四半期に一回ぐらい数日間悩み続ける議題がある。若いエンジニアをどうやって上へとぶち上げて行くのか？の取り組みについてである。悩ましいことに人手が足りない、足りないというよりは、正確には程々にできる理解のある人手が欲しいのだ。

しかし程々のレベルに出来る人材はそう転がって来ない、とすれば若手を押し上げていくのみである。キャリア、給与、スキル、彼らが望めるものを上げるためにまずは「知識とスキル、経験」を得て強くなってもらう必要がある。あるいは地位や名誉か、タレントのようなキラキラした人材になってもらうか。ただ、「望めるものを上げるために」とは、上の人間はキャリア(ポジション)、あるいは給与を上げる時、ビジネスマンなので理由が必要になる。残念なことに理由のない大幅な昇給はない。

ここでふと考えると、自分が育ってきた環境も、経済的にも、組織的にも、世間の環境も、技術の発達も、持ち合わせる知識、興味、プライベートの時間…全てが異なるのに対して、どうやって押し上げるのか？押し上げられたいと思うのか？そうだとしてどのように期待し、要望を受け取るべきか…。正解はない、ただなるべくど真ん中に近いやり方、そして柔軟性を持った答えに辿り着きたい。様々な考えを整理してみる。

私の経歴の話

そういえば私も別にセキュリティがやりてえ！とこの業界に殴り込んできた訳ではなかったな、とふと記憶を呼び起こす。学生時代にネットワークを学んで、Linuxでサーバ組めたし、こういうのも面白いかもね、とSI企業に「インテグレーション？してえっす！」と新卒入社したのだった。
夏前にトレーニングが終わる時「君は広い知識を持っているからぜひセキュリティのチームに入ってくれ」と、そこからセキュリティのキャリアが始まった。広い知識ってなんやねん。結果的にそのチームでIPSの構築や運用保守、ウイルス検知の正しい対処、ウイルス検知しててもよくわかっていないエンドユーザ… 良くも悪くも学びがあったような気がする。

今は紆余曲折を経て、インシデント対応やアドバイザーのような幅広い仕事をやらせて貰っているが、偉そうな過去の経歴は１ミリも持ち合わせていない。新卒入社時の学歴も自慢できるようなものはない、新卒入社時は資格も基本情報を持っていなかった。学生の頃はあまり勉強が好きではなかったし、何かに直結しない資格勉強はあまり捗らなかったのが原因だろう。

ここまでの進んできた道を振り返るならば、計画的偶発性理論のような半分の運(偶然)と、キャリアを決めてからの学習と経験(計画)が生きてきている気がする。サイコロを振って生きてはきたが、サイコロの"出る目はどれが良いか"は考えているつもりである。

ビジネスと技術の両立(ソフトスキル)

もはや何度この話題を見かけたのかもよく分からない、サイバーセキュリティを仕事にする時は必ず意識しなければならないこの問題である。セキュリティは投資なんてよく言われる(諸説あり)が、もし投資だとしても、結果的に投資によりビジネスが阻害されて破産してしまっては意味がない。ビジネスを守ることは大事だが、利便性、ユーザビリティ、実用性を意識したセキュリティの施工が必要となる。

もちろん堅牢なセキュリティ、守るための攻め(レッド)の技術視点は確かに大事だ。ただ何事もバランスであり、すべての組織、プロダクト、サービスに同じ要件が当てはまるわけでは無い。だからといって控えめに行った対策がすぐ被害を受けてしまうのはよろしく無い。高すぎず安すぎず、行き過ぎていない対策を行い、落とし込めることが大事だと考えている。

ここからはあなたが適切に、あるいはそれ以上に評価されるための意識の話になる。組織、プロジェクトの状況など色々な環境があるので正解はないが、ユーザ企業、ベンダ企業いずれにおいても役立ちそうな、頭に入れておくべき観点をまとめてみる。どちらかというとソフトスキルな話になるが、少しの意識付けで貰える賃金が上がるなら儲けもんだろう。

倫理観

倫理自体はプラスに働くことはあまり多くない。だがマイナスに働かせないために大事な価値観となる。セキュリティは大幅なプラスを生み出さない、ビジネスをマイナスにさせないためにやっている。倫理観も同じである、「なぜあなたはセキュリティをやりたいの？」が問われた時に"嘘をつきなさい"と言っているわけではない。

道端に倒れている人が居たら助けてあげるし、困っている人が居たら声を掛けてあげる、ゴミが落ちてて拾える状況なら拾ってゴミ箱に捨てる。これらはいわば善悪の善であるが、「これが善である」ことが分かっていればよい。これらをサイバーセキュリティ、ITの世界に落とし込んだ時、拾ったパスワードでアクセスを試してはいけない、学んだ知識をもとに実サイトに攻撃を仕掛けるのはよくない、と判断できればいい。ビジネスに照らし合わせた倫理観はそのうち育つ時が来るので、焦らず軸を持って過ごしていれば良いと思う。

