社内SE時代に情報セキュリティの重要性に実感し、セキュリティエンジニアへの転身を決意

佐野孝矩さんは大学卒業後、社内SEとして業務経験を積みながら、今ではメーカーのに所属し、セキュリティエンジニアとして活躍しています。社内SE時代から情報セキュリティの重要性を実感し、自ら大学院で知識を習得し、情報セキュリティ分野への道を歩みだしました。セキュリティエンジニアとして活躍する佐野さんに、求められるスキルや考え方をおうかがいしました。

佐野 孝矩(さの・たかのり)
佐野 孝矩(さの・たかのり)
大学卒業後、メーカーに入社し、経理と社内SEの兼務。その後、情報理工系の大学院に進学する。大学院卒業後は同メーカーの中でセキュリティエンジニア、アプリケーション開発担当として業務に就いている。

 

兼務の社内SE時代に業務の流れを把握

――大学卒業後にメーカーに入社されたきっかけを教えてください

大学は情報系学部に所属していた関係で、IT分野への就職を当然考えていました。ただ、私は地元が福井県で、長男でもあり、できれば両親の近くで生活できる地元での就職を希望していました。今から10年くらい前ですが、いざ、就職先を探してみると福井県でIT企業はなかなか見つからない。そこで、素材系を扱うメーカーの子会社に就職し、そこで社内SEとしてネットワーク関連の仕事がスタートしました。ただ、社内SEといっても経理担当と兼任でした。

――経理と兼任ですか?

そうです。当時の一般的な企業では珍しくなかったと思います。私が入社した会社ではIT関連の仕事は皆、他の業務と兼任していました。私と一緒にネットワーク関連の仕事に就いていたのは経営企画の仕事と兼任した方です。なかには営業と兼任の方もいました。地方の企業の場合は特にそのような兼任は普通にあり得ました。「パソコンに詳しいから」という理由で社内のシステムを担当するなんて話もよく聞きました。

 

――どのような業務内容でしたか?

主に社内のさまざまな部署の方に仕事上、業務上で不便なことやシステムとして改良したほうが良い点などをヒアリングしながら、システムやネットワークの更新・改良をしていく仕事です。経理も担当していましたので、自分でそのシステムなども確認したりしながら、改良を提案します。私自身は「昔からこのやり方だから」という言葉をどうも信用できないタイプでもあり、自分で検証してみないと気がすまない性格です。そのため現場の方と意見が合わないことも度々ありました。当時の上司が自由にやらせてくれたおかげで、社内の業務の流れなどを把握することができたのは大きいですし、貴重な経験をさせてもらいました。

 

セキュリティエンジニアとして第一歩を踏み出す

――そこから大学院に入学されていますが、どのような理由なのですか?

2010年頃から大手企業などでは情報漏えい事故やサイバー攻撃が注目されるようになり、情報セキュリティに対する機運が高まりつつありました。ネットワーク関連の仕事はそのような変化を実感する機会も多かったです。とはいえ、まだまだ一般企業ではそこまで敏感になっていたわけではありません。そろそろ、そういう準備をしなければいけない…という空気みたいなものが社内で徐々に広まっていった時期でした。ITについてもシステムを用意するだけでは社内での利用促進は難しく、社員の皆さんの意識を高めていくことが重要だと感じていましたので、情報セキュリティも同様と考えていましたので、この機会に大学院で教育工学を学ぼうと思ったのです。そして、情報セキュリティについてもしっかり勉強してこようと考え、会社にもそのことを伝えました。

――会社の反応はどうでしたか?

ありがたいことに歓迎されました。大学院の2年間を出張扱いで社員として在籍して…という提案も頂きました。さすがにそれは身に余る待遇なので遠慮しようということで、自分で負担して入学したのですが、戻ってきたら本社に紹介してもらうことになりました。エンジニア人材の確保は今も昔も難しいですので、会社としたらそのまま在籍して働いてもらいたいわけですが、自分自身にとってみても非常にありがたいお話でした。現在は、本社のグループ会社に所属してセキュリティエンジニアとしての業務やアプリケーション開発の仕事にも関わっています。

 

――情報セキュリティ分野の重要性が高まると予見していたのですか?

