これから目指す人、キャリアアップを考えている人に
特別企画:セキュリティエンジニアになるための条件(後編)
ネットマークス
内田昌宏
2002/10/4
| セキュリティエンジニアを目指す人が多くなったという。だが、新しい分野ということもあり、どんな業務があるのか、どんな技術やキャリアを必要とされるのか、どんなキャリアアップがあり得るのかが分かりにくいという声を聞く。そこで、ここでは筆者がシステムインテグレータとしての立場から、そうした疑問に答える。後編では、求めれられる能力やキャリアアップを中心に紹介する。 |
前編 1
セキュリティへの“思い”を込めて2
セキュリティの定義と技術3
必要な前提知識 後編 4
職種と求められる能力 5
キャリアアップの考え方6
資格と人事制度7
セキュリティエンジニアの使命 |
| 4 職種と求められる能力 |
■業務の関連性
SIerとして、ユーザーにベストソリューションを提供しようとした場合、図6に示すような組織間相互の連携をもって業務を遂行しているのが一般的である。青字部分がそれぞれの技術ミッションに相当するが、これらは独立した組織になっているとは限らない。
 |
| 図6 それぞれの業務の関連性 |
次に図6で示した部門のミッションを、SIerとしての業務の流れに合わせて整理した(表1)。なお、図6や表1は、セキュリティに限った体系ではなく、扱っているカテゴリがセキュリティだというだけである。
 |
| 表1 技術系業務の分類 |
このように、一口にセキュリティ技術者といっても、評価検証/提案設計/保守サポート/アウトソーシング/コンサルティングなど、さまざまな業務に携わっており、それぞれがセキュリティ技術者であることは間違いない。しかし、各業務で求められる技術力や能力はそれぞれ異なっている。必要な技術は日進月歩で進化し、それに伴い、技術者も多様化、専門化していく。要は、自分自身がどんな技術者を目指すかである。
■求められる技術と能力
図6で示した技術関連部門に属する技術者は、以下に示すように分類し、それぞれの技術者を大まかに定義してみた。
|
||||||||||||||||||||||||||||||
次に、各技術者に要求される技術と能力を考える(表2)。なお、技術は勉強や実践で身に付くものだが、能力は、その人がもともと持っているポテンシャルやキャラクタに依存する部分も多いように感じる(もちろん、実践や訓練でさらに磨きをかけるものであることには間違いない)。
 |
| 表2 求められる技術と能力 |
表2で挙げた技術力や能力は、実際はもう少しブレークダウンする必要があると思うが、イメージをつかんでいただきたいために列挙した。
なお、通常の組織においては、組織ごとに基本ミッションが決められているが、列挙した技術/知識/能力には、それぞれレベルがあるので、“どれか1つが欠けているから、○○技術者ではない”というわけではないし、逆に“○○技術者は、列挙した技術/知識/能力だけを保有していればよい”とは考えないでほしい。常に目標を高く持って、地道な努力と実務経験の積み重ねを心掛けてほしい。もしコンサルタントを目指すのであれば、仮にシステムエンジニア業務に就いていても、表2に列挙したコンサルタントに必要な技術/知識/能力を、所属する組織の中で身に付ける方法はいくらでもある。
| 5 キャリアアップの考え方 |
■キャリアアップ方法
各エンジニアのキャリアアップについて、図7にまとめた。横軸に分類、縦軸に各エンジニアのレベルを示している。なお縦軸には、おおよその経験年数の目安を記載した。
 |
| 図7 各エンジニアのキャリアアップ |
いうまでもないが、いずれも一足飛びに、チーフやシニアにステップアップできるわけではないし、いきなりプロジェクトマネージャやコンサルタントの業務が実施できるわけでもない。そこで、SIerを例にして一般的に新人技術者が、入社後どのようにステップアップしていくのかを図8に示す。
 |
| 図8 スペシャリストへのステップ |