知識のキャッチアップ、思考の整理

サイバーセキュリティは外側の要因(主に脅威)の廃り流行りが激しい。内側(IT技術の実装)をどれだけ学んでも、外側の視点と情報が無ければ容易にセキュリティは崩される。

新しいこともたくさんあるが、基本的な比較的古い知識も求められ続ける。ニュースを見たり、リリース内容を見たり、公開されたパッチの内容を理解したり、結果求められるのは新しい知識と、それに紐づく基礎知識である。そこからどのように解釈するのかが大事で、最前の手を打てるかどうかに繋がっていく。

知識を入れ込んでは思考して、対策を打ってはまた知識を…の繰り返し。そうすると、次第に知識の引き出しが増えて応用が効くようになる気がする。

信用を得る

これは社内だけに限らず社外からの信用も含む。この人に任せておけば安心だ、この人に聞けばより良い答えを出してくれる、といった人に対する信用、評価だ。
取り組みを長く続けることでも勝手に生まれる信頼がある。老舗の企業は良い例だ。とにかく長く続けて組織内のフォロワーを増やす戦略もあるだろう。短期的にしろ、長期的にしろ、いずれかの時間軸で信用を得るべきだ。その信用が更なる評価に結びつくか、自分が望むプロジェクト、キャリアへの道に繋がるかもしれない。

この信用を得た先にあるのは責任を持つことだろう。何かに対して責任が生まれてくる。信用への対価なのかもしれない。そうするとお金ももらえる、さらに何かが舞い込んでくるかも。

ビジネスの波を見て転べる時に転ぶ

今まで述べた中で一番特殊なスキルが求められるかもしれない。失敗も学ぶべきな考え方である。失敗を隠したり、先延ばしにしたり、下手なリカバリーを行うことで悪化することがある。

より正確に表すなら、ミスをして階段から転げ落ちそうになった時に、踏ん張り切れるか、あるいは転げ落ちる時に正しい受け身を取れるか、である。一度ミスをすれば身体が覚える、あるいはミスを起こさないよう気をつけるべき勘所が分かる。

歳をとって、自分が若手ではなくなったとき、それまでに転び方を知っていないと転んだ時の痛みが大きくなる。転んでも良いプロジェクト、転んだ時に誰かが手を差し伸べてくれる環境、そんなところで一度実際に転んでみるのも良いかもしれない。

セキュリティの技術で生き抜く(ハードスキル)

もしあなたがサーバやネットワーク、プログラミングなどを多量に学び、経験した後にセキュリティへ飛び込んだのならあとは応用するのみである。ではもし就職前の学生、新卒で入った後数年の状態で、次の目標を決めあぐねている時どうしたら良いのか？

プライベートを使って成長する

これはもはや最短ルートで有名であるし、正論でしか無いが、ビジネスの働ける時間は限られている。他人より成長したいならプライベートの時間をぶちこむしかない。金銭面で余裕があるのなら、自費でお金を注ぎ込むのは非常に優位に働くだろう。(ただ、決して身銭を削りまくり生活することだけが素晴らしいことではないことに留意してほしい。)

だが、ここまで書いてきた話は別に掛けた時間や金、手を動かしたものが直接的に成長に繋がるものではない。行動した時のタイミング、繋がった人の数、話した顧客や社内の人間の数、こなした複雑な事案、プロジェクト… そういったふんわりした多様な概念にどれだけ触ってきたか否かになってしまうが、要は「時間が多く割ける人間に多くの経験とリソースを注ぎ込みブーストさせる、させてもらう」理論である。

組織の上の人間の視点に立てば、全体のメンバーに等しく経験もさせられないし、リソースとなるトレーニングの受講もさせられない。ではどうやってリソースを多く分配してもらえるのだろうか。伸び代を活かすときに「あなたは今、成長したいですか？」と聞いて「したくないです」と答える人間の給与が大幅に上がることは基本にないだろう。

組織において人事や上長と1on1や意見交換の場があるなら、あなたの状況をプライベート含めどれだけ、今触れている技術や取り組みに熱量があるのか、それに対して何をしているのか、何があれば更に成長できるのか開示したほうが良い。むしろして欲しい、何も言わずに黙々と陰で努力していても、あなたが評価されるタイミングで出してきた成果は、あなたの努力の100%が反映されるわけでは無い。ビジネスのためにプライベートを費やせるなら自己開示すべきだ。

そのうえでお金を出してもらえない(ポリシー、社内規約の縛り)なら仕方がないので、自分でお金を払って様々な知識や技術に触れるのが良いだろう。

これは必ずしもインプットだけではなく、何をやっていて何に興味があって、何なら私はモチベーションが爆上がりするのかを言葉にしてアウトプットすることも含んでいる。どうせならモチベ爆上げで仕事してもらいたい。

