大島は2023年3月現在、ニューリジェンセキュリティが自社で開発するクラウドセキュリティ運用支援サービスの開発メンバとして、クラウドセキュリティ分野の調査や、それを活かした情報発信活動、社内のクラウドシステム全般の管理を担当しています。
大島:「ニューリジェンセキュリティは、株式会社野村総合研究所と株式会社ラックの合弁会社として2022年3月に設立されました。クラウドセキュリティの運用支援や『Cloudscort(クラウドスコート)』というサービスの開発を行っている会社です。
ニューリジェンセキュリティでは、裁量を持って臨機応変に働けるのが魅力的です。ニューリジェンセキュリティに所属する社員は現在15名ほど。少数精鋭で、新しいことを単独で担当することも多く、アジャイルに人員や役割も変えながら動いていくスタイルです。
ニューリジェンセキュリティには、脆弱性診断やSOC(セキュリティオペレーションセンター)の第一線で長年活躍してきたセキュリティ人材が集まっていて、セキュリティのプロフェッショナルが集まる環境で、日々新たな発見があるなと感じています。
私自身、出向したことで環境が変わり、他社の業務の進め方についてもさまざまな話が聞けるので、知見も広がっていると実感していますね。クラウドについては、社内からよく相談を持ちかけられます。やりとりの中で多くの学びを重ね、知識を高めていくことができるので、大きなやりがいを感じます」
▶沖縄で開催されたHardening競技へ参加したときの一枚
大島:大学・大学院で研究したのは、機械学習・AI分野。そこでシステムに関わる事業への興味が湧き、2015年に新卒でSIerに入社しました。セキュリティのインシデント対応やサービス企画開発、サイバーレンジの開発運用や教育コンテンツの開発などに携わっていました」
入社とともに未経験の分野に飛び込んだ大島は、自己研鑽に没頭するきっかけとなったイベントに出会います。
大島:「入社半年後、社内で開催された、CTF(Capture The Flag)というホワイトハッカーのコンテストに参加することになりました。学生時代からセキュリティをメインに学んできたわけではないので、当時の上司からは、『すごい人のスキルを見に行ってこい』と言われていました。見学だけでも良いと思われていたのかもしれません。
参加が決まってからは、私も『少しは爪痕を残したい』という気持ちになり、一生懸命勉強してから本番に臨みました。結果は、なんと優勝。私自身、青天の霹靂でしたが周囲も非常に驚いたようで、社内報などに取り上げてもらいました。
この結果で、周囲の反応が変わったように思いますし、さらなる学びのきっかけとなりました。周囲の方々に自分の話を積極的に聞いてもらえるようになったのは純粋にうれしかった一方で、たった半年程度のセキュリティ経験ではそこまで語れることもありませんから、自分でも学びを深めねばと、体系的な勉強をスタートしました。
社内のみならず、社外CTFやハッカソンにも数多く出場し、ありがたいことに多くの良い結果を残せたことも、自己研鑽へのモチベーション維持につながりましたね」
大島:「NRIセキュアに転職後は、『SOC(Security Operations Center)アナリスト』として、お客様のシステムを24時間365日監視し、セキュリティインシデントを早期発見・分析する役割を担っていました。また、SOC基盤の開発運用、セキュリティ監査、アナリスト教育、情報発信まで幅広く経験して知見を広げることがかないました」
現在も資格取得のための努力を惜しまない大島ですが、そこには「周囲の認知」と「環境」も大きく関係していると言います。
大島:「資格そのものは業務にあたる上で必須ではありません。しかし、それらを取得していると業務を進めやすくなるのも事実です。また、多くの資格ホルダーであるという『キャラクター作り』ができるという利点もあります。単純に周囲に認知もされやすくなるので、それが仕事につながることも少なくありません。
また、どんなに知的好奇心があっても『勉強よりも日々の担当業務に集中して』と一刀両断されるような環境では、スムーズな資格取得は難しいですしね。
その点、NRIセキュアは、学ぶことを大いに推奨していますし、セキュリティの腕を競い合うCTFの活動も盛んです。学び、成長するための環境が整っていることは自分のようなタイプには大変ありがたいですし、ここで働けて良かったと感じる大きなポイントです」
大島が、業務として現在取り組んでいるクラウドセキュリティには奥深さがあると言います。
大島 :「企業での利活用が進むクラウドですが、クラウドのセキュリティ対策を完璧に実施できている企業はそう多くありません。その背景には、一見簡単そうに見える設定項目が複雑に絡み合うことで、結果的にセキュリティホールができてしまったり、クラウドベンダーとそれを利用する企業それぞれが考慮すべきセキュリティ設定における、責任分界点があいまいであったり……。さらには、クラウドベンダーからの提供情報がユーザにとって複雑ということも挙げられます。
私自身は、そこに奥深さを感じてクラウドセキュリティにはまったひとりです。 AWS(Amazon Web Services)の全資格をはじめ、その他のクラウド関連の資格取得にもチャレンジしたのも、複雑化するクラウドのセキュリティ運用への課題に事業としての可能性を感じたがゆえでした。
自分の興味関心の深さや取り組みが周囲の目にとまったのか、結果的に、ニューリジェンセキュリティでのクラウドセキュリティアーキテクトとしてのキャリアにつながりました」
そんな大島は、業務や自己研鑽を通じて得た知見を情報発信する活動にも注力しています。
大島 :「コミュニティやカンファレンスへの登壇、それからブログの執筆を通じて、日頃の業務や研究で得た知見を発信しています。抽象的な解説にとどまらず、具体的な設定方法やユースケースの紹介を交えた情報発信を行うことで、セキュリティの重要性が伝わればと思います。
今後は、現在取り組んでいる基盤の運用やセキュリティの研究をどんどん深堀し、さらにサービス開発に活かしたいですし、お客様に直接説明したり、世の中のクラウドユーザのためになるような情報を発信したり、より積極的に活動できればと考えています」
最後に、どのような人がクラウドセキュリティアーキテクトに向いていると考えるかを大島に尋ねました。
大島 :「スピードを重視して取り組むようなやり方が合っているチームもあるかもしれませんが、私としては、しっかり検証しながらセキュアな基盤を設計し、ヒューマンエラーをなくすための自動化の仕組みも考えていく──そういったことができる人こそ、クラウドセキュリティ分野に向いているのではないかな、と考えています。
同時に、新しい技術に臆することなく、どんどん自分で手を動かしてやっていける方、それが苦もなくできる精神をお持ちの方は、クラウドセキュリティの業務を存分に楽しめると思います。
NRIセキュアやニューリジェンセキュリティには、すばらしいスキルを持っているメンバや、良い意味でマニアックなメンバも多く在籍しており、スペシャリストとしての誇りを持って働いています。互いに刺激を受けながら切磋琢磨できる環境で、これからも成長していきたいですね」
環境を最大限に活かしつつ、静かな情熱を燃やしながらクラウドセキュリティアーキテクトとして邁進する姿に、今後も注目です。