なお、学生の内定者から「入社するまでに勉強しておくべきことを教えてほしい」といった質問を受けることがあるが、「無理に勉強をする必要はない。ただ、もし興味があるなら、新聞や業界雑誌に目を通しておいてください」と答えている。TCP/IPやUNIXなどネットワークやサーバの基本的な知識はベースとして必要だが、この知識だけで実務が行えるわけではない。
STEP1〜2での過程を例に紹介しよう。STEP1〜2では、まず1つの製品について自信を持つことが目標である。つまり、次の図9という段階を経て、製品からシステムへ、システムからプロジェクトへと、幅広い技術とノウハウを蓄積していくのである。また、このような実務経験を通して“報連相(ほうれんそう:報告/連絡/相談という業務遂行のための基本的なビジネスマナー)”をはじめ、コミュニケーション力、ヒアリング力、プレゼンテーション力などを身に付けていくことになる。この最初のステップで身に付けたさまざまな技術や能力が、今後のステップアップに大きく影響することを、常に意識しておいてほしい。
 |
| 図9 こうした段階によって、幅広い技術とノウハウを蓄積していけばいい |
| 5 資格と人事制度 |
■公的資格について
個人の技術力を測る1つの指標として資格制度がある。この資格の中には、ベンダ(メーカー)資格/国家資格などが含まれる。IT関係の資格は、司法試験や医師国家試験のように、その資格がないと業務が行えないわけではないが、大きなステータスになることは間違いない。大切なのは、“必要な知識を習得するために挑戦する(習得の達成度を測る)”“これまでやってきたことのレベルを確認するために挑戦する(自分の実力が世の中でどれくらいのレベルにあるのかを測る)”といったように、資格を取得する動機や目的を自身の中で明確にしておいてほしい。
ベンダ資格は、当該メーカーの製品を十分に取り扱うことができる技術者に対して、ベンダが認定する資格で、日常の業務において一番身近な資格であろう。オラクル、シスコシステムズ、チェック・ポイント・ソフトウェア・テクノロジーズ、マイクロソフトなどをはじめ、多くのベンダが認定技術者制度を導入している。
IT関係の国家資格の代表的なものとしては、以下のものがある。
情報処理技術者試験
経済産業省認定
(財団法人日本情報処理開発協会 情報処理技術者試験センター)
情報処理技術者として備えるべき能力の水準を示すことにより、情報処理技術者の評価に関して客観的な尺度を提供することを目的としており、おのおのの試験ごとに、「主要業務」「スキル標準」「知識体系」を定義している。
技術士制度
文部科学省認定
(文部科学省 技術士審議会、または社団法人日本技術士会)
技術士とは、技術士法に基づき、「法定の登録を受け、技術士の名称を用いて、科学技術に関する高度な専門的応用能力を必要とする事項についての計画/研究/設計/分析/試験/評価、またはこれらに関する指導の業務を行なう者」として、技術コンサルタントの健全な発達を図るための国による技術者の資格認定制度。
中小企業診断士
(社団法人中小企業診断協会)
中小企業診断士とは、中小企業支援法に基づき経済産業大臣が登録する資格で、中小企業の経営課題に対応するために診断・助言を行う専門家として、「経営の診断および経営に関する助言」を行う経営コンサルタント。最近ではIT戦略が経営戦略の重要な要素であることから、経営とITを橋渡しする役割を担うケースも多い。
試験の形式は、それぞれ異なるが、論文などの記述方式と、4択などの回答選択方式とがある。論文試験の方が難しいと感じる方もいるかもしれないが、確実な知識を要求されるのは回答選択方式である。これに対して、論文試験は問題解決力を問われる。つまり、与えられたテーマに対して、どのようにアプローチし、どのように課題や問題点を克服し、目標を達成したかを表現することになる。
人によって価値観は異なるが、最終的には問題解決ができる技術者になることを目標にしてほしい。しかし全方位とはいかないので、それぞれの分野で専門性を磨きながら、人間性を高めていければと考える。自分に知識・技術がなくても、問題解決を仕切っていける力を身に付けるのも、1つの大切な技術力だと考える。
