パンくずリスト

サイバーセキュリティ分野で活躍する方々からの教訓とアドバイス

サイバーセキュリティ分野で活躍する方々からの教訓とアドバイス
テクノロジーブログ

 

「サイバーセキュリティ月間」の一環として、ヘイズ・テクノロジーは世界各地でセキュリティ分野のキャリアを積んできた方々に、体験やアドバイス、業界の将来像についてお伺いしました。

 

「物を壊すのが好きでした!」

 

シニアサイバーセキュリティコンサルタントでリーダーも務めるホッサム・エルタウィさんが、この業界を選んだ理由は興味深いものです。このような経験が、なぜサイバーセキュリティの分野で活きるのかは、想像ができると思います。セキュリティシステムへの信頼は、厳格なシステムテストを実施することでしか得られません。システムの「弱い部分」を理解していなければ、サイバー攻撃に耐えられるかどうか分からないからです。

エルタウィさんがこの業界でキャリアをスタートさせた理由は一般的なものではないかもしれません。しかし、セキュリティ分野でキャリアを積む上で熱意が重要な要素であることは明らかだと思います。

情報セキュリティ部門のチーフスタッフ、アレクサンドラ・メルツさんは「常にテクノロジーに、特に人々の生活を向上させていくためにはどのようにすればいいのかということに情熱を持ちながら仕事に取り組んできました。クラウドコンピューティングの重要性が高まる中、企業や個人情報へのセキュリティ対策はますます重要になってきています。そのような状況があったので、サイバーセキュリティでのキャリアを選ぶことになりました」と話しています。

アマラフ・マザールさんは、家族との時間を大切にするため8年間仕事から離れていました。マザールさんは、「情熱を注げるものを見つける必要がありました。本当にやりたいことであるからこそ、優れた結果を出せるのです」と語っています。このような経験をしたことがある方はあまりいらっしゃらないかもしれませんが、サイバーセキュリティ業界の第一歩としてインターンを受けることにしたそうです。

幼い頃にハッキングをしたことが、この業界でキャリアをスタートさせたきっかけの方もいらっしゃいます。フランスでサイバーチームのマネージャーを務めるタウフィック・ファレスさんは、2000年に初めてPentium IIプロセッサを搭載したHPのコンピュータを所有。そのコンピュータで、友人のPCを操作したり、デスクトップの壁紙を変えたり、ディスクドライブをいじったりして、友人を困らせていました。その後、サイバーセキュリティのコンサルタントとして15カ国以上で仕事をしてきたそうです。

また、コンピュータへの興味がきっかけで、サイバーセキュリティ業界への道を歩み始めた人もいます。ドイツ出身のセバスチャン・ウィーゼラーさんは、現在シンガポールでシニアITセキュリティ&コンプライアンススペシャリストとして働いています。幼いころからコンピュータやテクノロジーに強い興味を持っていましたが、セキュリティ分野を志したのは大学に入ってからでした。

 

サイバーセキュリティ分野での学歴や経歴は必須条件ではない

この業界で働いている全ての方々が、学校や大学でサイバーセキュリティについて学んでいたわけではありません。メルツさんは、別の分野を学んだことが役に立ったと言います。「学校では、主に国際経営学を学んできました。クラウドコンピューティングとサイバーセキュリティに加えて経営学の知識も持っていることで、経営者の視点を理解しビジネスに必要なサイバーセキュリティソリューションをつくりだすことができています」。

グアムやアメリカに住んだ後、日本に移住して働いているカート・キャセイさんも、似たような経験があります。キャセイさんは1980年代という早い時期から家庭用コンピュータを利用していました。その後、日本語を学んでいたサンフランシスコでテクノロジーの発展を目の当たりにします。グアムではギターショップの開業まで様々な分野の仕事を経験しましたが、サイバーセキュリティ業界でのキャリアで培ってきた外国語能力が役に立ちました。キャセイさんは、「この業界で複数言語を話すことができる人は少なかったので需要がありました」と説明しています。

ドミニク・グルンデンさんは、ミャンマーを拠点とする最高情報セキュリティ責任者(CISO)でヨーロッパとアジアで活躍しています。ITに熱中し始めたのは、地域の学校にあるケーブルを敷設するボランティアをしたときでした。「当時は、何でも屋でなければなりませんでした。ケーブル配線、ワークステーションやサーバの使い方を知らなければなりませんでした」。

IT業界でキャリアをスタートさせて、その後セキュリティ分野で専門性を深めた方もいらっしゃいます。情報セキュリティ・事業継続計画(BCP)ディレクターの清川誠司さんは、イギリスでセキュリティエンジニアとしてキャリアをスタートさせました。当時を振り返り、「そのころのセキュリティ対策は単純でした。ファイアウォールとウィルス対策ソフトがあれば良かったのです」と話しています。ロンドンでコンピュータサイエンスを学んだ後、情報セキュリティの道に進みました。

