本サイトは、快適にご利用いただくためにクッキー(Cookie)を使用しております。
Cookieの使用に同意いただける場合は「同意する」ボタンを押してください。
なお本サイトのCookie使用については、「個人情報保護方針」をご覧ください。
サイバー脅威は今やグローバルな課題ですが、対策を進めるに当たっては、日本の「常識」が海外の「非常識」になることもあります。このギャップを埋めるには、どんなアプローチが必要でしょうか。グローバルなバックグラウンドを持ってセキュリティ業務に携わる、NRIセキュアテクノロジーズ株式会社の山本直実と三井物産セキュアディレクション株式会社のアマリエイ・コルネリアが、日々の業務の中で感じる課題とそれを乗り越えていくコツを語りました。
NRIセキュアテクノロジーズ株式会社 マネジメントコンサルティング事業本部グローバルセキュリティコンサルティング部 シニアセキュリティコンサルタント 山本直実
三井物産セキュアディレクション株式会社 アドバンスドサービス事業本部IoTビッグデータ事業部 シニアデータサイエンティスト アマリエイ・コルネリア
セキュリティ業界はまったくの想定外、 縁あって今の業務に
Q:お二人はどのような経緯でセキュリティの仕事に就くことになったのでしょうか?
山本:私は言語学や認知科学に興味を持ってアメリカの大学に進学し、その観点でコンピュータサイエンスを専攻していました。卒業後は漠然とシステムエンジニアか、あるいは金融系の仕事に就きたいと考えていましたが、セキュリティのことはまったく考えていませんでした。
しかし海外留学生向けの就職活動イベントである「ボストンキャリアフォーラム」で野村総合研究所(NRI)の話を聞いたときに、初めてNRIセキュアテクノロジーズという会社とセキュリティ業界のことを知りました。ブースで話を聞いてみて、セキュリティ業界には伸びしろがあり、自分にとっても成長の機会にもなりそうだと感じて興味を持ちました。説明してくれた方がとても気さくでコミュニケーションを取りやすかったのもポイントの一つでした。
アマリエイ:私は14歳からプログラミングを始めました。当時は人間よりもコンピュータの方が理解しやすいと思っていたんです。どんどん興味を持ち、修士課程までずっとコンピュータやネットワークを専攻しました。その後、慶応大学の研究所でインターンシップを受けることになって来日し、それがきっかけで博士課程まで進みました。博士課程での研究テーマはコンピュータではなくバイオインフォマティクスでした。細胞に含まれるタンパク質などの物質の関係性を明らかにしていくため、ハイスループットのデータセットを活用した機械学習の研究などに取り組みました。
私はルーマニアの出身ですが、卒業後も、安全で秩序の保たれた日本に残って働きたいと考えて日本語を学習し、いろいろな会社を受けました。言葉や文化の違いもあって苦戦していたのですが、縁あって三井物産セキュアディレクションの社員を紹介されてお話しすることになりました。私の話をしっかり聞いてくれ、そのまま受け入れてくれるという雰囲気がとてもよかったんです。
私も山本さんと同じように、セキュリティを仕事にしようと考えたことは一度もありませんでしたが、ネットワークやビッグデータ分析といったこれまで身につけたスキルをそのまま生かせる機会が多いと考え、就職することにしました。
グローバルな背景を持つ二人が見る 日本と海外のギャップとは?
Q:お二人とも、縁あって今の職場に巡り会ったという感じですね。今はどのような業務に携わっているのでしょうか。
山本:私は、主に海外に多くの子会社・グループ会社を展開している製造業や商社のお客様を対象に、本社で策定したセキュリティルールの展開を支援したり、インタビューを通して各グループ会社の対策状況を第三者としてアセスメントする業務をしたりしています。いわゆる、グローバルガバナンスの構築支援です。
Q:世界各国を見ていく中で、日本のセキュリティ意識というのはどのレベルにあるのでしょう?
山本:日本だからどうというよりも、業界によって違いがあると感じています。金融など行政当局から強力な指導がある業界ではしっかり対策が進んでいます。一方、事業を大きくすることが第一という業界では、セキュリティをコストと見なす意識も根強く、ようやくスタートした段階の企業もあると思います。
海外各国を見てもまちまちですね。やはり、アメリカやヨーロッパ圏のように厳しい法令が整備されている国では比較的対策が進んでいますが、一方でその他の地域では、まだそこまでセキュリティ意識が高くない国々もあります。
アマリエイ:私から見ると、日本のセキュリティ意識は高めだと感じます。政府による規制もありますが、それ以上に企業それぞれがしっかりセキュリティを考え、取り組んでいるように思います。ただ、10年前ならば、日本では英語が使われていないから比較的安全だと見なされていましたが、最近は、英語圏の国々とのギャップはどんどんなくなってきているように思います。
山本:アマリエイさんはどんなお仕事をしているのですか?
