セキュリティコンサルタントからインテグレーター、アーキテクトやアナリストまで複数の業務の経験を積んできた出水 和徳。セキュリティ技術者として、これまでに携わったバラエティ豊かな仕事内容をひもときます。
転職のきっかけは、セキュリティの最適解を求めたこと
新卒で入社した会社では、10年程組み込み機器(例:大規模向け・家庭用のルーターやNAS)の認証周りの機能や、SDNというソフトウェアでネットワークを管理するソリューションの開発に携わっていました。いわゆるネットワークエンジニアです。
開発者としてセキュリティに関わるうちに、「セキュリティって開発のどのタイミングから考慮するのがベストなんだろう?もっとトータルで学び、身に着けたい」という想いが強まり、転職を考えるようになりました。
転職活動では、NRIセキュアテクノロジーズのようなセキュリティ専門企業だけでなく、事業会社のセキュリティ担当者や、監査法人等も視野に入れました。面接で具体的な職務内容を聞いた際に、自分の開発経験も活かしながらセキュリティの世界に最も浸かれそうだったのが、NRIセキュアでした。
ジョブローテーションをする中で経験した、セキュリティのさまざまな現場
2016年にNRIセキュアに入社してから、セキュリティに関わるさまざまな業務を経験しました。転職当時、「NRIセキュアは、コンサルティング、セキュリティ診断、セキュリティ運用監視、ソリューション開発などセキュリティのトータルソリューションの会社で、ジョブローテーションも盛ん」であると、NRIセキュアのキャリア採用ページで紹介されていました。
上流から最下流まで全部できる会社なんだなというイメージが強かったので、自分がこれだけ幅広い業務を経験できたことは、少し驚きつつも期待していた通りでした。
NRIセキュアでの最初のキャリアは、マネージドセキュリティサービスという、お客様のシステム環境に導入されたセキュリティ機器の運用や監視を行うサービスの基盤システムの維持を担当する業務から始まりました。
ちょうど基盤システムをクラウドで更改するプロジェクトが始動したタイミングだったこともあり、先進的なことにチャレンジできる環境でした。スクラムを組んでアジャイル開発してみたりして、楽しかったですね。
次に、そのクラウド・アジャイルでの開発ノウハウをお客さま向けに展開するべく、DevSecOpsの導入や開発ガイドラインのコンサルティング、セキュリティ設計レビュー等の業務に携わったり、「Uni-ID Libra」というNRIセキュアのID管理製品を活用してお客様向けに認証プロキシをシステムインテグレーション(SI)する案件も担当しました。
2022年10月現在はNRIセキュアの中でもSIを専門とする部署に異動し、ID認証周りのナレッジやアプリケーション開発スキルを活かした業務に従事しています。今の業務を通じて、システム開発の現場では、どういうところに脆弱性が潜んでいるのかコードレベルで 目利きできる人や、実装よりも前工程の設計・要件定義・サービス構想の段階で、セキュリティリスクを考慮した検討・レビュー・合意形成をリードできる人材が求められていると実感します。
お客様と力を合わせて新しい価値を創造
直近では、お客様のビジネス課題を検討支援してきたコンサルタントからのパスを受けて、そのシステムや構想を実現させる、という案件に携わっています。
たとえば、SSI(Self-sovereign Identity)/DID(Decentralized Identity)というIDの新しい考え方をベースにした、IDプラットフォームの検証をお客様と力を合わせて進めています。
従来のID管理はIDプロバイダやサービス事業者が利用者のIDや個人情報を預かって集中管理していますが、サイバー攻撃や内部犯行により個人情報流出などさまざまなセキュリティ課題を抱えています。
一方で、SSI/DIDは利用者主体でIDを所有し、サービス利用に必要最小限の個人情報を提出・検証できるようにする、といったことを実現する考え方です。やっていること自体はシステム開発ですが、新規性のあるテーマで先行事例を作る過程を経験できている点がとてもやりがいがあり、おもしろいです。
NRIセキュアの組織体制は、世の中のセキュリティニーズに合わせて部門編成や人員配置が素早く見直されていると感じます。前職と比較しても高い頻度でジョブローテーションを経験しましたが、その時々の顧客ニーズにマッチする最先端の知識・技術に常に触れることができ、充実したキャリアを積めていると感じます。
これからのシステム開発現場で求められること
セキュリティの研修や参考書は、2~3年くらい前のセキュリティのノウハウが体系化されているものだと私個人は捉えていてて、直近の案件にとっての最適解として提示してよいものか確信が持てない場合もありました。
NRIセキュアでセキュリティエンジニアとして働くと、標準的なセキュリティの考え方をお客様の求めるレベル感で落とし込む過程で、最新のセキュリティを実践で学べていると実感する場合が多いですね。
これからセキュリティ業界にチャレンジする皆さんは2025年の崖(既存のITシステムが老朽化して、そのシステムを維持・更改するエンジニアも不足する等の社会的課題)に直面し、今までなかったような苦労もあると想像します。人材は急には増えない中、案件は増える一方です。
より少人数でこれまで通り、もしくはそれ以上の業績を求められることも考えられます。一人あたりの業務量が増える中、どう工夫すれば生産性が上がるかが課題になりそうです。
そういった状況下で、システム開発の現場では、シフトレフト・アジャイル・DevSecOpsの考え方を使って、より前工程でセキュリティ上の不備やリスクを潰し、後工程での手戻りを防ぐことが強く求められるようになると思うんです。
実際に私も、ソースコードから検出される不備には前工程の設計に問題があり、さらに設計不備の原因は前工程の要件定義が曖昧であり、そして要件が曖昧な原因はサービスの立て付けや組織のポリシー・運用体制・ガバナンスに考慮漏れがあった案件を体験したことがあります。上流からセキュリティ評価を前倒しで実施する、その評価軸には適切なガイドラインを用いる等の考え方があれば、従来よりも開発効率が高まる余地はあると思います。
セキュリティは複合的な技術の集合体です。実際のリスクや脆弱性は、単一の定型手法では解消できず、複雑なセキュリティ課題を専門知識と創造性で解決する力が求められるのでクリエイティビティが求められます。一般的にイメージするエンジニア像とは少し違うんじゃないかなと思います。そんなセキュリティエンジニアになりたい方がいれば、ぜひNRIセキュアに興味を持っていただきたいですね。
\NRIセキュアのキャリア採用についてご紹介/
