※前回の記事はこちら
■社内でセキュリティ人材を見つけたり、確保したりする場合、会社(組織)としてはどういう取り組みが効果的?
個々が意識的に社内でセキュリティ人材を見つけ、育てていくということが大事な一方で、会社(組織)としての取り組みも必要不可欠となります。
「会社(組織)としての取り組みでは内的モチベーションと外的モチベーションのバランスが大事。外的モチベーションは給与とか昇進とか外から与えられるご褒美みたいなもの、内的なモチベーションは給料とか昇進などとは違い、面白いからやっているんだというモチベーション。おそらくバランスなのかなと思っている」(政本)
会社としてできることは何かと質問した司会の山﨑に対して政本は、「外的モチベーションだけではセキュリティエンジニアは難しい。最低でも内的モチベーションが5割程度はあったほうがいい。その意味では、遊び心や挑戦心を発揮できるような環境を用意する、CTF(Capture The Flag)や勉強会などセキュリティに気軽に触れられる機会を提供するというのは内的モチベーションを刺激することにつながってくるのでは」と回答。
同様に、CTFや勉強会など社内で気軽にセキュリティに触れられる機会を提供することが大切であるという回答も。「セキュリティに触れるきっかけが得られるような空気が社内にあることが大切。マクニカだとCTFチームを作って一緒に取り組む機会だけでなく、山﨑さんがMacnica Security Nightと呼ばれるイベントを開催してくれるなど、気軽に触れる空気がある。これは社外の方にも参考になる」(勅使河原)
「組織の壁を取っ払って、単純に部活動的な活動が好きだっていうことが1つ。また、若い人たちに機会を提供することで、急に化けてくれることを心の中で期待している」と山﨑はその意義について説明します。
一方でセキュリティに興味はあるものの、頑張っている人たちやトップレイヤーのようにはなれないと思い込んでしまっている人に対しては、まずは参加してもらうために周りが意識することも大事であるという意見も出ました。
「(参加する)ハードルを下げてあげる、活動を始めやすくしてあげる、またはそんな人たちが集まる場にとりあえず入ってもらって実際にどんなことをやっているのかを見てもらえる場を作ってあげると入りやすい」(笠井)
「自分から手を挙げることができる人はかなり少ないし、勇気がいること。逆にやってみませんかと声をかけてあげることでハードルが大きく下がるはず。私は積極的に声掛けすることを心掛けています」(瀬治山)
また、遊び心や挑戦心が発揮できる環境を提供したうえで、その活動を認めることが必要という回答もありました。「業務時間にどれだけセキュリティに関わる時間を確保するかというところが重要。仕事としてビジネスをしていくうえで成果は何かしら求められますが、遊び心や挑戦心、好奇心を満たすための時間をあえて意識的に会社や上司が作ってあげる、認めてあげることを本人にきちんと伝えることをやっていかないと、そもそもそういった活動ができないはずで、そんな時間がないと意欲も高まっていかない」(笠井)
他にも、キャリアパスや適切な評価など、どの企業でも意識して対応するべき回答も見られました。「組織としてセキュリティ人材を見つけたり育てたりするには、会社として与えるものが必要。きちんとフィードバックしてあげることが大事かなと思っています」(竹内)
■セキュリティエンジニアが継続的に成長するにはどういった環境が必要?
