朝起きて、スマートフォンでSNSや動画を見たり、コンビニに行って二次元コード決済でお菓子を買ったり、ネット通販で本を買ったり……。
私たちは気づかないうちに、日々いろいろなサービスを使いながら生活をしています。しかし、こうした日常を送れるのも、裏でサービスを守っている人たちがいるおかげなのです。
今回、ワンキャリアが取材したのは、サイバーセキュリティに関するコンサルティングやソリューションを提供しているNRIセキュアテクノロジーズ(以下、NRIセキュア)です。
セキュリティ、というとピンと来ないかもしれませんが、実は人知れず、私たちの生活を守ってくれている存在なのです。その姿は、デジタル時代ならではの「エッセンシャルワーカー」。この道20年以上のベテラン観堂さんと新卒4年目の浅井さん、お二人の話から、サイバーセキュリティの魅力に迫ります。
スマホやクレジットカードの暗証番号、バレやすいものにしてませんか?
──サイバーセキュリティといっても、働いたことのない多くの学生には耳慣れない言葉です。どのような仕事でどういったニーズがあるのか、まずは、その点から教えていただけますか?
観堂:インターネットが普及し、世界中がつながったことで、これまで想定もしていなかったアクシデントやサイバー攻撃による被害が世界各国で起きていることは、皆さんもニュースなどで見聞きしているのではないでしょうか。インターネットのセキュリティは、ある意味失敗から教訓を得ることで、積み重ねて強化されてきました。
皆さんの身近なところでもセキュリティの重要性が分かる例は多いです。例えばパスワード。スマートフォンで使うものから、クレジットカードの暗証番号まで、誕生日など推測されやすいものを使っていませんか?
──うっ……いや、自分は大丈夫だったかな……と思います。
観堂:これは皆さんに限ったことではありません。例えば、自宅などで使うWi-Fi機器(ルーター)のパスワード。機器にあらかじめ設定されているデフォルトのパスワードが「1111」など単純な数字の羅列で、それを変えないまま使ってしまうと、見知らぬ人が勝手に接続して悪用するリスクが高まります。
そういう事故事例を踏まえて、Wi-Fi機器のメーカーは、デフォルトのパスワードを機器ごとにランダムにすることや、購入者が自分でパスワードを設定しないと使えないようにする、といった対策を進めてきました。そういった教訓をお客さまにアドバイスするのも、サイバーセキュリティに関連した仕事の1つです。
新しい技術やサービスが増えれば、それだけセキュリティの「弱点」は増えていく
──なるほど、さまざまなサービスを安心・安全に利用できるようにする対策をアドバイスしたり、そのための技術を提供したりするのですね。
観堂:DX(デジタルトランスフォーメーション)という言葉をよく耳にするようになったと思いますが、これによってサイバーセキュリティのニーズがさらに高まっています。これまでITとは縁遠かった企業が、ITを使って新しいビジネスを立ち上げる例が増えてきたからです。
最近は、「◯◯Pay」といった形で大手のスーパーやコンビニなどがスマホのアプリで決済できる独自のサービスを提供していますが、例えばそのサービス利用者の個人情報が漏れてしまう、不正アクセスでサービスがダウンしてしまう、個人のアカウントが乗っ取られて不正に利用されてしまう……といった事件が起きてしまうことがあります。こうしたリスクを最小限に抑えるのが私たちの仕事です。
私は現在、DXセキュリティ事業本部長として、お客さまがDXに取り組むときに使おうとしている新しい技術にリスクはないか、システムの安全性は確保されているかといった形で、セキュリティの視点からDXを支援しています。
観堂 剛太郎(かんどう こうたろう):NRIセキュアテクノロジーズ DXセキュリティ事業本部長
アプリケーション開発ベンダで開発に従事し、2000年のNRIセキュア創業年度に合流。セキュアプロダクトの開発を経て、脆弱性診断やインシデント対応などのテクニカルコンサルテーションを担当。2017年7月にNRIセキュアの子会社であるユービーセキュアの社長に就任。2021年10月にはNRIセキュアのDXセキュリティ事業本部 本部長としてNRIセキュアグループの事業拡大を推進。
──新たな技術を使ったビジネスに「セキュリティの隙(すき)」が生まれやすいとすれば、事件や事故が起きる可能性も増えるわけですね。
観堂:その通りです。企業が提供するサービスは、大もとでは同じようなシステムを使っていることがよくあるので、例えば、ある決済サービスでセキュリティの問題があったら、他社の決済サービスにも似た弱点がある可能性が高いです。もし、その弱点を突かれてサイバー攻撃が仕掛けられたら、多くのサービスが一斉にやられてしまいます。
──ドミノが倒れるように、いろいろな企業のサービスに問題が起きてしまうと。恐ろしいですね。
観堂:実際にセキュリティの大きな事故が起きると、お客さまから電話がかかってくることがあります。問題の解決から、経営会議での報告の支援までをできる限り早く行う。お客さまだけでは対処が難しいときこそ専門家であるわれわれの出番です。
ネット通販でクレカ番号を入力 「本当に大丈夫?」がセキュリティ業界への入口に
──なるほど。お話を聞く限り、非常に専門的な領域というイメージを持ったのですが、浅井さんは、どのような経緯でセキュリティに関する仕事に就こうと思われたのですか?
