ファイアウォール製品を担当する場合はその前提となるネットワークやインターネットの知識、グループウェア向けのアンチウイルス製品ならばグループウェア製品の知識である。野々下氏は、「こうしたベースさえあれば、入社後にシマンテックの製品知識をきちんと身に付けてもらえば十分だ」と語る。

 ヒューマンスキルについては、顧客と直接対応せず、バックエンドでサポートを行うエンジニアであれば技術のみでも何とかなるが、電話などでのやりとりが必要になる場合は、顧客とのコミュニケーション能力がそれなりに必要とされる。ただし野々下氏は、「エンジニアにもいろいろなよさがあるので、適材適所で活躍できる場所はあると思います」と、ヒューマンスキルがそれほど高くなくとも、同社では活躍できる場があるとコメントする。

ソリューションを提供できるSEとは?

 プリセールスのエンジニアには、幅広い技術とヒューマンスキルが求められる。

 「プリセールスは、顧客との関係を築くことができ、きちんと話ができるか、これを技術面と同じように重視します。技術的に飛び抜けているようでも、顧客を怒らせてしまうようではプリセールスのポジションに就けることはできませんね。プリセールスはただ製品を売ればいいのではなく、顧客の問題に耳を傾けそれに対する回答ができるかどうか、そうした能力が求められるのです」

 「技術面では、製品知識だけでは困ります。顧客から『VPNを使いたい』という要望があっても、本当に欲しいのは当社のソフトウェアVPNで実現する製品なのか、それともIP-VPNなどもっと高度なセキュリティを確保しなければならないのか、そうした可能性を考える必要があります。さらにこの要望が国際間でのVPNであれば、提案もさらに変わるかもしれません。国によっては日本ほどISPのVPNが当然とはいかないためです。このように、顧客の要望をそのまま聞くのではなく、真に欲していることは何か、何をしたいと考えているのか、それをきちんと把握したうえで、当社の製品やソリューションが適しているかどうかが重要なわけです。単純な製品の知識だけで商談を進めてしまうと、後で大きな問題になりかねませんから」と、野々下氏は語る。

 なお、中途採用のエンジニアの年齢層だが、ここまで紹介したポストセールスとプリセールスでは、多少年齢層が違うという。ポストセールスは20〜30歳代で、プリセールスはそれよりも少し上で、30歳前後になるという。

インプリメンテ-ションやコンサルティングで必要なのは

「私たちのいうOSの知識は、ちょっと特殊かもしれませんね」と笑いながら答えてくれた野々下氏

 インプリメンテーション/コンサルティングでは、UNIX、Solaris、Linuxなど幅広いOSの基礎知識などのほか、プログラミングの知識も必要という。さらに、インターネット/ネットワークなどの基礎知識もある程度知っておいてほしいという。

 ところで、「ある程度の基礎知識」といわれても、その内容は企業や担当する分野によって異なるだろう。そこで、野々下氏が求めるOSの知識とはと尋ねると、「私たちのいうOSの知識は、ちょっと特殊かもしれませんね(笑)。例えばWindows NT/2000系の場合、ACL(アクセスコントロールリスト)の設定や監査がきちんとできるか、デバイスが挿入された場合に、レジストリが変更された個所を把握できるかといったレベルであり、UNIXでもシステムの設定変更に影響するファイルを把握できているか、ネットワークにしてもTCPのハンドシェイクを意識できるかといったレベルでしょうか。グループウェアやERPの知識はあっても、そういった部分の知識が足りない人が多いですね。極端な例えでいえば、OSやシステムなどの下のレイヤ部分が必要で、上のレイヤーは要りません」とまで断言する。

セキュリティは特殊ではない

 ここ数年、ウイルス対策が一般に認知されるとともにシマンテックのネームバリューも上がってきた。そのためというわけでもないだろうが、「セキュリティがやりたい」という応募が多くなったという。野々下氏は、「流行だからやりたいでは難しい」といい、「私は、セキュリティは特殊なものではないと思っています」という。

 その考えはこうだ。「セキュリティエンジニアが特殊なエンジニアのようにいわれるのは、本来のあるべき姿ではないと思っています。UNIXが注目されたころもUNIXエンジニアといわれましたが、UNIXだけをやっているエンジニアでは何の役にも立ちません。UNIXの基本を知りつつも、そのうえで何ができるのかが重要です。Javaなどの言語、あるいはERPなどのアプリケーションは、製品にしてもはやり廃りがあるが、セキュリティにはありません。常にシステムを構築するうえで非常に重要な部分で、設計上必ず考慮すべきインフラの一部です。ところが、このセキュリティ部分だけをクローズアップして『やりたい』というのは、本来おかしな話ではないでしょうか」

若くてもトップになれる

 従来の日本のセキュリティに対する基本的な考え方として野々下氏は、「日本のセキュリティの間違いは、不正侵入の検知が先にきてしまったことです」と主張する。セキュリティポリシーがまずあり、それに基づいたセキュリティ対策があるべきなのに、日本ではこれまで肝心のポリシーがないまま対策を行っていたのです」という。

