「セキュリティに詳しい」と自称するだけでは、果たしてどの程度深く、網羅的な知識を持っているかは窺い知れません。それを客観的に証明するのが、CISSPやGIACをはじめとするセキュリティ関連の資格であり、資格取得を支援するトレーニングです。そして、ひとたび得た知識も、IT環境の変化に伴って陳腐化していきます。クラウドやコンテナ、AIといった最新のトレンドも踏まえながら学び続けていくことも重要で、そうした分野に特化したトレーニングも注目を集め始めています。
NRIセキュアには、技術者としての純粋な好奇心も相まって、積極的にトレーニング受講や資格取得に励むメンバーがいます。そんなお二人に、学び続ける意義と学習のコツなどをうかがいました。
関連記事:
取得資格50種類超えの猛者が語る、自己研鑽でつかんだクラウドセキュリティのキャリア
河合:脆弱性診断やペネトレーションテストを自らの手で行い、セキュリティ上の穴を見つけてお伝えすることで、お客様のセキュリティに直接貢献できるところです。またその過程で、技術的な面白さも感じられます。
境:同感です。また、セキュリティはあらゆる業界で求められることなので、業務を通して幅広い業界のお客様に関わり、それぞれのビジネスをセキュリティでしっかり下支えしていけることにやりがいを感じています。
最近は、クラウドサービスのように便利なデジタル技術が広がっています。セキュリティはそれらを安全に使うためにあるのだと説明することで、お客様もより便利な働き方を安全にできるようになっていると感じます。
変化の激しい業界なので、新たな技術トレンドや脅威動向へのキャッチアップは大変ではありますが、それが楽しさでもあります。今はまさに、マイクロセグメンテーションやSASEといったクラウド領域の新たなサービスに面白さを感じながら取り組んでいます。
河合:以前からありましたが、クラウド前提で、あるいはクラウドとオンプレミス、両方を使う環境でセキュリティ対策をどうしたらいいかという相談は増えてきたと思います。また、DX推進は一部署で完結するのではなく、社内のいろいろな部署の方々を引き込んで進めていくケースが増えており、いわゆる情報セキュリティ部門だけでなく、ネットワークも含むインフラ担当者や開発部隊の方々とお話しする機会も増えています。
境:最近ではお客様側がCISSPをはじめとするセキュリティ関連資格をお持ちのことも増えています。お客様が不安を抱かずお話ししただくためにも必要なことだと感じています。もちろん資格を取って全て習得できるわけでは無いですが、体系的に学んだ知識をいち早く業務に取り入れて、お客様へ高品質なサービスを提供するために必要なプロセスだと考えています。
境:私はクラウドセキュリティのプリセールス担当として、海外のセキュリティソリューションの提案や技術支援に携わってきました。業務の中で守る側からの観点は身に付くのですが、攻撃者側の観点が足りないと感じるようになりました。もし攻撃者側の観点が持てれば「こういった危険性があるから、こうした対策が必要です」というロジックでお話しすることができます。その観点を補うために、攻撃者の目線を培えるSANSのトレーニングのSEC504を受講することにしました。
境:サイバー攻撃には何だか難しいツールを駆使するイメージがあると思います。しかし実際には、PCにデフォルトで備わっている機能を使うだけでも攻撃を成立させることができたり、既存のセキュリティ検知をすり抜けるような手法も体験でき、改めて悪意を持った攻撃の恐ろしさを知ることが出来ました。
境:ハンズオンが多く、実際に手を動かしながら学べるところです。実習を進め、わからないところがあれば講師に尋ねつつ、自分でできるようになるところまでやり切れました。またトレーニングの最終日には学習の集大成としてCTFがあり、最後の力試しができました。技術者として楽しみながら、実力を試し、自信を持てたと思います。
また、防御側のことも学ばないわけではありません。例えば攻撃が成立した時にはどのようなログが残っているのか、そこからどんな調査をしていけば時系列を追っていけるのかなど、本当に、翌日から業務で役立つ内容を身に付けることができました。
河合:脆弱性診断に携わっていると、お客様から「この環境に対する診断やペネトレーションテストは必要なのかどうか」を尋ねられる場面があります。「マネージドサービスだから大丈夫です」、あるいは「こういった設定には注意が必要なので確認すべきでしょう」と答えるにせよ、対象のサービスを知らなければ適切なアドバイスが行えません。
また、技術者として最新の技術を学び、知識欲を満たしたいという理由もありました。さかのぼれば、大学院時代の恩師の「コーディングに使うプログラミング言語は毎回変えなさい」という言葉が大きく影響しているかもしれません。一つの領域に詳しくなるのもいいのですが、特定の分野にこだわることなく幅広くチャレンジすることで、視野を広げたいと考えています。
診断をするのに、セキュリティのことだけ知っていればいいというわけではないと思います。サービスの使い方や性質を理解した上で、最適なセキュリティを提言することが大切です。そうした思いから、セキュリティとは無関係な資格も含め、クラウド関連の認定資格を一通り取得しました。
河合:まず、同じように見えるクラウドサービスでも、設計思想の違いが垣間見えてきました。私はAWSから学び始めて全資格を取得したためそれが基準になるのですが、Google Cloudならばコンテナ関連のサービスやGoogle Workspaceと絡めたサービス提供に良さがありますし、AzureはやはりWindows Defender関連のサービスやEntra IDのようなID統合サービスに強みがあります。
クラウドごとの特徴や強みを理解することで、お客様の目的に応じて、適したクラウドサービスを提示する際の選択肢が広がったと思います。