浅井:セキュリティに関心を持ったきっかけは、中学生のときにネット通販で書籍を買ったことでした。クレジットカードの番号を入力するときに、母親と「本当に入力して大丈夫かな」と不安になったのです。
──確かにそれは怖いですよね。不正に利用されたら……と考えたことがある人は少なくないと思います。
浅井:今は、ITやインターネットで便利なことができるようになりましたが、一方で、先ほど観堂が話したようなリスクや怖さもあります。ただ、怖いからといって便利なサービスを使わないのはもったいないですし、サービス提供者側も情報漏えいなどで信用を失い、誰にも使われなくなってしまうのは避けたいですよね。
そんなことを考える中で興味が大きくなり、セキュリティに関する仕事がしたいと思うようになりました。
浅井 麻友子(あさい まゆこ):DXセキュリティ事業本部 DevSecOps事業部 情報セキュリティスペシャリスト
2018年に新卒で入社。SSIRT構築支援、サービスリスク評価、API基盤検討支援などのセキュリティコンサルティング業務に従事。現在は、DXセキュリティ事業本部DevSecOps事業部に配属され、顧客のデジタルビジネスをセキュリティ面から支援。
──さまざまな企業がある中で、なぜNRIセキュアを選んだのでしょう。
浅井:セキュリティ業界というと、サービスを開発している企業や脆弱性(ぜいじゃくせい)の診断を手がける企業など、さまざまな企業があるのですが、就活を進める中で、世の中にはセキュリティについて詳しく知らない人が多いことを知りました。彼らの相談に乗って、不安を解消してあげられるような仕事がいい。そんな私に「セキュリティコンサルタント」は魅力的に映りました。
NRIセキュアなら、コンサルタント業務はもちろんのこと、セキュリティ診断、ネットワーク監視・分析、ソリューション開発など、セキュリティに関する幅広い業務を経験できることが、選んだ決め手です。
「◯◯Pay」の決済音には重要な意味がある? セキュリティコンサルタントに必要な「妄想力」とは
──浅井さんは入社後、どのようなお仕事をされてきたのでしょう。
浅井:私は2018年4月に入社して、最初に取り組んだのが「サービスリスク分析」の仕事です。お客さまが提供しているさまざまなサービスの仕様書を読み込んで、セキュリティ上のリスクを洗い出し、早い段階で対策を取れるように導きます。
例えば、お客さまが提供している決済サービスについて、悪意のある攻撃者が「どんな手段でポイントやお金を盗むのか」というシナリオを考え、その対抗策も考えて評価をします。
この仕事を3年間ほど続けたタイミングで、DXセキュリティ事業部に異動しました。セキュリティコンサルタントとしてもっと経験を積んで、専門性を獲得したいと考えて上司に相談したところ、社内の人事制度を利用し、1年間限定で異動することになりました。「武者修行」のようなものですね(笑)。
──実際に働いてみて、面白さや難しさなど、感じたことを教えてください。
浅井:まず、お客さまによってシステムが違いますから、きちんと構造を理解してリスクを適切に評価するのが難しいですね。発見したシステムの弱点が、どう事故につながるのか、想像力を膨らませて考えなくてはならないのです。
対策をするのにしても、コストやシステム上の制限がある中で「ここまではやるべきこと」「これは推奨策」と切り分け、専門家として意見するのは大変ですが、だからこそ、そこにやりがいを感じています。
──想像力が必要なんですね。
浅井:そうですね。例えば、先ほど「◯◯Pay」の話が出ましたが、決済したときに必ず目立つ音が鳴りますよね。あれにもちゃんと理由があるんですよ。
──え、そうなんですか?
