2016年2月17日
2016年2月17日
2016年2月17日(水)
セキュリティ人材(?)、発掘する人される人
(株)NTTデータ 品質保証部 情報セキュリティ推進室 NTTDATA-CERT
シニアエキスパート 宮本 久仁男
ども、宮本と申します。
今回ご縁があって、このコラムを寄稿させていただきました。
せっかくの場なので、この12年くらい続いている「セキュリティ・キャンプ」の話を考えつつ、「人材発掘」をテーマに少し書いてみることにします。
○セキュリティ・キャンプって何?~U-22を対象にした、4泊5日のセキュリティ漬け合宿~
ご存知の方もいらっしゃるかもしれませんが、セキュリティ・キャンプは2004年に産声をあげました。当初は経済産業省による開催で、事務局は財団法人日本情報処理開発協会(JIPDEC, 現:一般財団法人日本情報経済社会推進協会)が担当しており、現在は独立行政法人情報処理推進機構(IPA)とセキュリティ・キャンプ実施協議会の共催という形を取っています。
やっていることはものすごくおおざっぱに言ってしまうと、「参加者が朝起きてから夜寝るまで、ひたすらセキュリティに関するトピックに触れてもらう」ということです。この中にはいわゆる攻撃に直結するような内容も含まれるため、倫理的な部分については最初のうちにきっちり触れておくとともに、ことあるごとに注意を促しつつことを進めていきます。
参加者のレギュレーションは、おおまかには22歳以下で日本在住の学生であることですが、当初は20歳以下でした。
選考倍率については、2004年当時は参加者30名に対し、2.5倍くらいの方に応募いただきました。2012年と2014年に7倍を超える方からの応募があったことを考えると、初期は今に比べるとかなり広き門だったといえます。
4泊5日で実施するといっても、開講式や閉講式などのイベントや、休憩をところどころにはさんで内容を展開しているため、時間数でいうとおおよそ40時間程度というところでしょう。
○セキュリティ・キャンプは人材育成の場?~それ以前に発掘の場~
前述のとおり、4泊5日(2005年のみ5泊6日)の期間でできることは、驚くほど少ないです。講師が増えれば増えるほど、一人あたりの講師が参加者と向き合える時間は短く、その間にできることは(どんなにがんばっても)限られてきます。となると、自身の専門分野や持ちネタがどんなに楽しいことか?ということを参加者のみなさんに知っていただき、願わくば自身を超えるようなアクティビティを示してもらえるように「種」を撒く、ということが主眼になってきます。
参加者のみなさんには素質があるとはいえ、4泊5日で大成長を遂げるような人は本当に稀です(いないとはいいませんが)。となると、大成長を遂げるような人を発掘できるように(本当に出て来てもらえるように)しむける、というのが基本方針になりますし、私自身も事あるごとに「キャンプで目論むのはまず発掘」と各方面に申し上げています。
2004年の時点でほぼ何の実績もない取り組みに対し、あらゆる手段を用いて呼びかけた結果ではあるのですが、そんな取組に対し当時「参加したい!」と応募をしてくださった方々は、ある意味「発掘されてもいいぞ」と手を挙げてくださったと解釈できるでしょう。
○発掘するのは参加者だけではなく、講師もです(!)
2004年は参加者が30名程度という話はしましたが、それに対して講師は8名。
2015の講師が40名以上ということを考えると、2004年当時は非常に小所帯な取り組みだったといえますが、それでも参加者はやる気あふれる方々ばかりでした。そんな当時に講師を受けてくださった方々は、それぞれ渾身の力で講義や演習を展開し、参加者の方々もその内容によく食らいついてきてくれたと記憶してます。
そんな感じで講師は、2004年の夏からそれこそ渾身の力を込めて参加者を迎え撃つ(撃つな)というようなやりとりを展開し、開催の危機や内容の変遷を経て今に至ります。
参加者は先人の知見を基にした内容を消化し(消化不良もたびたび起こりますが)、成長していきますが、講師もこのような場で成長していきます。
具体的にどのように成長していくのか?ですが、ここは人それぞれです。
とある講師の方は「自分の持っている知識ベースを参加者も持っている」という前提で講義や演習を展開していましたが、最初に参画した時点で「これはまずい」と思ったのか、次の年から見違えるような講義/演習を実現してくれましたし、とある講師の方は「すごい参加者に何かを教えるならば、自分もすごい実績を」と考えて、バグハンティングの世界で実績を積み上げるに至りました。
何らかのきっかけを得て人は成長していきますが、セキュリティ・キャンプの講師を拝命したことがきっかけになって、さらなる成長を遂げ、実績を積み重ねる方は、それだけでも立派な手本といえます。
○発掘される人に共通する特徴とは?~あくまで主観~
本稿は「発掘」が一つのキーワードになっていますが、発掘される人にはいくつかの共通する特徴が見られます。
・自ら前に出る
・自らの興味を隠さない
・成果を何らかの形で外に出している/その素養がある
・手段にこだわる
・目的と手段が入れ替わる/寄り道を楽しむ
また、講師として「発掘されてくださる方」は、以下の特徴があるように感じています。
・お願いしたらやってくれそうな人(大前提)
・掘り出された(誘い出された/見出された)経験がある人
・楽しく物事に取り組んでいる人
・好奇心が強い人
・面倒見が良い人
・やってることの裏付けを取れる人
言語化が難しいところではありますが、社会人として云々という尺度ではなく、専門家として「楽しく物事に取り組んでいるか」「何かを成しているか?」というあたりが、講師として発掘されてくれた方々に共通しているように見えます。仕事で云々というのも悪くないのですが、仕事以上に「楽しく」という話は重要だと感じていますし、そもそも取り組んでいることを楽しんでいないと、自身の関心事に興味を持ってもらうことは難しいでしょう。
○これまでの参加者がより成長するためのきっかけ~講師側にもついてもらうということ