アマリエイ:IoT・ビッグデータ事業部に所属し、セキュリティログを元に攻撃を検知する作業を、機械学習やディープラニングを活用して自動化していく研究に取り組んでいます。今、セキュリティアナリストは本当に人材が不足していますよね。そのアナリストの仕事を完全に置き換えることはできなくても、100件あるアラートのうち99件を自動的に処理できれば、アナリストの数が少なくてもうまく分析できるかもしれません。それが目的です。
Q:面白そうなお仕事ですね。
アマリエイ:ただ、現実に適用するにはいろいろと課題もあります。アナリストチームと別のチームとの連携をどのように実現するか、顧客情報も含むアクセスログをどのように取り扱うべきか、そもそもどのようなデータソースが分析に利用でき、それは十分なのか、攻撃例が含まれているのか……というように、非常に多くの課題があります。
また、サイバー攻撃は他の分野とは異なり、どんどん変化します。このため、作ったモデルが今うまくいっても、二週間後、あるいは二ヶ月後にはもう無効なものになってしまうかもしれません。そこを常にキャッチアップするのはとても難しいですね。
Q:対象が細胞か、サイバー攻撃かの違いだけで、学生の頃から専攻していた機械学習を生かしている点は変わりませんね。
アマリエイ:はい、過去の知識は役立っています。ただ、大学院の研究では教師なし学習の研究に集中していたのですが、今は、誤検知率を抑えるため、教師あり学習と組み合わせる良い方法がないかを試行錯誤しています。その試行錯誤をマネジメントに説明するのが、また難しいんですね(笑)
Q:難しいとは、具体的にはどういうことでしょうか?
アマリエイ:一般的なソフトウェア開発では、仕様書が作成され、その順にステップを踏んで作っていくウォーターフォールというアプローチが取られますが、この手法は、試行錯誤が必要なデータサイエンスにはまったく使えないんです。経営層にはその点がなかなか受け入れにくかったようですが、最近ではかなり理解が進んできています。
山本:私は、グローバルのセキュリティ対策をどう推進するかのお手伝いをしているのですが、その中で、アマリエイさんがおっしゃった経営層とのギャップを感じることもありますね。
日本の経営層には、「ここまで対策すれば終わりなんじゃないか」「これだけ投資したのだから大丈夫だろう」といった意識の方がまだまだたくさんいらっしゃいます。セキュリティはコストではなく投資だ、と言われるようになりましたが、その中でどこまで投資すれば終わりなのかについて、経営と現場とでは意識に差があり、なかなか対策を推進できないこともありますね。
ギャップという意味では、日本と海外の文化のギャップもあります。日本の場合、まずしっかりとルールを作ってその通りにやっていこうという進め方が主流ですが、海外の場合、「ルールを作って守ることより、まずは技術的なソリューションで解決しよう。そのための資金提供がほしい」という要望が出てきます。どちらにも良さはあると思いますが、時にはトップダウンで進めようとしてグループ会社側が反発することもあります。いかに意識をすりあわせながら進めていくかが重要ですね。
アマリエイ:私にも似たような経験があります。私は、海外のベンダーとお客様の間に入る立場なのですが、ベンダー側はベストエフォートでも、お客様はクオリティアシュアランスを求めることも多く、どうやってこのギャップを埋めていくかに悩むこともあります。
日本のお客様が当たり前と思っていることも、アメリカの会社から見ると全く違います。そのまま進めてしまうと大きなギャップになってしまいますが、背景にある文化も含めて説明することで、お互いの考え方を理解し、協力できる関係になると思います。
山本:ジョブディスクリプションの有無など、日本と海外とで働き方が異なる側面もあるかもしれません。現場同士の話だけでは乗り越えられないところは、拠点長に話を通して考えていただくといった具合に、いろいろと工夫しています。時間がかかることもありますが、なぜこうした対策をしなければならないのか、もしやらなければどんなインシデントが起こる可能性があるのかといった事柄をきちんと説明し、「やりましょう」と言っていただけたときには達成感がありますね。
アマリエイ:ギャップをうまく埋めるお手伝いができると、「わかっていただけたな」と、本当に明るい気持ちになりますよね。私は、人間よりもコンピュータの方がわかりやすいからプログラミングを始めたのですが、今の仕事を始めてからは、コーディングよりも人間との関係を作っていく方が楽しく、達成感が得られることに気づいてきました。そもそも仕事というものは、人間のためにあるんですよね。
