株式会社ユービーセキュアとパーソルテクノロジースタッフ株式会社は、2020年9月から連携し、実践的な情報セキュリティ技術を有するエンジニア育成に取り組んでいます（※1）。二社が行う育成研修受講者は、Webアプリケーション脆弱性検査ツール「Vex」（※2）認定資格を取得した後、Vexを使用する企業にてセキュリティエンジニアとして就業しています。

日本のセキュリティ人材不足が叫ばれる中、セキュリティエンジニア育成・輩出に取り組んでいる2社は、どんな未来を見据えているのでしょうか？

株式会社ユービーセキュアの代表取締役社長　観堂 剛太郎氏とパーソルテクノロジースタッフ株式会社　代表取締役社長 正木 慎二氏が対談し、近年のセキュリティ領域の傾向や人材育成への思い、セキュリティの未来について語りました。

※1　Vex認定セキュリティエンジニアの共同育成について：https://www.ubsecure.jp/topics/topics_2020/t_20200917

※2　Webアプリケーション脆弱性検査ツール「Vex」：ユービーセキュアが開発する、Webアプリケーション脆弱性検査ツール　https://www.ubsecure.jp/vex

パーソルテクノロジースタッフ株式会社　代表取締役社長　正木 慎二氏

1997年テンプスタッフ株式会社（現：パーソルテンプスタッフ株式会社）に営業として入社し、2016年に同社取締役執行役員に就任。同年、パーソルホールディングスの役員に就任し、派遣社員が働きやすい仕組みやサービスなど派遣サービスにおける業務革新を担当。2020年4月よりパーソルテクノロジースタッフ代表取締役社長およびパーソルグループのテクノロジーとアウトソーシン

グ領域を管掌するPRO SBU担当役員に就任。

株式会社ユービーセキュア　代表取締役社長　観堂剛太郎氏

アプリケーション開発ベンダで開発に従事し、2000年のNRIセキュア創業年度に合流。セキュアプロダクトの開発を経て、脆弱性診断やインシデント対応等のテクニカルコンサルテーションを担当。2017年7月より、ユービーセキュアの代表取締役に就任。

真心を持ち、手順だけでは見つけられないシステム特有の課題を検出する

観堂：2016年に経産省が「2020年には情報セキュリティ人材が19.3万人不足する」というデータを発表したのをきっかけに、IT業界全体でセキュリティ人材育成が注目されるようになりました。最初の頃は、「経営層とセキュリティをつなぐ橋渡し人材が足りない」とよく言われていましたが、最近は企業のDX(デジタルトランスフォーメーション)が進んでいるので、ビジネス・IT・開発・セキュリティなど幅広い知識を持つセキュリティチャンピオン（推進リーダー）の必要性を耳にするようになりました。その時々のトレンドにより注目されるトピックは変化していますが、当然ながら業務がガラッと変わっているわけではないので、今でも橋渡し人材のニーズはありますし、セキュリティチャンピオン人材も必要です。年々、必要とされるセキュリティエンジニアに求められる要件は増えています。

正木：当社でも10年以上前からセキュリティエンジニアの育成を行ってきましたが、ここ数年は脆弱性診断を内製化する企業の増加や、ソフトウェアの開発サイクルの短期化などによりエンジニア派遣領域においてもセキュリティエンジニアニーズは増加傾向にあります。観堂さんは現場で活躍できるセキュリティエンジニアというのはどういう人材だとお考えですか？

観堂：セキュリティと言うとハッカーのイメージが強いので、テクニカルこそがセキュリティエンジニアに求められる素養だと認識されている方が多いのですが、私はそれ以上に「真心」というか、気持ちの状態が非常に重要だと考えています。

例えば、当社は「Vex」というWebアプリケーション脆弱性検査ツールを開発・提供しています。しかし「Vex」を使用されているお客様が欲しいのは脆弱性診断ではありません。お客様が求めるゴールは、安全安心に安定稼働し、多くのユーザーを獲得し、事業やサービスを成長させていくことです。また、診断する対象はお客様や同僚が手塩にかけて作ったサービスやプログラムです。「どういう背景から生まれたのか」「どれくらい成長することを期待されているのか」といったことを理解していると、ただテスターとして杓子定規的に手順をなぞるだけの診断ではなく、これからこのサービスがどう使われていくかということをイメージして、手順には盛り込めないそのシステム特有の問題点や課題点も検出できます。セキュリティ診断には、テスターのような作業的な部分と、ハッカーのようなひらめきなどの創意工夫の両面がありますが、どちらも必要な要素ですから。

能動的に橋渡しができるセキュリティエンジニアの育成に重要なのは楽しさを学ぶこと

正木：そういった真心を持ったセキュリティエンジニアを育成するためには、どんな学びが重要なのですか？

観堂：当社の研修では、楽しさを学ぶということを大切にしています。

5年くらい前に日本でCSIRTブームが起きましたよね。セキュリティインシデントに備えて、各社CSIRT組織を構築しました。私も様々な会社のCSIRTの担当者とお話する機会があったのですが、『社内から激詰めされて疲弊しているCSIRT』と、『周囲から感謝されてやる気に満ち溢れているCSIRT』がありました。前者のような疲弊した組織は受動的で、決められたことだけをやり、突発的なインシデントが発生したら後追いで対応していきます。だから経営層から「月曜日の経営会議で報告するから、それまでに全部調べて報告してくれ」と急に言われたりするわけです。さらに対応が遅いと怒られたりもする。疲弊しきっているCSIRTを見て「こんな状態では日本のセキュリティなんて誰もやりたがらず、セキュリティ従事者は続かない。このままでは、日本を守る人がいなくなってしまう」と危機感を覚えました。

