EN

NRIセキュア ブログ

継続的なインプット/アウトプットを|AWSセキュリティ第一人者を目指す技術者の流儀

目次

    blogtopNRIセキュアテクノロジーズで、マネージドセキュリティサービスの企画開発に携わる吉江 瞬。Amazon Web Services(AWS)などパブリッククラウドに精通する彼は、複数のAWSユーザー向けコミュニティ運営にも携わり、数々のイベントを成功に導いてきました。

     

    AWSのコミュニティ運営が、学びを止めないためのモチベーションに

    吉江は2022年11月現在、NRIセキュアテクノロジーズ(以下、NRIセキュア)のMSS技術開発部に所属しています。MSSとは、マネージドセキュリティサービスのこと。セキュリティサービスやセキュリティデバイスを導入提案したり、お客様に代わってセキュリティの運用代行を行ったりするほか、セキュリティのログを監視して攻撃を受けた際に原因を究明し、トラブルを解決する役割も果たしています。

     

    私が担うのは、クラウド向けのセキュリティサービスの開発です。AWS、Microsoft Azure、Google Cloud Platform(GCP)などのパブリッククラウドを利用する企業は非常に増加しています。クラウドを利用する中でお客様が抱えているセキュリティ課題を、解決するサービスの開発や提案をしています。

    24時間365日、運用を代行して安全性を守ったり、導入したクラウドサービスから届く通知の中から優先対応すべき項目をアドバイスしたりすることで、お客様が安全にクラウドを利用できるようサポートしています。

     

    そのスキルと実績を求められ、親会社である野村総合研究所(NRI)とNRIセキュアの両方を行き来しながら複数部署を渡り歩いてきた吉江。さまざまな部署のメンバーとコミュニケーションを取りながら自身のノウハウを伝えたり、仕事のヒントを見つけたりしていると言います。

     

    誰が何に通じているかが詳しいので、『この件で聞きたいなら、隣の部署の人だ』とか、『他本部のあの人にちょっと相談しよう』といってNRIグループ内のいろんな人によく声を掛けています。他部が開発しているソリューションの最新状況や、お客様の最近の課題を聞いたりすることもありますし、メンバーの困りごとを聞いて『この最新事例を応用できるのでは?』とアドバイスをすることもあります。

     

    社内だけでなく、社外とのコミュニケーションにも積極的な吉江。AWSユーザーの集まるコミュニティ“JAWS-UG(AWS Users Group – Japan)”に所属し、セキュリティ専門のグループ“Security-JAWS”の運営メンバーを務めています。

     

    2013年に初めて年1回開催の大型イベント“JAWS DAYS”に参加して以来、AWSの勉強会に足を運ぶようになり、2016年には有志と一緒に“Security-JAWS”を立ち上げました。

     

    3カ月に一度、“Security-JAWS”ではイベントを定期開催していて、直近のイベントにも約370名が参加を申し込むなど非常に活気があります。AWSやセキュリティに詳しい専門家など複数人の方々に呼びかけ、登壇していただき、AWSのセキュリティサービス、AWSのサードパーティーのセキュリティサービス、事業者が語るAWSの活用方法などのテーマで、さまざまなセッションを展開しています。


    2022年2月には、内閣サイバーセキュリティセンター(NISC)とともにサイバーセキュリティ月間を盛り上げるなど、JAWS-UGは最近では他団体とコラボレーションする機会も増えてきました。本業と並行してコミュニティを運営し、イベントを開催することは容易ではありませんが、コミュニティ運営を行うことが自身のスキルアップや本業でのさらなる価値提供につながっていると吉江は言います。

     

    コミュニティを運営する上で、常にAWSの最新情報にキャッチアップしておくように心がけています。とくにセキュリティ領域の情報は、自分が案件で携わっていないときにも追うようにしていて、学び続けるモチベーションにもなっています。

    こうして情報を追い続けていると、世の中が必要としているサービスが何かについて、ヒントを得やすいです。実際に、NRIセキュアにおいて、AWS WAFがない時代に、AWS向けのWAF(Web Application Firewall)を管理するサービス開発につなげることができました。

     

    さまざまな分野のスペシャリスト集団であるNRIの中で、「AWSのセキュリティ領域の第一人者でありたい」と話す吉江。次のように続けます。

     

    社内には、AWS以外のクラウドはもちろんのこと、AI、コンテナ、IoT、IDなど、それぞれの分野のセキュリティに詳しい方が社内にはたくさんいます。彼らと最新情報を交換することで、新しいサービスへの想像がどんどん膨らむのを感じます。

    企業の本丸を“衛る”。進化を続けるセキュリティ技術を追求したいとNRIセキュアへ

    02いまでこそAWSのセキュリティ領域の第一人者として社内外で名を馳せる吉江ですが、入社するまでは情報セキュリティとは無縁でした。

     

    学生時代の専攻は、情報数理学のオペレーションズ・リサーチでした。就職活動を進める中で、攻撃側も防御側も技術がどんどん進化しているセキュリティ分野を突き詰めるのが性格に合っているような気がしたんです。情報システムを“衛る”ってなんだかかっこいいじゃないですか。

     

    2008年にNRIセキュアの一員となった吉江。8年ほどMSSの運用に従事した後、自社製品を開発するソリューション事業部に異動し、金融業向けのサービス展開を経験。その後NRIに異動してAIサービスのセキュリティ部分の開発に携わると、2020年1月にNRIセキュアに戻り、AWSや他のパブリッククラウドのセキュリティに再び関わるようになります。

     

    具体的には、企業が利用しているクラウドサービスのセキュリティ監査に始まり、複数のクラウドを利用する際の運用や監視のためのツールを導入したり、セキュリティを確保したシステムの設計・構築を支援したりするなど、多岐にわたります。