いずれにしても、自己への挑戦は、素晴らしいことである。まずは挑戦しようとする意識・意欲がわくかどうかが多くの人間の課題だろう。そして何よりも大切なことは、決意と挑戦への継続的な努力である。その意味で、資格はその人の能力のバランスを証明する1つの物差しであり、あくまでも自己研さんの手段として位置付けるべきだと考える。
資格試験は、その人にとっての1つの身近な目標であり、目標を達成するために行った努力(勉強や実践)は、決してムダにはならないと確信する。中には、オタク的に資格にしがみついている人間がいたり、資格を取得したことで偉くなったような気になる人間もいるが、どのように資格が役に立つかは、合格以降のその人の考え方次第だと思う。
■最近の人事制度について
従来の年功序列型に代わり、最近は実績成果型の人事制度を取り入れる企業が多くなった。年齢に関係なく能力や実績に応じて年俸が決まることで、自社にとって戦力となる優秀な技術者を確保することが目的である。
図10で示すように、従来の日本(企業優先+平等主義)では、実績に関係なく年功序列によって昇進し、昇給する仕組みであった。ところが単に能力主義を取り入れただけ(企業優先+能力主義)では、不採算部門に所属している人に不公平感が出る。つまり実績・能力主義を採用するなら、社員にも業務を選択できる権利を持たせるべきである(個人優先+能力主義)。しかし会社は利益追求のため、適切な組織づくりや事業戦略に基づく人員計画を策定するので、いきなり“個人優先+能力主義”に移行すると組織そのものが崩壊する可能性もある。
 |
| 図10 能力主義 |
能力主義は、個人の意識にも変化をもたらす。自分の実績を上げることに集中するあまり、実績が上がりやすい仕事を選ぶ、実績が上がりやすい人とのみ仕事をする、という傾向になり、結果として、組織内での協力関係が希薄になったり、若手の育成などがおざなりになる危険性を含んでいる。
バランスの取れた人事制度の導入は当然のこととして、1人ひとりには、会社や組織を前提としたチームで活動していることを決して忘れないでほしい。また実績が挙げられないのを、周りのせい(会社のせい、上司のせい、仕事環境のせい)にしないでほしい。
| 7 セキュリティエンジニアの使命 |
私は社会人になってから、たまたま配属された職場でSEという職種に出合った。SE(システムエンジニア)とは、情報システムを導入するユーザーの立場に立って業務内容を分析し、最小限の投資で最大限の効果を出せるようなシステムを提案し、設計・構築し、実現する仕事だと思っている。これまで、いろいろな先輩や同僚に恵まれて、さまざまな経験の機会を与えてもらった。一方でこれらの経験は、ユーザーとのかかわりを抜きにしては考えられない。視覚に訴えるような提案書、論理的な技術レポート、プレゼンテーションなどは、ユーザーから教わったといっても過言ではない。直接的にご指導いただくことも財産であるが、相手の反応からもさまざまな示唆を受ける。
冒頭述べたように、インターネットを活用したビジネスは、今後ますます進化していき、それに伴う社会的責任の重要性が高まるにつれ、セキュリティがその最重要課題であるといっても過言ではない。この分野の技術は日進月歩で多様化・複雑化し、日々、新しいツールもリリースされてくるだろう。セキュリティ製品にとどまることなく、セキュリティポリシー策定から具体的な対策実施に至るまで、着実に活躍の場を広げてほしい。このことを自ら実践し、広く社会の発展に寄与することが、セキュリティエンジニアとしての使命だとも思う。
| 筆者プロフィール |
| 内田昌宏(うちだまさひろ)●株式会社ネットマークス勤務。ネットワークセキュリティ事業部長ネットワークセキュリティおよび情報セキュリティのシステムインテグレーションおよびコンサルティングに従事している。技術士(情報工学部門)、日本ネットワークセキュリティ協会(JNSA)幹事 |
 |
2/2
|
@IT自分戦略研究所は2014年2月、@ITのフォーラムになりました。
現在ご覧いただいている記事は、既掲載記事をアーカイブ化したものです。新着記事は、 新しくなったトップページよりご覧ください。
これからも、@IT自分戦略研究所をよろしくお願いいたします。