山本:私が今携わっているコンサルティングの仕事では、技術や知識があるに越したことはありませんが、お客様、そしてお客様の関係者の要望をくみ取って、それぞれ何を思っているのかを考え、その人たちが気持ちよく働けるようにするにはどうしたらいいのかを考え、人と人とをつなげるというマインドが重要なのかなと思っています。
スキルを磨き、ライフステージに合わせながら 仕事への最適な向き合い方を模索
Q:一方で、知識やスキルを磨くことも必要ですよね。
山本:コンサルティング業務ではコミュニケーション能力はさることながら、技術も身に着けアップデートしていく必要があると感じます。CISA (公認情報システム監査人)という資格試験は合格しており、技術方面ではAWS関連の知識を深めています。
Q:AWSを対象にしているのは、お客様側でクラウド環境が増えてきているからでしょうか。
山本:それもありますが、社内留学制度を活用して、SOCサービスを提供しているマネージドセキュリティサービス本部で一年間働いたことがありました。その際に先輩から「クラウド関連を学んでみると良いのではないか」とアドバイスをもらったことも理由の一つです。
アマリエイ:私もデータサイエンティストとして、常に変化する分野にキャッチアップするよう努力しています。TensorFlowなどの新しい言語やAWS、Azureといったクラウドの使い方、それにLLMやRAGの活用など、年々新しいトレンドが生まれるので追いつくのは大変ですが、楽しみながら学んでいます。お客様が「この技術を試してみたい」と言ったときに、本当に使えるものなのかどうか判断し、お客様の疑問に答えるための勉強なので、苦痛と感じたことはありません。仕事の中で新しいことを勉強できるのが、自分のスキルアップにもなって一石二鳥という感じです。
Q:楽しみながら仕事ができるのは大事ですよね。
アマリエイ:その意味で、コロナ禍の時は成果としてプレゼン資料を出すだけで、上司やお客様の喜んでいる顔が見えなくなってしまい、さみしかったですね。誰のために仕事をしているのかがちょっとわからなくなって……。
山本:そこはとても共感しますね。ただお金を稼ぐためだけでなく、きちんとお客様の価値になっているかというところが大切だと思います。お客様の言葉や喜んでいる顔を見られることが、お客様の対面にいるこうした仕事の醍醐味だと思います。
Q:個人としての働き方という意味ではどんな働きがいがありますか?
アマリエイ:私には今三歳と四歳の子供がおり、夫も障害者ということもあり、自宅からリモートで働くことができて助かりました。出社が必要だったら、おそらくこの仕事はできていなかったと思います。子供がもう少し大きくなって手がかからなくなったら、ハイブリッドで、まだ対面で会ったことのない同僚の顔も見てみたいと思います。
データサイエンティストという仕事は、今はともかく、もう少し先になると自動化されていくかもしれないと思っており、自分としてはもっとコンサルタント性を高めていけないかと考えています。お客様が言っていることとやりたいこと、できることとできると思っていることの間にはギャップがあるんですよね。現場でも、データサイエンティストとセキュリティアナリスト、マネジメント層とでは目的や興味、価値観が全く違います。そこを埋めて、皆にとってうれしい方法を見つけられる人材になれたらと思っています。それが見つけられると、やっぱり、皆の顔がぱっと明るくなるんですよね。
山本:私はお客様にコンサルティングサービスを提供する中で、具体的にどうしたらいいかを尋ねられたときにぱっといろんな案を出せるよう、技術面での助言もできたらさらにやりがいを感じられると思っています。また、チーム内でのポジションが徐々に変わって、メンバーからリーダーになり、自分の裁量が大きくなる中でどこまでできるか、チームビルディングも含めてチャレンジしていくというところにも魅力を感じています。
Q:ワークライフバランスという意味ではどうでしょう?
山本:裁量労働制なので自身の生活にあわせて休憩・休暇を取りやすいです。また、男女共に育児休暇を取得する社員も増えたため、家庭とのバランスについて上長の理解も進んでいると感じます。今後もワークライフバランスをとりながら自身が楽しく働くとともに、チームメンバーに対しても配慮しながら進めていきたいと思っています。
アマリエイ:私は30代で就職してからずっと仕事が楽しく、全力を注いでやってきましたが、子供が生まれてからプライオリティは変わりました。限られた時間の中で、いかに効率的に仕事をするかがポイントになりました。若い頃はあれもこれも全部やりたいという気持ちがありましたが、今は、私にしかできない仕事は何か、私が本当にやりたいことは何かを考え、そこに集中したいと思っています。もちろん、会社のサポートあってのことですが、あまり深刻に考えすぎず、楽しそうなことをやっていきましょう、というのが今のプランです。