株式会社セキュアスカイ・テクノロジー(SST)代表取締役社長・乗口雅充氏へのインタビュー、前回は乗口氏自身のキャリアを中心に伺いました。後編はエンジニアのキャリアプランと、セキュリティについてのスキルとの関係の、今後のトレンド予想に迫っていきます。「セキュリティ」は「エンジニアの働き方」にどう影響するのか(前編はこちら)。
セキュリティ担当のエンジニアの重要性
――セキュリティ業界はプレイヤーが少ない、という話をされていましたが、セキュリティを専門的に担うエンジニアは少ないのですか?
乗口:セキュリティの知識、脆弱性のメカニズムって、エンジニアであれば本来は習得してもらわないと困る知識なのですが、なかなか普及していないですね。開発って、そもそも覚えることが多いじゃないですか。アプリの開発やらネイティブアプリの話とか。そうすると、どうしてもセキュリティは後回しになってしまいます。
とはいえ、企業のウェブサイトが大規模攻撃を受ける現在、セキュリティ担当のエンジニアというのは、これから重要な役割を果たすのではないかと思います。弊社の場合、新たに入社した社員には、最初の担当業務として「脆弱性診断」をしてもらっています。ハッカーとして発注元の会社のウェブサイトに対して攻撃をかけるんですね。
そして、脆弱性をすべて報告させます。セキュリティにもともと興味のある人材は、自分で脆弱性診断の新たな手法をどんどんつくっていきますね。
――ハッカーのような仕事は映画などでよく見かけますが、実際のところ大変そうですね。
乗口:そうですね、実際はとても根気のいる仕事です。ずっと攻撃を仕掛けて、それに対するレスポンスを見て不十分な箇所を脆弱性として報告するわけですから。朝から晩までずっとパソコンに向かっている仕事です。
その点では、同じことを何回も繰り返すような、「ストレス耐性」が必要と言えます。そういう意味ではセキュリティエンジニアにはストレス耐性も適性要件に入りますね。
「やりたい」という意欲があるから成長も早い
――SSTで、エンジニアを採用する際に重視している点は?
乗口:うちの場合は中途採用が多いですね。でも中途でずっと採用していくと、会社の年齢構成がどうしても高齢化してしまいます。そのヘッジとして、これから新卒採用にチャレンジしていこうと思っているところです。ちなみに、採用方針としては「Webアプリ開発経験者でセキュリティのことを学びたい」という人を募集しています。
どこかの会社でWebアプリ開発を経験した人が多いですね。実際のところ、経験者のほうが会社に適応するスピードが速い。結局、セキュリティ診断というのは、人のつくったプログラムの欠陥を探して報告するサービスなので、プログラムを作る人としての感覚がないと、どこかで成長の限界にぶつかる。
停滞の段階からなかなか抜けられなくなるんですね。でも、経験者の場合はわりと限界を突破してスキルアップしやすいです。もちろん、2年とか3年といったスパンで徐々にスキルアップしていく流れになっています。
基本的にやりたい人が来ればそれで良いと思っています。弊社に来て育つか育たないかは、採用時に100%分かるわけではありません。それは本人の問題だったり、会社側の教え方の問題だったりするわけで。「セキュリティを学びたい、やりたい」という意志があって開発経験を持っていれば、ある程度は合格にしています。
――そういう思いがあれば自分から勉強するし、吸収が早いと。
乗口:そう、その通りです。セキュリティ技術だけでは、なかなか仕事にするのは難しいため、やはり何か開発経験をしたうえでセキュリティの知識を載せていくことで、初めてスキルとして通用するようになると思います。
セキュリティエンジニアの時代がやってくる
――Webセキュリティ業界はブルーオーシャンと言えるのでしょうか。
乗口:先般も薬事法が改正されて、ネットで第一類医薬品が購入できるようになり、1000社ほど申請があっと聞きました。例えば、この話一つをとっても、量販店やスーパーなどがネットで個人情報を集めて事業をやるわけですから、セキュリティの仕事は増えていくばかりですよね。
同時に、不正アクセスの攻撃の質もどんどん上がっています。昨年から流行している「パスワードリスト攻撃」、あれは衝撃的でしたね。不正に入手したログイン情報を使ってログインするため、見かけ上は正規のアクセスですから、不正なアクセスを防ぐ診断だけやっていても駄目で、そのような攻撃を止めるサービスも必要です。
国が守ってくれないという状況下で、新たな攻撃に対してどう取り組むか。つまり、Webサイトを持っている会社が、自ら主体的にセキュリティ対策をしていく必要がある時代になったということです。多くの会社で、自社内でWebセキュリティを専門に担当する人が求められるようになるのではないかと考えています。
いったん診断する側でのキャリアを積むと、そのあとクライアント側に転職して、クライアントでセキュリティ専任として仕事をするというキャリアパスも見えてくるでしょう。
(安齋慎平)