学生の頃から情報セキュリティについては感じていたことがありました。当時から大企業の情報漏えい事故などがニュースになっていましたから。こういう事故が相次ぐと、企業の信用は失墜してしまうだろうな、と漠然と思うところはありました。就職してからも経理担当として、色々なシステムやネットワークを使って業務を行っていました。特にクラウドサービスを使うこともありますので、経理情報を扱う場合の情報セキュリティは気になることも多かったのです。この分野の仕事は増えていくだろうな、という予感はありました。

 

情報セキュリティは現場との協力関係の構築が大切

――現在のセキュリティエンジニアとしての仕事を教えてください

わかりやすく言うと『教育』です。現在の情報漏えいなどの事故の原因は標的型攻撃メール(下図参照)が多くを占めます。ウイルスメールを社員が気づかずクリックしたり、サイトにアクセスしてしまったりするわけです。少し見れば不審なメールであることはわかるのですが、日々の業務の中でうっかりとクリックやアクセスしてしまう。そのようなうっかりミスによる事故を引き起こさないためにも社員の方々へ向けた訓練を定期的に行います。抜き打ちで標的型攻撃に模したメールを送り、開封率などを集計し、社員へ開封しないよう啓発を続けます。私たちの場合、グループ企業も数十社、海外拠点もあわせると社員数も数千名という規模ですので、社員全員にセキュリティ意識を高めてもらうというのはなかなか大変なことです。

標的型攻撃メール訓練の仕組み

 

――苦労する点などありますか?

例えば、情報セキュリティ効果を高めるためにシステムの変更を進めるとします。経営陣から「すぐに進めるように」と指示されているのですが、現場の社員の方に話をするとやはり反発があるわけです。今までのやり方や進め方を変えるのは嫌がりますから。それに、情報セキュリティは売上や利益に直結するものではないので、現場が反発する気持ちもわかります。ただ、そこでプロジェクトが停滞すると、今度は経営陣から「遅い」と指摘されてしまいます。そんな板挟みが一番苦労する点です。

――どのようにして解決しているのですか?

情報セキュリティの意識を高めていく際に大切なのはトップの意志表明だと思います。そのため社内のポータルサイトにトップが「なぜ、このような取り組みを進めるのか」ということをしっかり記載し、現場の方にも熟読してもらいます。私たちも現場の方には、「会社が一丸で進めているもの」であることをしっかり説明し、協力をしてもらっています。社内の情報セキュリティを整備していくために最も大切なことだと思っています。

 

――社内のセキュリティ意識は高まりつつありますか?

確実に高まっています。昨今のセキュリティ事故・事件のニュースの影響は大きいと思います。今までは、自社には関係ないという意識もあったかと思うのですが、製造業などもサイバー攻撃でサプライチェーンが停止してしまい膨大な被害金額が報じられています。そうなると経営陣も敏感になりますし、私たちの業務も責任が増すことになります。

 

大切なことは自分が関わっている自社の業務を知ること

――社内SEからセキュリティエンジニアの違いはなんでしょうか?

SEとセキュリティエンジニアは扱う範囲が違います。セキュリティエンジニアはシステムだけでなくネットワークなど広い範囲で対応しないといけません。言い換えると責任の範囲が広くなります。インシデント(システムやネットワークにおいて脅威となる事象)が発生すれば、夜中だろうと対応しないといけませんし、迅速な処置が求められます。

――セキュリティエンジニアはどのようなスキルが求められるのでしょうか?

知識だけであればIPA(情報処理推進機構)の「ITパスポート」などを合格していたら業務には就けるかもしれません。しかし、社内のセキュリティエンジニアは知識だけでなく、業務で培った知識が最大の武器になると思っています。社内SEのときも同様でしたが、私たちの仕事はパソコンに向かう時間よりも現場の方々と意見をすり合わせたり、業務を俯瞰(ふかん)して社員の方々の要望にも耳を傾けたりすることにあります。社内で意見を調整することの方がより重要です。だからこそ、自社の業務における知識をしっかり身につけておくことが求められます。情報セキュリティの知識だけではなかなか通用しないと思います。

――セキュリティエンジニアを目指す方々へメッセージをお願いします

自身が最終的にどのような業務に就きたいのかを具体的にイメージしてもらいたいと思います。今、自分が担当している業務について見つめ直してみるとよいのではないでしょうか。どういう流れで仕事が進んで、どういう人たちがシステムやネットワークを使用しているのか。そこをしっかり把握していくことが、最大の強みになるはずです。例えば、製造業を担当していた方がいきなり金融業界の情報セキュリティを担当したいといっても、それは難しいと思います。業界によって現場で働く方々の業務形態も異なりますし、情報セキュリティの質も違います。具体的にいうと、外部からの攻撃手法なども異なってきます。まずは自分が関わっている業務について知識を深めることが近道です。一方、今の社内環境で情報セキュリティに関する人材や組織がまったく整備されていないという方は逆にチャンスだと私は思っています。その重要性を会社や上層部に説き、組織編制も含めた提案を行うことができるからです。今後、重要性が高まる分野ですので、無視されることはないと思います。そのためには、自分自身も知識を深め、技術にも詳しくならないといけません。SEもそうですが情報セキュリティ分野も学び続ける姿勢を常に持ち続けることがなにより大切ではないでしょうか。

 


この記事が気に入ったらいいね!しよう

いいね!するとi:Engineerの最新情報をお届けします

プライバシーマーク