この記事でわかること
-
AI時代のセキュリティエンジニアに求められる、スキル形成やキャリアパス
-
昨今のAIテクノロジーのトレンドおよび、新しい情報をいかにして獲得するか
-
セキュリティエンジニアのやりがい・醍醐味とは
AIテクノロジーの進化は、皮肉にもサイバー攻撃の高度化・巧妙化を加速させています。言語の壁を越えて自然なフィッシングメールを作成したり、AIを用いて短時間で攻撃プログラムを生成したりなど、悪意ある攻撃の手口もまた急速に多様化しています。
こうした脅威に対処し、顧客を守る立場にある「セキュリティエンジニア」には、これまで以上に高い専門性とスピード感が求められています。
今回は、日本を代表するITサービス企業である株式会社NTTデータで、セキュリティの最前線に立つ高橋福助氏と中島未生氏にインタビューしました。
高橋氏は社内の安全を守るインシデントレスポンスチームの一員です。中島氏は、主に社外の顧客に向けてゼロトラストセキュリティシステムを提案する仕事に携わっています。それぞれの異なる立場から、AI時代のセキュリティエンジニアに求められるスキル形成やキャリアパスについて話を聞きました。
高橋 福助(たかはし ふくすけ)氏
技術革新統括本部 品質保証部 情報セキュリティ推進室 主任
アプリケーション開発を8年経験した後、8年前にNTTデータへ転職。現在はインシデントレスポンスチーム「NTTDATA-CERT」に所属し、社内のセキュリティ事故対応および未然防止活動に従事。
中島 未生(なかしま みゆう)氏
ソリューション事業本部 セキュリティ&ネットワーク事業部 サイバーセキュリティ統括部 主任
文系大学出身。前職でのセキュリティ実務を経て、2年前にNTTデータへ転職。現在はエンジニアとして、社外の顧客に対してゼロトラストセキュリティ環境を提案する仕事に携わっている。
目次
セキュリティエンジニアへの第一歩。必要なスキルと資格の捉え方
——まず、おふたりが現在担当されている仕事の内容を教えてください。
高橋氏(以下 敬称略):私は「NTTDATA-CERT」というインシデントレスポンスチーム(CSIRT:シーサート)に所属しています。メインのミッションは、万が一社内で情報セキュリティ事故が発生した際に、社内外の組織と連携しながら原因究明から復旧まで、適切な対応や技術支援を行うことです。事故が起きていない時にも、未然防止のために様々な仕事をしています。私自身は技術的なトラブルシューティングへの興味から、この職に就くことを選びました。
中島氏(以下 敬称略):私は社外のお客様に対して、ゼロトラストセキュリティの環境を提供しています。お客様のOA環境の設計から運用まで、一気通貫で担当するチームに所属し、提案と導入支援などを行っています。NTTデータに入社して2年が経ちますが、お客様の環境に深く接しながら最適なシステム構成を模索することに日々励んでいます。
——セキュリティエンジニアとして働くうえで、どのようなスキルを重視し、獲得されてきましたか。
高橋:まずはIPA(情報処理推進機構)の情報処理技術者試験という、ベーシックな知識の習得から入りました。以前はアプリケーション開発をしていたこともあり、その経験が土台になっています。
ここ数年は、業務で利用したオープンソースのツールをより深く理解するために、自分自身でコードを修正したり、独自機能を追加してコミュニティに還元したりといった活動にも力を入れています。あとは実務を通じてより深い知見を身につけることを心がけています。
中島:私は文系出身ということもあって、社会に出た当初は情報セキュリティに関連する深い知識を持っていませんでした。私も高橋さんと同じくIPAの資格は基礎として大切にしていますが、同時に実務を通じて学んだ知識や経験を吸収して、次の仕事にも活かすことを重視しています。情報セキュリティに関する情報は膨大に散在しているため、すべてを網羅するのは困難です。そのため、自身の業務やお客さまへの提案に役立ちそうな内容から優先的に吸収するように心がけています。
AI時代の最前線で、求められるエンジニアのスキルと姿勢とは
——具体的な資格取得については、どのような基準で選んでいますか。
中島:IPAの資格は基本情報技術者を取得していますが、他にも特定企業の製品やクラウド、セキュリティ機器を扱う実務スキルを証明するベンダー資格に力を入れています。Microsoftの各認定資格や、ID管理やゼロトラストのOktaが運営する資格などです。特に公共系のお客様などには、製品導入のために特定の資格保持者を求められることもあります。実務にも直結する、即戦力となり得る資格をその都度調べながら身に着けてきました。
高橋:私は転職前に、IPAが実施するネットワークスペシャリスト、ならびにセキュリティスペシャリストの資格を取得しました。学生時代に情報処理を専攻していなかった私にとって、これらの座学は基礎体力を身に着けるうえでとても役に立ちました。ただ、座学による資格取得は人によって向き不向きは当然ながらあります。私の場合はオープンソース活動のように、実務ベースで見えてきた課題を深掘りする方が、自分に向いていると感じることがあります。
——情報セキュリティはテクノロジーの進化がとても早い領域ですが、新しい情報に対していつもどのようにアンテナを張っていますか。
高橋:実務をきっかけに学び始めたり、理解を深めることは常に意識しています。加えて私の場合はオープンソース活動にコミットすることで、ツールの仕組みだけでなく、昨今の開発者たちが追いかけているテクノロジーやトピックにも触れることができます。