セキュリティ人材を見つけ確保したとしても、成長するべき場がないと個人としてのセキュリティに関するスキルアップはできにくくなります。どのような環境がセキュリティエンジニアを成長させるのかという質問において、"インシデントに塗れる"、"攻撃と出会える環境"という実践の場が必要であるという回答がいくつか見られました。
「インシデント対応に必死になっている姿はかっこよく見える。変な見方をすると、攻撃者がいるからこの人は成長できているのではと感じることも。インシデントに対峙して劣等感にさいなまれ、スキル不足を痛感することで学ぶ意欲につながっていくのでは」(政本)
「以前あるセキュリティカンファレンスで一緒に発表させていただいた方は、ベンダーとしてユーザー企業を監視するSOC業務から民間企業のCSIRTに移って社内外でインシデント対応や分析業務で大活躍されていました。また、官公庁から民間の組織に入ってインシデントレスポンスで活躍されている人など、攻撃者と直接対峙する現場で輝いている方が多くいらっしゃいます。敢えてそういう環境に身を投じられたと思いますが、そこの環境では上長が納得のいくまで調査させてあげる環境が整っているのでは」(柳下)
一方で"環境"という中でも物理的な"検証環境"が重要であるという回答も。「"リッチな検証環境、他のエンジニアと異なる業務ポリシー"は欠かせません。セキュリティに関わっているにも関わらず、Virus Totalにアクセスできない、SlideShareも閲覧できないような企業もあります。そんな業務ポリシーでは何もできなくなってしまう」(瀬治山)
またマネジメントの視点からも、会社の方針や戦略とセキュリティエンジニアの成長に関連性を持たせるべきだと回答もありました。「セキュリティの位置づけは、ビジネスを安全に推進するための保険的なものではなく、ビジネスを加速するために存在しているはず。セキュリティは、心配せずともリスクを十分にコントロールできる存在であり、今までチャレンジできなかったことにチャレンジしやすくなる。その意味でも、セキュリティエンジニアはもうちょっと評価されるべきで、経営層の方も真剣に考えていただきたい」(笠井)
それぞれの環境が成り立ってくれば、新たなサービス創出のきっかけにもなるというセキュリティの可能性についての言及も。「例えば企業のCSIRTチームでインシデントレスポンスが可能なSOCシステムが構築できたり、IoT環境におけるデバイスの出荷後のサポートができるような形がうまく動き出したりすれば、それらをビジネスとして新たなサービスにするといったことも可能です。確かにハードルは高いものの、セキュリティ対応が自社の新たなサービスとして提供できるようになっていったケースもいくつか聞いています」(柳下)
■どうしてマクニカはセキュリティに強くなれた?
最後に、主題にもなっている"マクニカがセキュリティに強くなれた理由"について、多くの回答として寄せられたのが、『エンジニアに超絶優しい環境』というものでした。
「いろいろな環境が使えて制約がないということはもちろん、エンジニア各々のスタイルをまとめて許容してくれる風土があることが大きい。綺麗にまとめることがうまいエンジニアもいれば、販売を意識してストーリー立てていくのが上手なエンジニアもいるなど、スタイルはそれぞれ異なっています。スタイルを強制せず、その人のやりたいスタイルを見つけて、そこで頑張って欲しいという考え方をマクニカでは採用している印象があります。」(掛谷)
1つ前の質問でも物理的な"検証環境"が大事と力説した瀬治山は、「さまざまなセキュリティ機器を取り扱っているマクニカだからこそ、多様な検証環境が整っており、それが自由に使えるのは大きな強みの1つ。また汎用的なサーバやネットワーク機器なども一通り揃っているので好きな時間に自由に検証し、その知見を蓄えていけていることが、マクニカがセキュリティ業界で強くなっていった理由だと考えています」と語りました。
また、司会の山﨑からは、さまざまなセキュリティソリューションの一次代理店商社として活動するマクニカだけに、海外で最先端を行くセキュリティベンダと直接やり取りできる環境も大きいと言及。「やはりFireEyeやCrowdStrikeから教わったことはすごく多い。APT1レポートで攻撃者の顔写真が出た時は衝撃でしたし、攻撃に至るまでの考え方やテクニックなども得られるなど、非常に勉強になっています」(政本)
さらには社外とのやり取りから社内での勉強会に繋げていくという環境がセキュリティに強くなる1つの要素であるという回答も。「海外と直接やり取りできることはもちろんですが、人にいい影響を与えているのは社内勉強会だと思っています。数年前に凌さんや複数のエンジニアがBlack Hat USAに赴き、そこから得られた情報をもとにマクニカ版Black Hatをやってくれたことは、私にとってはいい思い出です。そういった勉強会が開催できていることも大きな強みとなっているのではないでしょうか」(竹内)
また違った視点として、終身雇用の時代が去って自分自身でキャリアプランを考えることが求められる時代にあって、セキュリティエンジニアのキャリアが限定されてしまっている企業も少なくない中で『セキュリティエンジニアのアイコンを定義』したことという回答もありました。「プロフィットやコストセンターといったことを考えなくともセキュリティに取り組める役割を定義し、活躍する場所を作っていることが重要。その結果として、マクニカが成り立っていると考えています」(笠井)
第一線で活躍するセキュリティエンジニアの取り組みやその姿勢を本音で語り合った座談会。今回の内容が企業の皆さんにも役立つ内容があれば幸いですと山﨑が最後に締めくくりました。
今回は、普段のありマク記事とは異なった形式での内容でのお届けとなりましたが、マクニカのセキュリティエンジニア像や働き方が少しでもお伝えできていれば幸いです。
最後までお読みいただきありがとうございました!
関連記事
前へ
エンジニアトーーク! ~イチ商社がセキュリティに強くなった舞台裏~前編
次へ
リモートでの工夫