浅井:仮に音が鳴らなかったときに起こり得るリスクを考えてみてください。例えば、決済後にスマートフォンに表示される画面が「偽造」されたものだったとしたら。「何をそんな」と思われるかもしれませんが、他社や海外の事例を踏まえつつ、攻撃者が付け入る隙を限りなく挙げて、想定リスクを一つずつ検証していくことが、サービス提供者側に求められています。
音が鳴る、というのは、「安全、そして確実に決済が終了したことを、ユーザーと売り手側双方に知らせる」ための手段の一つとしてセキュリティ上の重要な意味があるのです。
──なるほど……。あの「音」に重要な意味があるなんて、考えたこともなかったです。
浅井:こうしたリスクをきちんと見つけておかないと、サービスが実際に提供されてから大きな被害をもたらしてしまうかもしれません。「もし、こうなったらこんな攻撃がされてしまう」とさまざまなシナリオに考えを巡らせる。ある意味で、妄想しながら対策を考えていく能力が必要な仕事かもしれません。
多くの人が使うサービスの安全を守るため、専門家が一致団結して立ち向かう
──サイバーセキュリティに関する仕事と聞くと、コンピューターの画面を見ながら攻撃を分析するような、ハッカーのようなイメージを持っていましたが、今の話を聞いて印象が変わりました。
浅井:実際、映画やドラマなどの影響で、ハッカーのようなイメージを持って興味を持つ方も多いです。ただ、セキュリティの仕事というのは、本当に幅が広いです。入社してからより強く感じました。
観堂:NRIセキュアでは、ここまでの話に出てきたコンサルティング業務や、お客さまがお使いのシステムやサービスにセキュリティの弱点がないかを確認する「脆弱性診断」。その他に、サイバー攻撃を受けていないかを監視する仕事もありますし、セキュリティソフトウエアの開発もしています。
セキュリティに関するサービスやソリューションをほぼ全てそろえているのが、当社の強みです。この「総合力」は他社にはない特長だと考えています。
──総合力が強みとのことですが、実際の現場でその強みを感じることはありますか?
観堂:企業で何かしらのセキュリティ事故(インシデント)が起こると、現場はいわば「修羅場」になってしまいます。サービスのユーザーやステークホルダーへの対応に追われ、数日間まともな睡眠がとれない担当者も出てくるほど。私たちの仕事は、そんな厳しい状況に複数人のチームで乗り込み、現場を仕切るようなことも多くあるのです。そんなときに当社の総合力を感じますね。
──どういうことでしょう。詳しく教えてください。
観堂:NRIセキュアには、お客さまの現場に乗り込むチームとは別に、当社のオフィスに残って冷静にサイバー攻撃の内容を解析するチーム、復旧へのシナリオを組み立ててくれるチームなど、さまざまな専門家がいます。
まさにプロフェッショナルの知見を結集し、それを刻々と現場にいる仲間に送ってくれるのです。私も何度となく修羅場を経験していますが、そのたびに当社の仲間、そしてチームを頼もしく感じました。
──いろいろなチームが連携して、事故の対応に当たるわけですね。それがセキュリティのプロに頼む理由でもあると。
観堂:こうして危機を一緒に乗り越えたお客さまとは、「ともに戦った同志」として10年、あるいは20年とお付き合いを深めていくことも多いです。個人的には、これもセキュリティに関する仕事の大きな魅力の1つだと思っています。
有事の際には、自然と議論が巻き起こる。「スタープレイヤー」を目指す人に来てほしい
──NRIセキュアにはさまざまな専門家がいる、というお話でしたが、実際にNRIセキュアに新卒で入社すると、どのようなキャリアを歩むことになるのでしょうか?
