NRIセキュアの和田総一郎は、大学で物理学を専攻しセキュリティは未経験で入社した。現在、セキュリティコンサルタントとして第一線で活躍する本人に、ユニークな入社のきっかけや社員の成長を支える社内の環境について語ってもらった。
「暗号付きハッカ飴」が入社のきっかけに
学生時代の研究や就職活動について教えてください。
大学では量子力学、量子化学、光学などを専門に、アト秒科学という分野で10の-18乗秒の世界での電子の運動などを研究していました。実験系の研究室でしたが、実験結果の解析や測定機器の制御に必要で、独学でプログラミングも学びました。
就活当初は研究職やコンサルタント、外資系企業など職種や業種を絞らず幅広く目を向けていましたが、社会に出るなら誰かのために働きたいと思うようになりました。社会に貢献できる倫理観の強い仕事として、選択肢に残ったのがNRIセキュアテクノロジーズと自衛隊でした。同期に話したらとても驚かれましたが。
一見異なるものの、どちらも「守る」仕事ですね。NRIセキュアテクノロジーズを選んだ決め手は何だったのでしょうか?
袋を平らにして2次元コードを読み取るには、好きでもないハッカ飴を食べないといけない上に、そもそもどう解くかも分からない難題。いろいろな意味で強く印象に残りました。良い意味で変な会社だな、これを作った人がいる環境なら絶対におもしろいぞ、と。この経験を通してセキュリティや暗号技術に興味がわき、「もっと深く勉強してみたい」と思い始めました。
就職先を決めるにあたり、就職がゴールにならないようにしたいとも考えていました。当社には、 セキュリティ企業の社会的意義や技術分野としての面白さを熱く語れる人が多く、就職の先に成長できる環境があると感じたのも決め手です。内定後、社員とのランチの機会に業務内容や本音をフランクに聞いたら、「自己研鑽の毎日で大変だ」と話してくれたのですが、決してネガティブではなく、現状に満足しない貪欲さが伝わってきました。入社3年目の今、私も同じ気持ちです。
情報セキュリティの「何でも屋さん」として頼られる仕事
2019年の入社から現在までに担当してきた業務内容を教えてください。
約3カ月間の新人研修後、セキュリティコンサルタントとして現場に配属となってから今日まで、1万人規模の従業員を抱える企業の情報セキュリティ部門を支援しています。
担当業務は、セキュリティ機器の監視状況の分析、脆弱性情報の収集、その結果対策が必要なことなどを整理し、経営層に月次報告を行っています。加えて、セキュリティ関連の最新事例や動向のインプット、従業員全体に対する教育活動も行います。
顧客企業と密接に関わり、広い業務範囲を担当するのですね。
セキュリティコンサルタントは、セキュリティに関することなら「何でも屋さん」のように要望に応えられる必要があります。顧客企業の中期IT戦略の策定・運用をお手伝いする機会もあり、長期目線で支援ができるのは醍醐味ですね。
現場の従業員から経営層まで幅広い人と接するので、それぞれの目線に合わせた対応を心がけています。例えば一つのセキュリティ攻撃の話題でも、現場では技術的な背景やセキュリティ機器の監視状況など技術や運用が論点になり、経営層レベルでは会社としてのセキュリティ方針が論点になる。相手の立場をふまえた観点で語るよう努めています。
セキュリティ技術や業界動向の進展は早く、また、私は情報系出身ではないこともあり、仕事で触れる知識全てが新しく、日々学習の楽しさがあります。セキュリティ技術だけではなく顧客の主業や業界など広い分野を見渡して勉強でき、知的好奇心が刺激される毎日です。
若手の挑戦を後押しする文化が成長を促す
これまでにチャレンジングだった経験や、印象に残った業務はありますか?
新人の時に担当したサイバー訓練です。この訓練はサイバー攻撃を装ったメールを送り、URLをクリックしてしまった従業員に教育コンテンツを提供し、取得したデータを今後の対策に生かすというものでした。お客さまの全従業員を対象としており、1万人を相手に施策を打つと思うと、セキュリティコンサルタントの責任の重大さを感じましたね。ミスをした場合の影響もあらためて認識し、気持ちが引き締まりました。
新人の頃から、重要な業務にチャレンジしてきたのですね。
当社では、若手でも先輩のアシスタントにまわることなく、1年目から実務に携わり挑戦させてもらえます。その分プレッシャーもありますが、上司の厚いサポートもあります。例えば実務を開始したばかりの頃は、お客さまに提出するものはメールから議事録まですべて上司が事前にチェックをして、フィードバックをくれたんです。文章作成能力が上がっただけでなく、万が一のときは責任を持つから挑戦していいと上司が温かく見守っていてくれたことが、心強かったです。
仕事で必要な専門知識やスキルはどのように習得してきたのでしょうか。
研修の参加費用や資格取得費用を会社が負担する制度を活用し、情報処理安全確保支援士(サイバーセキュリティ分野の国家資格)やクラウドセキュリティに関する資格などを取得しました。
セキュリティの専門家として最先端の情報提供が価値になると考えているので、情報収集も欠かしません。日々発信されるセキュリティ事故のニュースや脆弱性に関する情報を、いち早くキャッチすることを意識しています。大学時代に独学で身につけたプログラミングの知識で情報収集ツールを自作し、話題の幅を広げています。
大学の研究室での学びも、仕事に生かされています。例えば「研究課題を自力で解決するための論理的思考は、社会でも基本となる能力だ」という教授の教えは日々実感しており、経営層向けの報告資料を作る際には彼らが本当に欲する情報や解決までの道筋など、論理的な説明を意識しています。
プロフェッショナルで居続けるのに大事なのは知的好奇心
セキュリティコンサルタントのやりがいを教えてください。
セキュリティは企業の核心部分にあるものだと思っています。企業がサイバー攻撃からどう身を守っているかはオープンにされていません。セキュリティコンサルタントは、顧客に信頼され、企業の核心部分に深く入り込み、サポートする重要な役割を担います。
またサイバー攻撃は、情報システムや組織体制など、どこかに弱いところがあると攻撃が成立します。そのため、技術に加え、法規制や国際標準の動向など多方面の知見が必要となります。「セキュリティに関して全方位で対応できる人」として頼られるというやりがいもあるでしょう。
複雑な要望も多いですが、当社はセキュリティの知見が深い人が多く、組織としての知識量も非常に豊富です。たとえ私個人で対応できないことがあっても、意見交換やアドバイスを仰ぎながら、組織として対応できます。技術が好きで、仕事を楽しみ、顧客に価値を提供することを喜びとする人たちから刺激を受け、自分も日々成長できていると感じています。
和田さんの今後の展望を伺えますか?
「◯◯については和田に聞け」と言われるような、社内外から頼られるセキュリティコンサルタントになることが目標です。セキュリティのプロフェッショナルとして、期待に応えられるよう自分を高めていくためには、セキュリティの領域はここまでという線引きは絶対にせず、ITやお客さまの業務に関しても広く深く掘り下げて勉強し続けたいです。また、コンサルタント業務に関わらず幅広い業務を経験していきたいです。
最後に、ともに働く人に求めるものを教えてください。
セキュリティ分野からお客さまとの雑談まで、常に知的好奇心を持っていることが大切だと思います。理系・文系の知識を問わず、時事ネタ、セキュリティやITに無関係なこともどんどん興味を持って調べていく人や、豊富な話題を持っている人となら一緒に楽しく働けます。知的好奇心を大事にしてほしいですね。