person-main-image02
title-person02
PROFILE
情報通信工学専攻。大学でプログラミングの面白さに引き込まれ、アルゴリズムの研究を進めた。NRIセキュアのインターンシップで知った情報セキュリティの世界の奥深さと風通しの良さそうな雰囲気に惹かれて入社。

title-person02-1

最初の配属は、マネージドセキュリティサービス(Managed Security Services/MSS)事業本部で、SecurePROtecht(NRIセキュアのマネージドセキュリティサービス)を担当した。SecurePROtechtは、24時間×365日、サイバー攻撃からITシステムを守るためにセキュアなネットワークの設計、構築、運用までを行うフルアウトソーシングサービスだ。1995年にNRIの社内ベンチャーとしてスタートしたもので、今もNRIセキュアの基幹事業になっている。そのサービスを支えるSecurePROtechtポータルサイト、レポート作成システム、顧客管理DBなどのための共通基盤システムを開発し運用するのが私の仕事だった。学生時代はアルゴリズムの研究がメインだったので新たに学ぶべきことは山のようにあり、毎日勉強を重ねなければ生きていけない、というのが実感だった。業務をどのように遂行していくかは、インストラクターの先輩が丁寧に教えてくれた。しかし、技術は自分で学び取るしかない。
勉強の方法として私が選んだのは資格取得だった。会社はセキュリティ技術やプロジェクトマネジメントなどのカテゴリー別に推奨資格を選定していた。私は試験の日程が公表されたら、片端から申し込んだ。それから試験日に向けて勉強する。そのスタイルで10の資格を次々と取った。会社は複数のカテゴリーで推奨資格を取得した社員を「NRIセキュア認定セキュリティエキスパート(NCSE: NRI SecureTechnologies Certified Security Expert)」として認定し表彰していたが、その1人になることができた。この3年間に積み上げた知識と技術は自分の大きな財産になっている。

title-person02-2

入社4年目のことだ。私が担当していたSecurePROtechtサービスの共通基盤システムの更改が実施されることになった。私はすぐにプロジェクトマネージャー(PM)を志願した。実はこの更改は、上司との半期ごとの個人面談の際に私が進言していたものだった。それを会社が業務計画として具体化した。「私がやらずに誰がやる?」――そう思った。しかし、クラウドを始め新たに導入する技術が多く、また、開発手法としてもアジャイルを採用するなど、プロジェクトは高度で規模も大きかった。しかも、私はまだ入社4年目だ。アプリケーション開発、サーバー、ネットワークと分けたグループの各リーダーも、全員が私より年次が上で経験も知識も勝っていた。プロジェクトを円滑に進めるためには、各リーダーやメンバー全員が納得できる方針を示さなければならない。それまでの3年間、方針はリーダーや先輩が決めてくれた。しかし今度は自分が決めなければならないし、受け入れてもらうためには明確な理由付けがいる。「なぜそうするのか?」と聞かれた時に、論理的に説明ができなければならない。今度は勉強というより、相手を想定して考え、コミュニケーションを取ることを日々心がけなければならなかった。幸い開発業務はスケジュールどおりに完了。この経験は、その後のさまざまな開発プロジェクトや大型案件のPMを担当する際に大いに役立つものとなった。
img-person02-1

title-person02-3

入社5年目の冬、私はセキュリティ診断を主務とする部署に異動した。顧客のシステムに内在するセキュリティ上の問題点を見つけ、必要な対策を提案するのが仕事だ。診断の視点はリスト化されているが、そこから発展してさまざまなテストも実施する。
2つの点で私の業務環境は大きく変わった。1つは、それまで関係者といえば部署内の同僚や先輩、上司など社内がメインだったが、顧客とのやりとりが圧倒的に増えたこと。当初は “距離感”の取り方が分からず、1通のメールを送るのにもずいぶん緊張した。もう1つは、システム開発と異なり、あらかじめ実現すべきゴールが決まっている訳ではないということだ。見つかったセキュリティ上の問題の深刻度も、取るべき対策のレベルや緊急性も、顧客によって異なる。他のシステムとの関係、予算、スケジュールなど、さまざまな要素が関係してくるからだ。場合によっては、経営の中でセキュリティをどう位置づけるのかという企業スタンスにも関わる。それだけに踏み込んだ議論が必要であり、顧客との関係は自然に深まっていった。その時に大いに役立ったのが、入社当初のシステム開発業務で蓄積した知識や経験だった。「もしこんな攻撃が来たらどうするの?」といった、診断を離れた個別の質問にも的確な答えが返せた。それがさらにお客さまとの関係を深めることにつながった。顧客先に出るようになって、私はさらなる仕事の楽しさを知った。
img-person02-2

title-person02-4

それはいつものように仕事が始まろうとしていた平穏な時間に、突然侵入してきた。顧客のシステムが、いわゆるリスト型アカウントハッキングの被害に遭ってしまったのだ。一刻も早く影響調査とその後の対策検討支援を進めなければならない。社内に対応チームが編成され、私もアサインされた。社会的な注目度が高く、対応を誤れば顧客企業の信用や経営にも影響をおよぼしかねない。緊急の対策会議には顧客企業も役員が顔を揃えた。そこで自分が行う提案はそのまま顧客の方針になるのだ。仮に先方の役員が間違っていると思われる分析や方策を口にしたら「それは間違っており、その対策ではだめです」と、言葉を選びながらも明確に伝えなければならない。妙な遠慮をすれば、かえってマイナスの結果を招いてしまう。明確な理論的根拠と自信と勇気を持って臨まなければならなかった。幸い、私たちの見解は受け入れられ、短期のうちにインシデント対応を収束へと導くことができた。その時の対応が社内で評価され、顧客からもシステム設計に関するレビューなどの相談を受けるようになり、まもなく私は正式に主担当を任されることになった。対応期間そのものは短いものだったが、セキュリティの社会的重要性を再認識すると同時に、仮に相手が誰であっても、言うべきことは言わなければならないという確信を得た。今、どんな顧客に対しても物怖じせず意見が言えるのは、この時の経験のおかげだ。
img-person02-3

title-now-future

年次が上がり、業務経験や知識を積めば、マネジメントの比重が増え現場で手を動かす仕事は減っていく。当然であり、組織全体の成長のためには必要なことでもある。しかし、技術に裏付けられたマネジメントこそ強い。進歩が早いセキュリティの世界だからこそ、最新の技術や理論をしっかりキャッチアップしていくことが必要だと思う。実際、周りを見てもこの会社には、マネジメントの立場にありながら、最新の理論や技術に精通している人が実に多い。いつどこで勉強しているのだろうと不思議に思うほどだが、ビジネスと技術、両方の視点をきちんと持っている人が多いのは、コンサルティングからシステムの導入さらには運用やアフターケアまでワンストップで提供するNRIセキュアという会社ならではの特徴だろう。私も常にビジネスと技術をバランスよく検討できるセュリティコンサルタントでありたいと思う。
img-person02-4