中島:自分ひとりだけで多くの情報をキャッチアップすることは難しいので、チーム間でのナレッジ共有を大切にしています。技術パートナーである外部ベンダー企業の方々との定例会議で、最新テクノロジーのアップデートやグローバルトレンド、ロードマップを共有いただくことも、私の重要なインプット源になっています。お客様とのコミュニケーションの中から新しい課題やテーマが生まれることも多くあります。
——特に昨今のAIテクノロジーのトレンドについては、どのように感じていますか。
高橋:情報セキュリティのテクノロジーもまた、AIの影響を強く受けています。攻撃側が悪用するケースでは、例えば日本語の壁がなくなり、非常に巧妙なフィッシングメールが簡単に作れるようになっています。攻撃プログラムの生成も高速化しています。悪意ある攻撃に立ち向かう側の者として、私もAIを使いこなしていかなければならないという強い危機感を持っています 。
中島:お客様からも「AIはぜひ導入したいが、怖さも感じている」という相談をよく受けます。最近では、AIエージェントやサービスアカウントなど、人間以外のアイデンティティをどう管理するかという領域も注目されています。AIが業務を自律的に実行するようになれば、どの権限でシステムにアクセスしているのか、万一乗っ取られたり、不正に利用されたりした場合にどう止めるのかが問われます。AIを安全に活用するには、便利さだけでなく、暴走や誤用を防ぐための制御や監視、ガバナンスが欠かせません。
技術力に加えて、現場で求められる「調整力」
——セキュリティエンジニアには、技術以外のスキルも求められるのでしょうか。
中島:セキュリティエンジニアには、コミュニケーション能力と調整能力が欠かせないと考えています。端末やネットワークの状態を把握するだけでなく、お客様の業務環境全体を見渡し、どのような構成が最適なのかを検討する必要があるからです。そのためには、関係する部署の方々から丁寧に要件を聞き取り、現場の実情を理解しなければなりません。多くのステークホルダーの間に立ち、技術的な要件と業務上の事情をすり合わせながらプロジェクトを進める力が、成功の大きな鍵になります。
高橋:私の場合は社内の安全を守る仕事が中心ですが、やはり中島さんと同じく、コミュニケーション能力はとても大事なスキルだと考えています。インシデント対応の際、対峙する社内の方々が必ずしもテクノロジーに精通しているとは限りません。組織の幹部層の方に対しても、専門用語を噛み砕いて状況を正確に伝え、迅速な意思決定を促す必要があります。テクニカルな知見とコミュニケーション能力は、まさに両輪だと思います。
——社員のスキルアップを支える社内のメンター制度や、ロールモデルが御社にはありますか。
中島:NTTデータには「トレーナー/トレーニー制度」があり、中途入社であっても4年ほど先輩の方がメンターとして伴走してくれます。技術指導に限らず、仕事の進め方の背景にある考え方などが学べるため、私も当社に入社してすぐに環境に馴染むことができました。
高橋:NTTDATA-CERTチームには国内でトップレベルを誇る、情報セキュリティ分野のスペシャリストが在籍しています。国内外で多くの人材を育ててきた方の背中を近くで見ながら、一緒に仕事ができることは、私にとって大きな刺激になっています。また、社内だけでなくオープンソースコミュニティで出会うグローバルなエンジニアたちの姿勢からも、自分とは異なる視点や経験を学んでいます。
セキュリティエンジニアの醍醐味と将来のキャリアパス
——この仕事のやりがいと、今後の展望についてお聞かせください。
高橋:情報セキュリティは「社会を安全にする」ことに直結する、社会貢献度の高い仕事であることを誇らしく感じています。この仕事にはネットワーク、アプリ、OSとあらゆる階層の知識が求められる「総合格闘技」的な側面もあります。学ぶことには終わりがありません。だからこそ、日々自分を向上させていける点にも魅力を感じます。
中島:いつも最先端の領域に身を置いているという感覚があります。まだ多くの方が知らない「これから起きること」を、少し先回りして知ることができる点に、今の仕事の面白さを感じています。今後は、セキュリティコンサルタントのような仕事にも挑戦してみたいと考えています。お客様から要望を受けてから対応するだけでなく、より専門的な立場からアドバイザーとして関わり、潜在的な課題を先回りして捉えながら解決策を提案できる人材になりたいと思っています。
——最後に、これからセキュリティエンジニアを目指す方々に向けてメッセージをお願いします。
中島:いま皆様が携わっている仕事の経験は、将来セキュリティの分野に転職した後も必ずバックグラウンドとして活きてくると思います。例えば運送業や食品業界など、特定の業界で培った知見を持ってセキュリティの世界に入ることができれば、現場の事情を理解したうえで調整や提案ができるようになります。それはとても大きな強みになるはずです。
高橋:情報セキュリティは非常に幅が広く、奥が深い世界です。好奇心を持って学び続けられる方にとって、これほど刺激的でやりがいのある職種はありません。ぜひ、一緒に社会を守る仲間になってほしいと思います。
<編集後記>
NTTデータの最前線で活躍する高橋氏と中島氏は、インタビューの中で技術を探究する姿勢と同じくらい、人とのつながりを大切にすることの重要性を語っていました。
高橋氏のようにオープンソースの活動にコミットしながら知見を深める道もあれば、中島氏のように実務に根ざしたベンダー資格を取得し、現場での調整力を磨いていくアプローチもあります。いずれも自身のキャリアアップにつながる確かな道筋です。
自社、そして社会の安全を守るという使命を担いながら、めまぐるしく変化するテクノロジーのトレンドを貪欲に吸収していく。変化を楽しみ、学び続けることにやりがいを感じるエンジニアにとって、情報セキュリティは大きな成長の機会に満ちた、極めて魅力的なフィールドと言えるのではないでしょうか。
撮影:株式会社ブリッジ
ライター
