• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
ITpro Special
週間WEEKLY ITpro Special ITpro

セキュリティ業界の人材不足に対し、人材育成で貢献するパーソルテクノロジースタッフの取組みとは?

情報の搾取を目的とした標的型攻撃、金銭の搾取を目的としたランサムウエアなどの被害拡大。またIoTなど技術進化に伴う、さまざまなセキュリティ課題は企業にとって重大な経営テーマの1つである。しかしそれを支援するセキュリティエンジニアは、人材不足という大きな問題を抱えている現状。そのような時代背景に対し、セキュリティエンジニアの教育に力を注ぐ、エンジニア向け人材サービス会社 パーソルテクノロジースタッフの井上貴史氏と村中泰文氏に、セキュリティ業界の今後と、同社セキュリティチームの取組みについて話を聞いた。

4つの分野でセキュリティサービスを展開

――企業を取り巻くセキュリティの状況をどのように見ていますか。

井上氏 サイバー攻撃が多様化・巧妙化し、多くの企業が深刻なリスクに晒されています。国内でも大規模な情報流出に発展したケースが少なくなりません。これを受け、経済産業省は情報処理推進機構(IPA)とともに「サイバーセキュリティ経営 ガイドライン」を策定しました。これは経営戦略としてのセキュリティ投資の重要性を訴えたもの。経営者がリーダーシップを発揮し、セキュリティ対策を推進することが期待されています。

パーソルテクノロジースタッフ
IT事業本部 ITサービス部
セキュリティサービスG
リーダー
井上 貴史氏

――その中で、御社はどのような事業を展開しているのですか。

村中氏 エンジニアの技術サービスを展開しています。その事業ドメインの1つとして、セキュリティサービスがあります。当社のセキュリティエンジニアが各クライアント企業のセキュリティサービスや、企業内のセキュリティ対策を支援します。

 当社のセキュリティサービスには4つの分野があります。1つめは脆弱性診断。専用のツールを使って、Webアプリケーションやプラットフォームの脆弱性を診断し、その分析と報告を行います。このサービスは10年以上前から手掛けており、当社がお客様から直接受託するケースも増えています。

 2つめはCSIRT(Computer Security Incident Response Team)の構築・運用支援。セキュリティインシデントの監視・分析を行うCSIRTの構築や、セキュリティ施策の推進、CSIRT運用メンバーの一員として参画するなど、幅広くサポートします。

 3つめはSOC(Security Operation Center) の運営支援。SOC基盤の設計・構築要員及び、セキュリティ機器のログ解析やチューニングを担うアナリストを派遣し、SOCの運営を支援します。

 4つめがアプライアンスの導入・運用支援です。次世代ファイアウォールやIDS/IPS(不正侵入検知/防御システム)、さまざまな機器からログを収集して不正を検知するSIEM(Security Information and Event Management)等の導入と運用を支援します。

 サイバー攻撃の多様化・巧妙化を背景に、近年これらの分野のニーズが非常に高まっていると感じています。脆弱性診断は、システムを運用する限り必要となりますし、まだまだCSIRTやSOCの構築、アプライアンス導入が必要な企業は多いと思われ、それらの適切な運用を維持するためにも、今後セキュリティサービス全体のニーズが一層高まっていくと思います。

セキュリティエンジニアが足りない現状に対して

井上氏 経済産業省の調査では2020年には、セキュリティエンジニアの不足数が約20万人まで拡大するといわれています。すなわち、セキュリティエンジニアは慢性的な人手不足に陥っています。同時に、その課題に取り組むことこそ当社のミッションであると捉えており、その一環としてキャリアシフト促進と教育が重要だと考えています。

――セキュリティエンジニアにキャリアシフトするのは容易ではないイメージがありますが、どのような経験を持った方がセキュリティエンジニアとして活躍しているのですか。

パーソルテクノロジースタッフ
IT事業本部 ITサービス部
セキュリティサービスG
リーダー
村中 泰文氏

村中氏 セキュリティは未経験でもネットワークやサーバの構築・運用もしくはWebアプリケーションの開発など一定の経験を有する人材を採用しています。セキュリティに興味を持ち、自らを高めていきたいという意欲的な方は当社の研修やサポート体制を活用し、セキュリティエンジニアとして活躍しています。  

 セキュリティは専門性が高くハードルが高いと思われていますが、もともと持っているエンジニアとしての経験を生かしたプロジェクトへの参画を行っています。また、キャリアを着実に形成できるような支援体制を整えています。

――セキュリティの仕事の魅力とは?