バート・クラチさんは、キャリアのスタートがIT業界だったとはいえ、一般的ではないルートでこの業界に入りました。クラチさんのキャリアは17歳のときに始まりました。その企業の最高経営責任者(CEO)は元開発者で自身のセキュリティの自信を持っており、クラチさんにセキュリティを回避してシステムに侵入することを求めました。しかし、クラチさんはハッキングにわずか3週間しかかかりませんでした。ハッキングをしたのは初めてではなく、以前にも学校のサーバに侵入し、試験問題にアクセスしていたことがあったからです。

その後、日本とオランダでキャリアを積んだクラチさんは、最初に影響を受けた人物として当時のCEOを挙げました。他の方々のロールモデルは様々です。グルンデンさんは、起業した当時アイコンとして見られていたビル・ゲイツやスティーブ・ジョブズを挙げました。一方、ファレスさんは、同世代の情熱を持った人たちが、有名なハッカーであるケビン・ミドニックをこのような社会的動向の先導者として見ていたと話しています。

清川さんは、自身のキャリアパスや考え方だけでなくリーダーシップのあり方に大きく影響を受けた人物に、携帯保証サービスなどを手掛けるアシュリオンのジム・デズモンド、ブラッドリー・ウィルト、モハメド・ハフィールを挙げました。

 

各国のサイバーセキュリティへの取り組み

サイバーセキュリティ産業が、世界各地で同じように成長してきているわけではありません。その違いは、視点や考え方の違いによって起きることが多いそうです。エルタウィさんは、「イギリスでは法律や規制(特にEU一般データ保護規則)によって、シニアマネージャー層から賛同やサポートを得やすくなっています。その結果、単なるITリスクという認識から、ビジネス全体のリスクというように考えられるようになりました」と説明しています。しかし、「オーストラリアには同じような法律はなく、セキュリティへの意識は同じレベルまで達していませんでした」と指摘。一方で、「セキュリティ対策が改善してきていることも確かです。時間の問題ではないでしょうか。3年以内にはより良い状態になっているでしょう」とも話しています。

他の重要な要因は、人材のスキル不足です。マザールさんは、オーストラリアにおける人材不足がサイバーセキュリティの発展に大きな影響を与えていると考えています。しかし、なぜそのようなことが起きているのでしょうか。グルンデンさんは、次のように考えています。「米国では、歴史的に、FBIでネクタイやスーツを着用しない人を採用しませんでした。しかし、現在は、本当に国の発展を助けたいと思っているかということに限らず、ジーンズやTシャツ、おそらく短いパンツで職場に来ている人もいるでしょう」。グルンデンさんが言うように、オーストラリアには時代の流れに追いつく必要があります。例えば、アメリカやヨーロッパの企業や政府機関では、情報セキュリティ部門で外国人を雇うことは問題ないが、オーストラリアでは他国から来た人材を雇うことに消極的だと、認識しているそうです。「他国から人材を招き入れることができれば、サイバーセキュリティのレベルが上がるのではないでしょうか」。

キャセイさんは、米国と新しく移り住んだ日本の現状を比較し、「米国は、特にこの10年間で多くの人々がお金を投じて対策してきました」。それに対して、「日本はいつも通り動きが遅いです。常に、じっくりと考えてから行動に移し、そして約6年前に使われていた一昔前の方法を選んでしまいます。日本には、3~5年ほど遅れて、サイバーセキュリティという考え方がやってきました」と述べました。

清川さんは、「日本人は、基本的に性善説に基づいて物事を考えます。米国では、これが逆だと思います。しかし、日本人は性悪説のように全ての人が悪で悪いことを起こすだろうとは考えません。物事に対する考え方が違うのです。」と説明します。また、「一般的に日本でサイバーセキュリティの仕事をしている人は、計画を立てることに多くの時間を費やしますが、最終的には解決策が完璧でないことがあります」と述べました。

さらに、清川さんは、これからの日本では、社内でCISOを育成する企業が増えてくるだろうと考えています。これまでそのような動きがめったに見られなかったことに関して、「大企業がジェネラリストを育てることを好み、専門的な分野は他のパートナーに頼る傾向があるからでしょう」と理由を説明しました。

クラチさんは、新型コロナウイルスが日本のサイバーセキュリティの発展に与えた影響について話し、「日本のITとテクノロジーを成熟させる良い機会でした。日本にいたときに感じたのは、技術国家として他国から見られている日本と、実際にITやセキュリティに携わる人と話して得られるものとの間には、大きな隔たりがあるということです。オランダやその周辺国では、サイバーセキュリティを教えている大学が数多くあります。多くの人々が、そのような大学から卒業しています。これは、日本との大きな違いです」。

 

サイバーセキュリティの将来は?