     

    実に多様な経験を重ねてきた吉江。セキュリティに携わる上で大事にしているのは、“先手必勝”の精神です。

     

    クラウドネイティブにおいては、日々移り変わる情報をいかに早く収集するかが大切です。自分で実際に新しいサービスに触れてみるなど、その情報の正確性を確かめることも重要になってきます。こうしたキャッチアップを惜しまない姿勢が、先進的なサービス開発につながり、『NRIセキュアに、ここまで任せられることができるのか』とお客様に信頼いただける存在になれるはずです。

    社外のコミュニティに参加したことで、NRIセキュアの技術力も改めて実感

    04

    ▲JAWS DAY 2019懇親会での参加者による集合写真。中央前から3人目の、白いニットキャップをかぶりマイクを持っているのが、吉江

     

    2018〜2019年にかけて、吉江にとって大きなターニングポイントが訪れます。2018年8月にNRIに異動したのとほぼ同じタイミングで、2019年2月開催の“JAWS DAYS 2019”の実行委員長に就任。新しい業務を覚えながら、大規模イベントの開催に向けて準備を進める日々が続いたと言います。 

     

    満漢全席をテーマに1日で11トラック、129セッションというイベントを半年かけて準備しました。かなり大変でしたが、前年より多い2,000名以上の方がオフラインのイベントに足を運んでくださり、たくさんの参加者がイベントでの学びとともにアウトプットもしてくれたんです。一年を通じて行ってきた活動が評価され、AWSに貢献した人に贈られる“AWS Samurai”という賞をいただきました。

     

    それ以降も継続的にコミュニティの運営に携わってきた吉江。2021年3月には米国のAmazonから、当時国内では10名程度しか認定されていなかった、“AWS Community Hero”に認定されました。AWSユーザーの間で一気に知名度が広がり、AWSのセキュリティ面についてだけでなくコミュニティ運営についても、社内外・国内外を問わず吉江のもとには多くの相談が寄せられており、経験から蓄積したノウハウをもとにアドバイスを行っています。 

     

    コミュニティを皆で育て上げていく中でAWSセキュリティの情報交換を行い、自社のサービスに取り入れることができています。勉強会に登壇してくれた人が気づいたらNRIセキュアに入社していたケースもありました(笑)。

    AWSだけではなく、他のパブリッククラウドベンダーの方とも話をする機会も増えましたね。いろんな会社とリレーションを築けるようになったのは、こうした活動をしていたお陰かなと思います。

    “井の中の蛙大海を知らず”ではないですが、社外のコミュニティに参加したことでいまの自分があると思っています。一方で、外の世界を知ったことで、NRIセキュアの技術力の高さを改めて実感するようになりました。

     

    セキュリティの仕事に携わって15年目になる吉江。仕事のやりがいについてこう話します。 

     

    2年ほど前にこんなことがありました。運営するコミュニティで関わりのあったある企業の担当者が標的型攻撃を受け、コミュニティの仲間に攻撃メールをばら撒いてしまったんです。

    その際、私がインシデントハンドリングを担当して、皆にメールを開かないよう呼びかけ、IPA(情報処理推進機構)やJPCERT/CC(JPCERTコーディネーションセンター)といったセキュリティ関連機関への報告業務も行い、事なきを得ました。

    そうやってトラブルを解決して関係者から『ありがとう』といってもらえたときは達成感がありましたね。入社前に抱いていた『“衛る”ってかっこいい』という気持ちは、いまも変わっていません。

    情報セキュリティ事故をゼロにすることが使命

    03▲2022年夏にタイで開かれたAWSのグローバルイベントでの講演の様子

     

    セキュリティのプロとして、これからも公の場でアウトプットし続けたいと話す吉江。 

     

    現在も年1回は大きなカンファレンスで登壇していますが、今後は海外のカンファレンスでもスピーカーを務めていきたいと思っています。アウトプットする上ではインプットも必要になるため、知識をきちんと定着させる良いきっかけになると考えているからです。

    自分自身のモチベーションをずっと維持したいですし、技術レベルの高い内容を発表することで『NRIセキュアはすごい』と周りから思ってもらえたらうれしいですね。

     

    また、将来的なキャリアビジョンについて、スペシャリストよりむしろゼネラリストとしてキャリアを積んでいきたいと吉江は言います。

     

    セキュリティ以外の分野でも、自分の得意領域といえる柱を作り、セキュリティと掛け合わせて新しい価値を生み出していきたいと思っています。最近、とくに興味があるのが法律×セキュリティの“リーガルセキュリティ”です。また、攻撃する側の心理を知れば、違う角度から防御策を考えられるかもしれないので、心理学を勉強したいとも思っています。

     

    セキュリティを極めれば極めるほど、新しい学びへの意欲が尽きないと話す吉江。自分の仕事は、現代社会において必要不可欠なものだという自負があります。

     

    ほぼ毎日のように、情報漏洩やサイバー攻撃のニュースを見聞きします。こうしたことが起こらない世界を作るのが、われわれの究極の目的。世の中になくてはならない仕事だと実感しています。

    NRIセキュアには、もともと文系だったメンバーや、私のように情報セキュリティに詳しくないまま入社したメンバーが少なくありません。優秀な先輩に囲まれた環境の中で皆が一人前に成長できているので、怖がらずに飛び込んできてほしいですね。

     

    専門性を携え、かつオープンな情報交換を好むメンバーが揃うNRIセキュアにはさまざまなプロフェッショナルが存在し、異なる分野の知識やアイデアが刺激となって次の展開を生むといった相乗効果が生まれやすい環境があります。業界最先端のサービス提供を目指して、吉江はこれからもセキュリティの最前線を走り続けます。