村中氏 先ほど紹介したように、当社の場合セキュリティサービスには4つの分野があり、様々な現場で経験を積み、幅広い知識・技術の習得が可能です。さまざまな顧客のニーズに応じたソリューションの構築や導入、運用を支援していくことができるので経験の幅や、サイバーセキュリティに対する視野も広がります。今後は、セキュリティの業務経験を積んだエンジニアが、ITインフラや開発の分野でその経験を生かして活躍するケースも増えてくると考えています。

井上氏 IoTに代表されるように新しい技術への対応も求められます。これまで想定していなかったセキュリティの問題も発生すると思われ、新しい技術の活用を前提にした上で、そのセキュリティをどう担保するのか。常に新しい技術動向に目を光らせ、スキルの習得に励む。大変な面もありますが、それだけやりがいのある仕事です。

技術習得やスキルアップを積極的にサポート

――人材の育成、スキルアップの支援体制について教えてください。

村中氏 当社には、セキュリティの仕事にチャレンジするチャンスがありますが、市場に求められ続けるセキュリティエンジニアになるためには、常に新しい技術習得を図る事が必須となります。当社のセキュリティエンジニアの教育事業は2007年よりスタートしていますが、その研修内容も市場に合わせアップデートしていますし、セキュリティエンジニアとしての業務を開始した後も、技術・知識の共有体制を整えています。当社のエンジニアもそのようなサポートを活用し、常に積極的なスキルアップを図りながら、活躍しています。セキュリティエンジニアとして活躍し続けるためには、自らが上を目指し行動する事が大切です。

人材の習得度に応じて、育成カリキュラムを多数用意。写真はネットワークに対する攻撃手法についての研修会の様子。

井上氏 セキュリティは“人材ありき”のビジネスなので、前述のように教育には特に力を入れています。採用後は1カ月間の導入研修を行い、インフラやアプリケーションのセキュリティに求められる技術の習得を図ります。Webシステムに対して疑似攻撃をおこなったり、セキュリティ製品の導入を通してログの分析について理解を深めたりといった、ハンズオン研修をおこないます。ただ、セキュリティの技術情報は日進月歩でアップデートされていくため、新しい情報やスキルのキャッチアップを継続する重要性も含め、教育しています。

 業務開始後も、経験を持つエンジニアによる勉強会や、セキュリティ資格の取得もサポートしており、資格取得者にはインセンティブもあります。また、エンジニア同士で技術情報を交換・共有する風土が根付いているのは、当社の特徴といえるかもしれません。そういった風土はエンジニアたちのよい刺激となり、高い意識を維持し続けるための支えとなっています。

――これから、セキュリティエンジニアを目指す人に向けてのメッセージをお願いします。

井上氏 セキュリティに関して、日本は一種の保険という意識が根強い。それ自体が利益や業務効率など目に見える成果を生むわけではないからです。それに対し、欧米はセキュリティ対策をリスクヘッジの一環と捉え、経営のための積極的な投資と考えています。しかし、冒頭で説明したように経済産業省とIPAが「サイバーセキュリティ経営 ガイドライン」を策定するなど、日本でもセキュリティ対策を経営のための投資と考える傾向が高まってきました。セキュリティエンジニアの活躍の場はますます広がっています。

村中氏 サイバー攻撃の手法は日々進化を続けており、その対策に終わりはありません。社会のデジタル化の進展、企業のセキュリティ意識の変化と相まって、市場は今後も拡大していく見込みです。優秀なセキュリティエンジニアを欲しがる企業も増え続けています。

 人材不足のセキュリティ業界ですが、興味があれば自ら携わる事もできると思います。そういった方々に向けて、当社で活躍中のセキュリティエンジニアが情報を発信するサイトをオープンしました。意欲的な人材が一人でも多くセキュリティに興味を持ってくれることを切望しています。

お問い合わせ