将来の役割についてキャセイさんのスタンスははっきりとしています。その理由として、守る側の人間は、少なくともサイバー攻撃をしかけている相手と同程度の技術的知識を持たなければならないと説明しています。

清川さんの予想も大きく異なるものではありません。「3年以内に、社内の専門家の中からセキュリティの全体像を把握し、幅広い領域で経験や深い理解を持つ人材が出てくると思います。そのような人材がシニアレベルで活躍し始めるのではないでしょうか」と予測しています。

セキュリティシステムへの脅威が絶え間なく変わり続けている中で、テクノロジーのリーダーたちはどのような問題に直面することになるのでしょうか。クラチさんは、「サイバー攻撃による脅威はこれまでとは全く異なるものになるでしょう」と警告。メルツさんも「新型コロナウイルス感染流行が始まって以来、脅威が拡大し続けています。リモートワークは新たな課題を生み出しました。例えば、多くのマネージャーが、安全性が十分に確保されていない個人の無線ネットワークや、もしくはカフェを利用して仕事をしている場面を想像してみてください」と警鐘を鳴らしています。

ウィゼラーさんは、次のように考えを述べています。「サイバーセキュリティの需要は増加し、より複雑なものになっていくでしょう。複雑になるということは、安全性の低下を意味します。3年以内に、サプライチェーン全体でさらに大きな需要が発生するでしょう」。

 

サイバーセキュリティ業界でキャリアを積むために

技術的なスキルは、この業界でキャリアをスタートさせる際に役に立ちますが、それが全てではないとエルタウィさんは説明します。「技術的スキルと、コミュニケーション能力などのソフトスキルをリンクさせることが重要です。ビジネスにおけるコミュニケーションを円滑に行うことができるようになり、企業のセキュリティを改善するために必要なサポートを得やすくなります」。

メルツさんは、「ほとんどの仕事はチームで他の人と協力し合いながら行います。仕事に対する熱意など、その人たちのことを本当に理解し、信頼関係を築くことはキャリアを進める上で重要なことです」と指摘します。

また、自分たちが働いている会社や組織のことを理解することが重要と、グルンデンさんは言います。視野が狭すぎると周りが見えなくなり、自分はどのようなものに影響を与えていて何から影響を受けているのか分からなくなってしまうからだそうです。清川さんも同じ見方をしており、技術とビジネスを理解することなしにセキュリティの仕事はできないと強調しています。「ジェネラリストにも貢献できることは多くあります。セキュリティに関する経験は少ないかもしれませんが、様々な分野のビジネスを深く理解しています。それは、セキュリティのスペシャリストが欠けている点です。彼らはペネトレーションテストを一日中行うことができますが、何をテストしているかは知りません。適切なバランスが重要なのです」。同様に、マザールさんもキャリアを進めるためにジェネラリストであることが重要であると考えています。

また、メルツさんは「目標を持って勉強しており、将来やっていきたいことが決まっている人もいるかもしれません。しかし、若い人たちには、まず、そのやりたいことについてしっかりと理解してから、どのような仕事でキャリアを進めるのか決めることを勧めています」と付け加えます。

エルタウィさんは、情熱という言葉を大切にしているそうです。「情熱を持って楽しみながらやることができるものを見つけることができれば、これからのキャリアや仕事で起こるだろう問題や課題も乗り越え、成功を収めることができるでしょう」。しかし、「それだけでは十分ではありません。前に進み続けたいなら学び続ける必要があります」とも話しました。

ファレスさんも、「この業界では情熱が一番です。なので、情熱を持ちましょう。興味を持ったサイバーセキュリティに関するトピックについて調べ、追いかけるようにしましょう」と話しています。

「最新の技術や産業の動向について熱心に追いかけていくことは重要です」と清川さんも認識しています。マザールさんも同意し、「サイバーセキュリティ業界でキャリアを積みたいのであれば、スキルアップを怠ってはいけません。サイバーセキュリティは人生です。学びは一生続きます」と語っています。

最終的には、サイバーセキュリティ分野でキャリアを積むためには学び続けることが重要ということではないでしょうか。クラチさんは、情熱を持っていたものが天職になりました。「セキュリティの仕事を選んだ理由が簡単にできるということだけなら、それは本当の意味で自分に合った仕事とは言えないでしょう。すさまじい速度で変化する環境の中で必要な技術やスキルを身に着けていかなければならないからです」。また、ファレスさんは「今学んだことが明日には使い物にならないということがあります。常に勉強し続ければければならないのです」。

最後に、ウィゼラーさんは「もっと学びたい、悪者の先にいくためにどのようにすればいいのか、ということを日々考えながらやっているのです」とまとめました。