セキュリティ専門企業の社内セキュリティ監視・運用人材確保戦略~採用された人編~
「監視・運用のためのセキュリティ人材を最初から採用すること」をやめたトレンドマイクロの人材確保戦略。今回はその後編として、「採用された」側のインタビュー記事をお送りします。
「セキュリティ人材確保」のヒント
現在多くの組織において「セキュリティ人材」の必要性が叫ばれるようになっています。多くの企業がセキュリティ人材の確保に苦労している中、敢えて「セキュリティ人材を最初から採用すること」をやめたトレンドマイクロの人材確保戦略について前回はお伝えしました。
前回の記事:セキュリティ専門企業の社内セキュリティ監視・運用人材確保戦略~採用者編~
今回は、この人材確保戦略の下で採用されたエンジニア2名にインタビューし、なぜセキュリティ業界やトレンドマイクロを選んだのか?入社後の人材育成の内容はどうかなど、被採用者目線でインタビュー内容をお送りします。
なぜセキュリティ業界に就職を?
インタビュアー:本日はありがとうございます。まずはお二人の経歴を教えていだけますか?
矢野:トレンドマイクロは、私のキャリアでは3社目です。1社目は、商社のグループIT企業で「ネットワークエンジニア」として業務に従事しました。その際、国内の金融機関、小売業のネットワーク構築を担当しました。さらに、商社のグローバルネットワークの運用や海外拠点の機器の保守・入れ替えなども担当し、テクニカルな部分に加えて、予算取りや上司への交渉など非技術面もかなりタフでした(笑)。
2社目は、20代後半に転職したベンチャー企業です。「未来の大企業のネットワークを構築できる」と思ったのが理由でしたね。2年ほど勤務しましたが、会社の計画変更などもあり、次のやりがいのある職場を考えるようになりました。
原:私は、新卒で社会インフラを担う企業のIT子会社に入社したのが社会人キャリアの始まりです。しばらくネットワーク管理を担当し、その後、データセンター事業を担うグループ会社へ出向し、そこでプリセールスや運用設計に6年ほど従事しました。出向から戻った後は、システム構築プロジェクトのプロジェクトマネージャーやプロジェクトリーダーとして従事しました。
その後、親会社が導入しているセキュリティ製品を運用・管理する部署に所属していました。今までのキャリアの中でITインフラに関する業務は一通り経験したと感じたため、転職を検討しました。
インタビュアー:なるほど、お二人ともネットワークなどのITインフラの設計・運用など経験されていたんですね。その後多様なキャリア上の選択肢があったかと思いますが、なぜセキュリティ業界に転職をしようと思ったのですか?
原:私にとって、「セキュリティ」は未開の地でした。今までITインフラを担当していた時は、技術面やマネジメント面など幅広く経験はしましたが、「これが得意」とはっきりと自分で言えるものがないと感じていました。この先のキャリアを考えたとき、自分の中で未開の地でもあり、これから伸びていく分野であるセキュリティをやってみたいと考えました。それと、前の職場で最後に担当していた業務がセキュリティ製品の運用・管理だったというのも影響としてあるかもしれません。
矢野:転職先としてはこれまでのキャリアで経験した「ネットワーク」を軸にして、別の分野に行こうと考えていました。具体的には、「クラウド」や「セキュリティ」の分野を考えており、トレンドマイクロ以外の会社も選択肢にありました。ただ、もし企業の「セキュリティ部門」に就職できた場合でも、最終的にネットワークプロジェクトに従事することとなり結局自分がやりたいことができない可能性があると考えていました。SOCを担う企業も考えましたが、ログを報告する監視業務のみで完結してしまうということもあると聞き、セキュリティ全体の意思決定に関わるような業務をしたいと考えていました。募集要項の「セキュリティ会社のセキュリティを守る」というフレーズにも惹かれた面が大きかったです。
なぜトレンドマイクロを選んだ?
インタビュアー:そうした状況の中で、なぜトレンドマイクロを選んだのでしょう?