平衡感覚を鍛える

様々な技術を学び、活かせる箇所で活かして欲しいと期待することが多い。例えば2025年の今はオフェンススキル、ペネトレーションスキルへ関わるか、学びたい人が多いようである。個人での学びやすさ、学んだ結果と手を動かした結果の分かりやすさなどから流行っているようにも感じる。

上述したようにプライベートでも学び、モチベ爆上がりなら良いが、今のチームの仕事、組織の仕事にオフェンススキルを活かせる箇所がなければ、学びたいだけではやや弱い。また、キャリアを考えるなら個人で学んだ経験だけで推すのは限界が来るかもしれない。少ない割合でも良いから自身の組織のビジネスに関与、貢献できる取り組みに参加できる知識とスキルを学ぶのも悪くない。結果、その分野でエキスパートになったことで、やりたい分野の仕事が回ってくることもあるかもしれない。

浅く広くなのか、深く狭くなのか、はたまた深く広くなりたいのかは自由だが、自分が何を目指したくて、何をやって、今どのあたりに居るのか、ふらふらせず平衡感覚を持ってビジネスと趣味の打ち込むバランスを整えるのがいいと思う。決してやることが無駄ではなく、趣味に打ち込みすぎて本来のやるべきこと(仕事)とのバランスを崩す必要は本当にあるのか、と伝えたい。

結局どうしてほしいのさ？

独り立ちしてほしい

アフリカのサバンナの肉食動物がいつ親元を離れて生活していくのかは詳しく知らないが、自分で草を掻き分け獲物を探して狩りをして食事して生きて欲しい。

ある程度のスキルが身についたりポジションになると、当たり前ではあるが成長してくれ！とお膳立てされた成長を享受できなくなる。なんなら、業界のトップに居る人、あるいはそれに近しい人は道なき道をかき分け学び、手を動かし続けている。彼らの様に育て！とまでは思っていないが、目指す姿勢の一つの道として憧れて育ってほしい気持ちもある。

自己開示したほうが得られるものが多いかもしれない

想像以上に行動力があったり、注目される人については縦横無尽にコミュニケーションを取っていたり、何がしたいとか何に興味あるとかを自己開示を良く行っている気がする。

実際のところ、新しいプロジェクトや事案が発生して、誰に任せよう？とか話しかけに行ける人というのは、自己開示することで、どんなスキルを持っているのか(いそうか)、何に興味があってモチベーションを持ってくれるのかが分かっている人に声を掛ける気がする、少なくとも自分はそう。

やっぱり仕事も一緒に意欲が高く、そしてどんな状況でも少しでも楽しんで、やってよかったと思える仕事がしたい。一緒に出来るならそんな人がいいのだ。であるなら、やはり自己開示しているかで第三者的な選択が行われる。その時に候補に挙がっているか、選ばれるかは開示された情報量に基づくだろう。ランチを食べに行った時、飲みに行った時、雑談の場でもなんでも良い。楽しい話題とともに少しだけ、自己開示すると良いことがあるかもしれない。

与える側に立つ

Give and Takeって言葉があるわけで、持ちつ持たれつの意味がある。物事の成り行きを見ていると、与える(Give)側に立ってる人間の方が色々と上手く立ち回れる気がする。

与えられるだけの知識や余裕があったり立場があるってだけで一つの信頼(信用)になるんですよね。サービスとかお店もそう、なんでそのサービスを使い続ける？お店に通う？色々な理由があるけど、大きく言えば信頼があるから。

トレーニングを開催する側に行く、情報提供する側に行く、登壇したり、テックブログ書いたり… SNSで発信することでもいい。与える側に立つといずれも責任がついて回ってくる。責任持った行動と発言ができる人は重宝されがち。言うなれば実績に繋がるからである。我が組織ではキラキラ人材とか呼ばれることがある、人前に立つ姿は輝いて見える。見せ方ひとつで立場が変わるなら、与える側にほんの少し踏み込めば流れが変わるかもしれない。

興味を持ってもう一歩踏み出す、歩み続ける

少しでも多く踏み込める人って、なんだか凄い人に見えるんですよね。それを人に言われず自分自身で踏み込んで、想像の一歩先を進むような人、理想の人材感がある。期待値があった時に、ほんの少しでも上回るだけで凄いなぁと思ってしまう。

仕事を趣味にするのは良くないともよく言われるが、やはり趣味のように楽しんで、さらに先に進もうとしている姿は尊敬にも値する。ここまで書いてきた内容も含め実践できる人はこの一歩を踏み出す人だろう。

踏み出した一歩をさらに歩み、歩み続けられる人であってほしい。最初は周りに人がいないけど、そのうち誰かが一緒に歩んでくれるかもしれないし、フォロワーとして後ろをついてきてくれるかもしれない。

と、ここまで書いたが最近Xで投稿している有耶無耶な話を取りまとめただけになってしまった。ポエムの完成。ポ完。

あなたの組織はどうですか？私の見えていない視点、考え方があればぜひ教えてください。