転職・求人DODAエンジニア IT/トップ > 転職情報・成功ガイド > ギークアカデミー > 「普段の仕事の中で、セキュリティ上の経験を濃くしていく」KDDI 白石 哲郎 氏 | ギークアカデミー

GEEK ACADEMY 先端を走る技を、ギークに学ぶ

掲載日:2013.06.03
このエントリーをはてなブックマークに追加

「普段の仕事の中で、セキュリティ上の経験を濃くしていく」

KDDI 運用本部 セキュリティオペレーションセンター 企画調整グループ 課長補佐 白石 哲郎 氏

KDDIに新卒として入社し、移動体系の技術企画部門を経験。その後、セキュリティオペレーションセンターへ転属となり、リリース前のセキュリティ設計評価・脆弱性診断、セキュリティ監視等を担当しながら、現在は主にセンターの将来構想検討に従事している。


KDDIのセキュリティ専門家、白石哲郎氏へのインタビュー後編では、セキュリティ分野に向く人材像はどのようなものか、どのような学び方をしてきたのかを聞いた。セキュリティ分野のニーズは増える一方で、エンジニアであれば日常の業務に学びの機会があると語る。

好きな人でないと、診断・監視は務まらない

──セキュリティ分野の人材は、エンジニア全体から見れば少数派だと思います。どういう人がセキュリティ分野に向いているのでしょうか。
フェーズによって変わってきます。設計評価では、まずシステムを作ったことがある人が必要です。どのタイミングでどのような事を考えるか、開発ベンダーとのパートナーシップをどうするか、こうしたことが分かっている人が求められます。
診断では、コアな技術が必要です。パケットの中味をWireSharkで覗いて解析をしたことがある人、などですね。プログラミングの経験がある人は、診断ツールの動きを理解したり、場合によってはカスタマイズすることもできると思います。また、診断と監視の局面では、ネットワークプロトコルを深いところまでよく知っている人のほうが、正常パターンと異常パターンの違いを発見しやすい、ということがあります。
──診断と監視は、特に高い専門性が必要になってくるわけですね。
好きな人じゃないと、特に診断と監視は務まりません。パケットの中味を見て喜べる人というか(笑)。そういう細かい仕事をしつつ、セキュリティとビジネスとの全体最適を図る視点も必要です。セキュリティのことしか考えないでいると、コスト度外視で過剰な要求を出したりして、目的を見失ってしまうことにつながりますから。
──成功談、失敗談など、ありますか?
失敗のほうが多いです(笑)。最初のうちは、ビジネスでやろうとしていることやコストを意識せず、アカデミックな観点だけで要求を出したりしたことがありました。世の中でベストプラクティスとされるものを押しつけようとしてしまい、ビジネス面とうまく折り合いがつかず、実装にこぎつけることができませんでした。

ビジネス面とセキュリティ上の要件の折り合いを付ける

──セキュリティの専門家にとって、ビジネス的な視点と折り合いを付けるには、どういう事が必要でしょうか。
早い段階での方針の合意です。最初に「こういう方針でいきましょう」とサービス企画・開発側の人達とセキュリティの人の間で合意して、コミットすることを、しっかりとプロセスとして設けるようにします。これをせずに、リリース直前の段階でセキュリティ上の課題に関して大声を出しても、うまくいきません。
そこで汎用的なツールやフレームワークが有効になります。一個一個のシステムを手で作り始めるのではなく、どこに置くかという局舎やデータセンターや、その他の条件が決まれば、設計の枠組みが自動的にできあがる、セキュリティレベルをどのように設定するかが決まる。そういった取り組みをしています。
──セキュリティオペレーションセンターの将来構想の仕事についてお聞きしたいのですが、これは研究開発の側面もあるのでしょうか。
あります。世の中で騒がれていることが、1年後、2年後に現場で必要になることがよくあります。研究の最先端をウォッチしつつ、研究所や、セキュリティベンダー各社とも連携をとりながら進めています。この分野での情報交換を進めながらやっています。
特にサイバー攻撃の手口の情報などは情報収集が難しいので、セキュリティベンダーと情報交換をしながら進めています。
──信頼できる相手でないと、攻撃に関する情報の交換ができない場合があるのですね。そういう意味では、KDDIのセキュリティオペレーションセンターは良いポジションかもしれませんね。
そういう側面はあると思います。