原:前提として、「(自分にとって)未開の分野を見てみたい」と常に思っていることと、「やるならばその領域の専門分野を極めたい」とは考えています。いろいろな企業・組織の「セキュリティ部門」があると思いますが、「サイバーセキュリティ企業のサイバーディフェンス」がどのようなものかに興味がありました。あとは課長である、林さんと話してみて、話すことに理屈が通っていて、かつ自分の意見が出しやすいという印象も受けました。これはある意味”直感”に近いとも言えるかもしれませんが(笑)
矢野:トレンドマイクロは会社の雰囲気が和やかであると感じました。トレンドマイクロの求人票を読んだ際は、ネットワークの知識も活かせて、CSIRTのような自分が望んでいた仕事ができることに魅力を感じました。
求人票と実際はマッチしていた?
インタビュアー:求人票を見て具体的には、どの部分が自分にマッチしていたと思いましたか?
矢野:ファイアウォール/UTM/IPS等を使用したネットワークセキュリティの導入・運用経験、SIer、NIerにおける顧客ネットワーク(データセンター、通信キャリア向けネットワーク等含む)構築経験などは、まさしく自分のこれまでのキャリアで当てはまる部分でした。
原:私は、全般的に「ネットワークの幅広い経験」をしているエンジニアを募集していると読めたので、私のキャリアの経験をそのまま貢献できると思いました。また余談ですが、「英語」は現在あまり得意ではないのですが、それほど高い募集条件ではなかった点もありますね(笑)
矢野:直近では、社内の外部向けトレーニング(ランサムウェア攻撃の防御研修)や3日間の研修でEC-Council CSAを受けました。後者については、現在当社ではクラウドサービスを使う際には、当部門で審査・許可をするのですが、その際の注意すべき観点を知ることができたのは、審査の的確さや効率を考えると大きいです。
参考記事:クラウドサービスのリスク審査はなぜ疲弊するのか?~実態と業務のヒント~
また当社製品を仮想顧客として使う際は、インシデント時のSOCの対応フローやサイバー攻撃の類型など、研修で学んだフレームワークを活かし業務を行っています。全体的に、セキュリティの「本当の考え方」が見についたと感じています。
原:直近では、社内の外部向けトレーニングや、5日間のSANS Instituteの研修を受けました。この研修で学んだことを、今まさに自身の企画に活かしています。また、フレームワークを学ぶことで、「こういう時はこういう考え」をという、「迷った時の判断基準」が見についたと感じています。
インタビュアー:お二人とも共通しているのは、業務に直接活かせる知識が身につき、それが業務に活かされることで自分の成長を感じたという部分ですね。今後ますます当社での活躍を期待しています。今日はありがとうございました。
まとめ
「●●の2024年問題」や「2025年の崖」といった言葉に象徴されるように、セキュリティ業界に限らず、すでにどの業界でも「人材不足」や「労働力の低下」の懸念が叫ばれています。
参考記事:
・2024年の労働基準法改正とサイバーセキュリティの関連性
・ついにWindows10サポート終了 Windows11移行時に検討しておきたいセキュリティ対策とは?
こうした問題に対処しながら、ビジネスを継続・発展させるにはAIなどのデジタル技術による「業務効率化」を推進することは避けられません。こうしたデジタル技術に対する「セキュリティの知識を持った人材」を育てていくことは、セキュリティ業界のみならず、日本の産業界全体の事業継続性のために必要な要素です。
前回の記事でも述べましたが、「セキュリティの素養を最初から備えた人材」は、現在の日本市場にはそれほど多くいないというのが現状のようです。ならば、門戸を広げ、今いるベースとなる知識を備えた人材に後から、今必要な知識や経験を積んでもらえば良い。
前回と今回の記事が、すべての組織の人材確保戦略に寄与できること、合わせてITインフラを担いながら、次のキャリアアップや経験を積みたいと考えている全ての方にとってヒントになれば幸いです。
<関連記事>
・セキュリティ専門企業の社内セキュリティ監視・運用人材確保戦略~採用者編~
・実践から語る人材育成・教育のポイント ~異なる職種からセキュリティ人材を育てる挑戦~
・日本固有の脅威に対応せよ トレンドマイクロ、日本サイバーディフェンスチームの2年にわたる取り組み