一方で、上手くいっている会社は、CSIRTのメンバーが「会社をもっとセキュアな状態にしていきたい」という思いを持ち、能動的に現在のセキュリティ状態を確認して、先んじて今後に備えてあらゆる対策を行い、経営層に「当社ではこんなことにも取り組んでいます」「〇〇については、実はこんな高いレベルで対応できています」と楽しみながら報告していたのです。経営層も日頃から情報共有を受け、自社の状態を把握しているので、何かあっても「今すぐ全部調べて報告しろ！」とは言いません。経営層と現場の橋渡しがうまくできているなと感じました。

当社でも「楽しさ」を学びながら、一人前のペンテスター※2になっていくような研修を行っています。

※2　ペンテスター：

ペネトレーションテスターの略。実際にハッキング技術を用いて侵入を試みながら脆弱性診断を行うテスター

正木：仕事が楽しいということは、パーソルが掲げているビジョン「はたらいて笑おう」とも通じると感じます。さらに「自分だからできる」というような価値発揮も楽しめる要素の一つになるのではないかと思っています。例えば当社のセキュリティエンジニアの場合、開発や運用の経験が1~2年以上あるエンジニアが御社のVex研修に参加していますが、エンジニアの持つバックグラウンドも個性として生かせるのでしょうか？

観堂：大いにあると思います。開発経験がある人にだけ見つけられるというものや、運用経験があるという人にだけ見つけられるということもあると思います。過去の経験に基づいて「あれ？おかしいな。もう少し触ってみよう」と気付けるのは面白いですよね。

正木：セキュリティエンジニアとしては実務未経験の状態からのスタートになるエンジニアがほとんどです。手順として学べない部分などは、研修の中で事例などを通して学ぶのでしょうか？

観堂：基本的な操作や診断方法について学んだあとは、実際の事例に近い脆弱性のあるWebサイトを診断していきます。現場でお客様と相対してきちんと診断できることが大切なので、お客様の業務や診断プロセスにおいて何を注意すべきなのかということを実際に近い形での診断や事例を通して習得できます。しかし知識をインストールしただけで熟練工になれるわけではないので、実際には現場に入って業務をこなしながら、反復的、継続的にやっていくことで身に付けることもたくさんあります。

Society5.0実現において、安心を支えるセキュリティエンジニア輩出への思い

正木：日本が目指すSocietry5.0実現に向けて、今後大きな変革期を迎えていくことになりそうです。パーソルではITのみならず、ものづくり領域でのサービス展開を行っており、今後はIoTやMaaS※3におけるサイバーセキュリティにも注力していきたいと考えています。

※3　MaaS：

Mobility as a Serviceの略。ICTを活用して交通をクラウド化し、自家用車以外の全ての交通手段による移動を1つのサービスとして捉え、シームレスにつなぐ次世代モビリティサービス

観堂：これまでのサイバーセキュリティでは情報漏洩しても、人が死ぬような事故に直接つながるようなことはありませんでしたが、これからのIoTやMaaSのセキュリティについては、セキュリティ事故がリアルに人間の命に関わるので、絶対的に安全でなければなりません。今後はより大きなインパクトが出る領域へと変わっていきますよね。

近年、セキュリティ業界の認知が高まり、ホワイトハッカーに憧れてセキュリティを志望する学生が増えてきました。志望する人が増えるのは嬉しい反面、本当はそれではいけないと思っています。例えば、日本で水道の蛇口をひねって出てくる水を飲む時、水の品質を守っている人の職業に憧れることってほとんどありませんよね。誰も「毒が入っているかもしれない」と疑うことなく、水道から出る水は安全なのが当たり前だと思っているからです。

ハッカーに憧れるのはサイバーセキュリティに危機感を持っているからなんです。本当はセキュリティを意識しなくても良いくらい安心できる状態にしていかなければならないと感じています。

正木：かつて「日本において水と安全はタダのようなもの」と言われていました。幸せなことだけれど、今後はそうではなくなるということですね。

観堂：はい。しかし、それがこれから目指すべき姿なのかもしれないですね。

正木：日本は他国と比較してセキュリティエンジニアが不足していると言われています。今後ますます重要性を増す日本のセキュリティに対し、パーソルテクノロジースタッフはセキュリティエンジニアが最も多く所属している派遣会社になりたいと考えています。御社のノウハウを提供していただいて育ったエンジニアが企業に配属されていますが、今後も御社と一緒に人材育成に取り組んでいくことで、水道水のように安全に、最新技術を活用しながら様々な社会課題を解決していきたいと考えています。

観堂：日々新たなシステムやサービスがリリースされていますが、あらゆるところにハッカーの魔の手があります。しかし、十分なセキュリティエンジニアがいないために、手順的な脆弱性診断だけを表面的に行い、とりあえずリリースした結果、大きな事故につながっているケースは少なくありません。私たちは、国産のツールを作り脆弱性診断をやってきた実績と経験に基づくノウハウがあります。御社の3000人を超えるエンジニアに我々のノウハウを提供することで、日本のセキュリティ維持に貢献できる人材を育成・輩出し、企業が憂慮せずとも安心な状態を実現できるように日本の安全性を拡張していきたいと思っています。

正木：安心安全な社会の実現に向けて、ぜひご一緒させてください。

▸ パーソルテクノロジースタッフ様リリースのリンクはこちら：

https://persol-tech-s.co.jp/corporate/news/report/20210119.html