新しい技術には必ずセキュリティの仕事がついて回る

──これからセキュリティ関係の仕事をしようと思っているエンジニアは、今何をすればいいでしょうか。
身近なところから取り組むべきでしょう。システム開発でも運用でも、何かをやれば、必ずセキュリティはついて回ります。何かを作る時、セキュリティについて何も考えないということはありません。今いる職場での経験をいかに濃くしていくか。そこが大事ではないかと思います。
──白石さんご自身はどんなやり方で勉強をしてきたのですか。


まず、何をアウトプットとして出さないといけないか、そのためのアプローチは、必要なスキルは、といったことをざっと考えます。そこでスキルを習得するにはどうすればいいかを決めて、勉強に取り入れていきます。休みの日に技術書を読んだり、自分のPCの上でプロトタイプを作って実験したりする日々でした。
──今は、仮想マシンを使えばネットワーク環境を1台のPCで作れるから、その点では実験はやりやすくなっていますね。
そうです。仮想マシンの上で穴のあるサーバーを立てて、攻撃をシミュレーションしたりできます。そういう環境がフリーで手に入る、恵まれた時代といえるかもしれません。
もちろん専門家には実務経験も大事です。シミュレーションだけでなく業務でどのように知識を活かしたか、そこが重要です。
今の時代、新しい技術には、必ずセキュリティの話がついて回ります。何か有名なバズワードに「~のセキュリティ」と付けると、それで一つのテーマができるぐらいです。
──「ビッグデータのセキュリティ」とか、でしょうか。
そうですね。セキュリティ専門家はますます求められるようになっているし、最新技術ではセキュリティの話が欠かせないわけですから、今のエンジニアにとってセキュリティは面白い分野だと思います。

「チームワークの重要性を学び、セキュリティオペレーションセンターの再構築に取り組む」:インタビュー前編へ戻る

ココが今回のギークの学びどころ

  • 専門性を極めようとするなら、方向性をよく見定めよう。そうすればスキル習得の道筋が見えてくる
  • チームワークと合意形成プロセスの大事さを知ろう。個人ではできない仕事もチームならできる場合がある
  • セキュリティのスキルを得るには、今の仕事のセキュリティ面により深く取り組むことから始めよう
DODAエージェントサービス 専任のキャリアアドバイザーが、キャリアアドバイスから求人紹介、退職フォローまでを一貫してサポートします。ご利用になりたい方は、こちらからご登録をお願いします。はじめて退職する方のために3分でわかるエージェントサービスのメリットを紹介 エージェントサービスに申し込む(無料) 3分でわかるエージェントサービスのメリット
ITエンジニア・クリエイター合格診断

無料エージェントサービスに申し込む

IT業界に精通した専任のキャリアアドバイザーが、エンジニアの転職活動を無料でバックアップします。

イベント情報

転職のプロに相談できる DODAエンジニア個別相談会

おすすめ診断コンテンツ

ITエンジニア・クリエイター合格診断

あなたの“本当の年収”や今後の“年収推移”も分かる!年収査定サービス[無料]

インタビュー、コラム

アプリケーションエンジニアのための転職力アップ法

アプリケーションエンジニアのための転職力アップ法

エンジニア特有の転職成功ノウハウや市場動向をご紹介

インフラエンジニアのための転職力アップ法

インフラエンジニアのための転職力アップ法

インフラ領域特有の転職成功ノウハウや市場動向をご紹介

業界専任キャリアアドバイザーの連載コラム Webクリエイターのための転職力アップ法

Webクリエイターのための転職力アップ法

クリエイター転職特有のノウハウ・事例などご紹介!

未来を創る 意志あるエンジニアたち

未来を創る 意志あるエンジニアたち

最前線で活躍するエンジニアのこだわりに迫る

GEEK ACADEMY

GEEK ACADEMY

先端を走る技術を、ギークに学ぶ

メールマガジン無料配信

簡単登録で最新の転職情報、
希望の求人が届く