 20年近くエンジニアとしてのキャリアを持つ野々下氏に、この業界の面白さを尋ねてみると、「ちょっと極端かもしれませんが、ハードウェアのエンジニアは、経験がそのままスキルとして蓄積されます。しかし、ソフトウェアのエンジニアは、経験があるからといって、技術的に高いレベルであるとは限りません。私は、20年前にミニコンでアセンブラやFORTRANを使ったプログラムを書いていましたが、そのころに勉強した知識は、現在ではほとんど使えません。若い人と同じように、いまの技術を常に勉強する必要があるのです。逆にいえば、若い人でも学んで自分のモノにすれば評価されるわけです。特にセキュリティ分野が注目され始めたのは、3、4年にしかなりませんし、『セキュリティをやっている』というエンジニアの多くが本格的にセキュリティに取り組んだのも、ここ3、4年ぐらいでしょう。だからこそ、エンジニアとして基礎の部分をきちんと学んで身に付けておけば、いくらでもトップになれるチャンスがあるわけです」と、エンジニアに大きなチャンスがあると野々下氏はいう。

きてほしいエンジニアとは

 どんなエンジニアにきてほしいかと尋ねると、野々下氏は「欲しいエンジニアについてさまざまなことを話しましたが、そのすべてができる必要はありません。ただ、OSやネットワークなど、きちんとした技術が1つはあるかが大切です」。

 そして野々下氏は、「シマンテックの製品をいいと思ってくる人に、ぜひ会いたいですね。私も経験があるのですが、好きだということは、その製品を深く知っているということ、その製品に対する情熱があるということですから」と、付け加えた。

こんな履歴書はデメリット!

 野々下氏は、次のような話を披露してくれた。それは、履歴書の書き方であり、書き方によってはデメリットにしかならないということだ。

 「外資系企業の転職希望者によく見られる傾向だと思うのですが、とにかく経歴やスキルをずらずらと書いてあるものが多いのです。しかし、いざ面接になって書いてあるスキルについて尋ねても、それほどよく分かっていないことがあります。その程度であれば、履歴書などに書かない方がいいでしょうし、書くことがデメリットになると思います。自分がやっていることに責任を持っているかどうかが問われますし、責任感を判断するうえでマイナスになる」という。

 人材紹介会社などに促されて、何でもスキルを書き加えてしまうと、面接時に自分のクビを締めることになりかねないということを、覚えておこう。

外資系エンジニアとして必要なこと

 エンジニア歴の長い野々下氏に、彼の目から、外資系企業のエンジニアとして必要なこととは何かを尋ねた。野々下氏の口から出た言葉は、「ギブ&テイク」。「シマンテックでは、世界中のエンジニアとディスカッションできる環境がある。この中にいて、与えてもらってばかりではなく、何でもいいから与えることも必要だ」というのが、彼自身の経験に基づく言葉だ。「インターネット時代になり、世界中のSEとの距離が近くなったのだから、もっと積極的にチャンスを利用してほしい。私自身、社内フォーラム(といっても、世界に散らばるシマンテック全社のだが)への書き込みをよく行っています」と語る。

 どんな人材が伸びるかについては、「トレーニングのチャンスを自分で生かす人でしょうか。やりっぱなし、教えられっぱなしではなく、インプットとアウトプットをきちんと出していける人です。自分が身に付けたことをアウトプットすることによって、また新たな知識を身に付けることができますから。人に知識を分け与えず、自分だけで抱える人がいますが、そういう人は伸びません。だからこそ、どんどんアウトプットしていってほしいと思います」という。

 そして最後に、気になる英語力について同社では、製品トレーニングは米国本社のものを含め、かなり頻繁に行われているため、それを聞く能力などがあればよく、それほど流ちょうでなくてもいいという。だが、ドキュメントを読んだり、米国とのやりとりでは頻繁に電子メールを使う。そのため、それを読み、返信できる程度の能力が必須だと答えてくれた。



@自分戦略研究所のセキュリティ関連記事一覧
セキュリティエンジニアになるための条件(前編)
セキュリティエンジニアになるための条件(後編)
セキュリティ技術の学び方
不正侵入検知のスペシャリストになるには
情報セキュリティ・コンサルタントになるには
ファイアウォール・スペシャリストになるには
こんなセキュリティエンジニアが欲しい
ソリューションを提供できるセキュリティエンジニア
2、3年後の自分を常にイメージせよ!
シスコの新しいセキュリティ資格、CCSPとは何か?
自分戦略研究所、フォーラム化のお知らせ

@IT自分戦略研究所は2014年2月、@ITのフォーラムになりました。

現在ご覧いただいている記事は、既掲載記事をアーカイブ化したものです。新着記事は、 新しくなったトップページよりご覧ください。

これからも、@IT自分戦略研究所をよろしくお願いいたします。