河合:オンプレミス環境の場合、機器を用意し、ネットワークをつなげ、ソフトウェアをインストールして……といろいろな設定が必要ですが、クラウドの場合はマネージドされたサービスがすでにあるため、それを利用してとても楽にサービスを構築できます。
ただ、クラウド環境の下のレイヤーはクラウドベンダーが管理していますが、その上で動くWebアプリケーションなどは利用者側が管理する必要があります。管理の主体はお客様自身である点は、オンプレミスでもクラウドでも変わりはないところに注意が必要だと思います。
境:クラウドはすぐに使い始めることができ、ボタン一つで楽に設定が変えられます。それだけに、意図せず脆弱性を作り込みやすいところもあり、一つ設定を間違えてしまったために情報を抜き取られることもあり、注意が必要です。脆弱な設定を自動的に見つけ、補うツールも出ていますので、トレーニングも含めて活用していく必要があると思います。
境:SANSのトレーニングは、各ベンダーが行う試験に比べ、それぞれのサービスに特化した内容はありません。代わりに、どのクラウドサービスにも共通して留意すべきポイントや、横断的に実現できる対策などの内容が組み込まれています。「まずここは見ておかなければいけない」といった汎用的な気付きが得られると思います。
河合:ベンダーが提供する資格は、「そのベンダーのサービスをいかに正しく使えるか」というところに重きを置いています。一方SANSなどの資格やトレーニングは、もし誤った設定を行った時にどんなリスクがあるかに重きを置いているところが大きな違いだと思います。
河合:私はさまざまなオンライン学習コンテンツやツールを活用して勉強してきました。また親会社であるNRIがAWSやGoogle、マイクロソフトとパートナーシップ契約を結んでいるため、それに基づくトレーニングも受講しています。
河合:実は私は、単語の暗記は非常に苦手です。そこで文字を覚えるのではなく、概念や問題文を図に起こし、視覚で覚えるようにしました。試験の際も、実際に図に書き起こすことまではしなくても、頭の中に構成をイメージしながら取り組みました。
もう一つは、できるだけ一次情報に当たることです。英語は得意ではありませんが、なるべく英語で調べ、元の情報を見ながら内容を理解するように努めています。
それから、練習問題を解くのも大事ですが、実際に手を動かして学ぶことも大事です。練習問題だけでは応用的な問題が解けませんが、手を動かしているだけでは全体像が見えません。時間をかけてでも両方を組み合わせて学ぶことが大事だと思います。
河合:いえ、普通に落ちることもあります。でもそこでメンタルを落とすことなく、次はリベンジしようと思える、折れない心が大事かもしれません。
境:メンタル管理は大事ですよね。
河合:AWS関連の資格は一通り取得したのですが、Google CloudとAzureの資格はまだとりきれていないので網羅的に勉強していきたいと思っています。また、本業のペネトレーション関連の資格も継続して勉強していきたいと考えています。
境:何から始めたらいいかわからない時には、まずトレーニングを受けてみて、一通り網羅的に学ぶことから始めるのがいいと思います。その点SANSのトレーニングは、講師の方が側に付いており、つまずいてもその場で解決できるので、安心して取り組めると思います。
河合:お試し的に、カンファレンスなどで行われる無料のトレーニングを受けるのもいいかもしれません。そこで手応えをつかみ、面白いと思えたら、知識を網羅的に広げていくために、SANSなどが提供する品質の高いトレーニングにチャレンジしてみるといいと思います。
河合:そこは本人が熱意を示す必要があると思っています。本を読んで学んだり、コミュニティに参加して熱意を高めれば、上司や周りの人を説得しやすくなるのではないでしょうか。
境:私の部署でいいなと思った取り組みが、トレーニング内容のサマリーを部内のミーティングや勉強会で紹介することです。個人だけでなく、会社にとってもいいことであることが伝わり、周りも「トレーニングに参加してもらってよかったね」と活性化して、全体として参加しやすい雰囲気が生まれました。
河合:クラウドに関しては、社内の第一人者として、お客様から相談を受けたり同僚から質問やアドバイスを求められることも増えました。より自分に自信が持てるようになったと思います。
境:私も、SANSのトレーニングやクラウド関連の資格を取得したことで理解範囲が広がり、自分の中の選択肢が増え、お客様によりよい提案ができるようになっていると感じます。お客様の話をうかがっていると、当初の悩みとは別のところに根本原因が見えてくることがあります。そんなところについてもアドバイスすることで、プロジェクト全体をスムーズに進める力になれていると感じます。
お客様が社内でセキュリティ予算を獲得する際に、どういうケースではリスクが高くて、対策しないとどれくらいインパクトがあるのか、ロジックを組み立てた説明ができるようサポートさせて頂くこともございます。
境:攻撃者側の目線を踏まえ、本当に必要なものを見極めた上でお客様への提案をしていきたいと考えています。不要な製品を押し売りしても、お互い幸せにはなりません。お客様の環境を把握し、どこにどのような対策が必要なのかを判断して、厳しすぎず、利便性も保ちながら安全に使えるちょうどいいセキュリティを提案していきたいと思っています。
河合:NRIセキュアの売りは高品質なサービスにあると思っています。高品質なサービスを提供するプロフェッショナルとして、「これは知りません」というのはありえません。プロであり続けるためにも引き続き学び続け、それをお客様に提供していきたいと思っています。
関連記事:
トップコンサルタントの経験から見る“セキュリティ”という仕事 (外部リンク)