セキュリティ・キャンプでは、2005年からチューター制度の運用を開始しています。
チューター制度は、前年までの参加者を対象にして、講師側の手伝いをしていただく制度なのですが、この制度は参加者に対してちょっと先を見せるという意味でも、チューターとして手伝ってくれる方々に対し、講師側にも立ってもらうことでさらなる成長のきっかけとしてもらうという意味でも、うまく機能しているように見えます。
もっとも、制度だけ作ってもうまく動くわけがなく、この制度を良い形で運用していく方々の存在があってこそきちんと機能している、とも感じています。
最近だと、これまでの参加者のうち、実績を見えるようにしてくれてる方々に対し、各地で実施されるミニキャンプの講師をお願いしたりということもやっていますし、これまでの参加者の中から講師になる人も出て来ています。
○コミュニティが参加者を成長させる~成長の機会はあらゆるところに~
幸い、上記のような取組を続けてきたところ、参加者がコミュニティの中心として動くケースが各地に見られるようになってきています。そして、そのコミュニティの参加者から新たにセキュリティ・キャンプへの応募者が出てくるというサイクルも見られます。
自分から動くことを厭わない人は、こういうところで参加のきっかけを得ることもありますし、コミュニティに参加しているセキュリティ・キャンプの参加者は、そのコミュニティでまた新たな仲間や知見を得て、さらなる成長を遂げていきます。
○人材発掘に成功の方程式はあるのか?~ほぼ試行錯誤&根気の世界~
私の経験上、「こうすれば確実に何人発掘できる」というような方法論はないと考えていますし、もしそんな方法論が確立されていれば、世の中はすごい人で溢れかえっています。
どうすれば確実に成功するという方法論が確立されない一方で、この種の取組は「費用対効果が見えづらい」ことも手伝って、まだまだ試行錯誤が必要であり、かつ取組を続けるのも根気が必要です。
参加者の成長をコントロールするのはムリな一方で、イケてる人が頭角を現す確率を上げるための取組としてセキュリティ・キャンプのような取組は一定の役割を果たしている、と考えるのが妥当とも考えています。
上記のことは「セキュリティ・キャンプ」で経験したことをもとにして述べています。他の取組でも全く同じになるとは思いませんが、何らかの参考になれば幸いです。
○参考情報
・セキュリティ・キャンプ実施協議会
http://www.security-camp.org/
・セキュリティ・キャンプ(IPA)
https://warp.da.ndl.go.jp/info:ndljp/pid/8701679/www.ipa.go.jp/jinzai/camp/index.html
※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。
2016年2月17日(水)
会社で突然セキュリティ担当者になったら―会社のことを真に理解して進むことにしましょう―
株式会社セキュアシステムスタイル
代表取締役社長取締役 松尾 秀樹
会社の情報セキュリティ担当者が持つべきもの
私は、「社内のガバナンスやコンプライアンスを堅持するためのセキュリティ担当者を育成する」仕事を生業としています。セキュリティを社内に浸透させるための道具立てを私の方で用意し、様々なことを経験してもらいながら、最終的には企業に欠かせないセキュリティ担当者になっていただくためのお手伝いです。社内セキュリティ担当として存分に活躍していただくためには、2つの素養①会社の本業を愛していることと、②ガバナンスは「コンプライアンスを常識的に守るべきだ」と語れるマインドを持っていることが必要だと考えています。社内で適任者を探すときは、この二つを考えておくべきです。その上で短期的にキャッチアップするスキルが必要でしょう。
いま、情報セキュリティ人材はかなり売り手市場? でも会社の中では…
「24万人不足」「給料を3倍に」という言葉がでていて、セキュリティ技術教育は進められ処遇はあがると言う将来像が出来ているのでしょうか。きっとこのあと教育修了したセキュリティエンジニア(理系セキュリティ)が、たくさん世に出てくるのかもしれません。ところが、会社の中で必要な情報セキュリティ業務を推進できるのは、どちらかと言うと文系セキュリティができる人。それは会社のリスクを洗い出し、現場と法令にフィッティングさせながら施策を設定し、決裁をとり、根回しをしながら推進する。時にはルールを見直し、形骸化してないかチェック、有事には事態の収束に向けて全体をドライブする。大きなセキュリティ事故事例ではそれらがなされず、ガバナンスが業務にセットされていないか、形骸化によるものが多いと思います。
セキュリティ担当のキャリアパスと会社が景気の荒波を超えるとき
会社は景気の波を乗り越えながら、絶えず成長と生き残りをかけて活動します。景気の谷を乗り越えるとき、本業ではないコスト部門がシュリンクしていくことは普通にあります。「コストから投資へ」という言葉も出てきていますが、私はまだまだ本業の成長を考えるのが先行すると思います。情報セキュリティはコスト部門であり、会計上「稼ぐ」と言うことはありません。ゆえに生産調整を受ける余地があります。事業に根ざしたコントロールが必要な文系セキュリティは内制組織としてキープし、検査、事故調査など高スキルの技術が必要な部分はセキュリティベンダーに依頼するということが会社としてはリーズナブルだと思います。
会社のことを真に理解して進むことにしましょう
企業での情報セキュリティは、まだまだ歴史が浅くて職種としてキャリアパスが出来上がる途中です。公開Webサイトにしろ、社内のシステムにせよ、実践的なものを持ちえるのは必ず企業です。セキュリティ担当者がキャリアを積んでいく場は、必ず企業にあるものだと思います。所属する会社のことを真に理解して進んでいきましょう。
※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。