浅井:入社後はまず、NRIとの合同研修があり、NRIセキュアでの研修を終えてから配属となります。配属後は、インストラクターと呼ばれる先輩社員の下でOJTにて仕事を覚えていく形です。
配属については、私の場合は「入社してすぐに配属されたい部署」と「将来的に配属されたい部署」について、それぞれ理由を含めて提出しました。必ずしも希望通りになるわけではないのですが、私は「将来的に配属されたい部署」に配属され、コンサルタントとしてさまざまな業務に携わりました。
──そういうケースもあるんですね。
浅井:当初は「現場経験を積んでからコンサルタントに」と考えていましたが、先輩コンサルタントの仕事を間近で見る中で、「自分にはどんな力が必要か」を早い段階で理解できました。この経験を踏まえて「これからどんなことを学べば良いのか」を逆算で考えられるようになったので、結果的には良かったと考えています。
──NRIセキュアではどんな方が活躍しているのでしょうか。社風のようなものはありますか?
観堂:「この分野なら人に負けない」という専門的な知識やスキルを持った人材ですね。
この業界では、年に1回くらいほとんどの企業やサービスが影響を受けるような、大規模かつ深刻なセキュリティ上の「欠陥」が見つかることがあります。情報収集から対策の立案、そしてそれをお客さまに伝えるまで、一刻の猶予もない……そんな状況になることも珍しくはありません。
そんなときこそ、NRIセキュアが誇るスペシャリストたちの出番です。緊急時には、エース級のメンバーを中心に、全社員が参加できるチャットにものすごい勢いで「こんな対策が考えられる」「こんな実証をしてみました」といった情報や知見が集まってくる。これは圧巻です。
──各領域の専門家が一致団結して事に当たる、というのがNRIセキュアの社風なのかもしれませんね。
観堂:それに加え、大げさではなく、社員一人ひとりが「多くの人が使うサービスの安全を守っている」という責任感や使命感を持っています。緊急時に自主的に議論が立ち上がるのがその証拠。これこそが、当社の強みの源泉です。
若手社員や、これから入社してくる社員が、こうした議論にすぐ参加できるわけではありません。経験も知識も足りませんから。それでもいつかは、自分の知見を持って議論に参加して、世の中の役に立ちたい、「スタープレイヤーの仲間入りがしたい」と思うような方にNRIセキュアに来てほしいですね。
セキュリティ人材はデジタル時代の「エッセンシャルワーカー」。イメージで敬遠せず、一歩踏み込んでほしい
──改めて、セキュリティの専門家になることの面白さ、そしてキャリアとしてのメリットがあれば教えていただけますか。
浅井:私たちは普段、さまざまなサービスを使っていると思いますが、ユーザーとして「もっと便利になればいいのに」「こういった機能があれば楽しいのに」と感じることは多いのではないでしょうか。
それが、セキュリティの仕事をしていると、「これって大丈夫なの?」「こういったリスクがあるよね」という新たな視点が生まれます。物事をさまざまな視点で見て、判断する。これはセキュリティに限らず、どんなビジネスでも、そして日常生活でも大切なことだと考えています。
観堂:コロナ禍において、私たちが「巣ごもり」できたのは、家にいながら決済ができ、商品が家にいつ届くか把握でき、さらにエンタメも提供されていたからなんですよね。これらはすべてITの恩恵によるものです。
これらのサービスにセキュリティが施されていなかったら、何か事故が起こってサービスが止まっていたかもしれません。買い物ができない、決済ができない、エンタメもない──。そんな状況で家に居続けることができるでしょうか? そう考えると私たちの仕事は、皆さんの日々の生活を守るのに必要不可欠な「エッセンシャルワーカー」ともいえるでしょう。
最近では、自動運転の車や遠隔手術など、ITの可能性は広がり続けています。しかし、こういった分野でセキュリティの事故が起こって、システムが乗っ取られてしまったら……最悪の場合、死者が出る可能性もあります。
──便利になればなるほど、リスクも増える。難しいところですね……。
観堂:そうやって新しい分野が広がり続ける、つまりフロンティアがあり続けるということは、私たちも常に新しいことを考える機会があるということです。ITもセキュリティも技術は進歩し続けています。セキュリティ関連の仕事をしていると、自分の知識をアップデートし続ける必要があるので、大変ながらも、やりがいの大きさを感じてもらえるのではないかと思います。
──「デジタル時代」だからこそ、セキュリティの仕事は人々の暮らしを守るものになっているということですね。ありがとうございました。最後に学生へのメッセージをお願いします。
浅井:コロナ禍に学生時代を過ごすことはつらいことも多いと思います。ただ、この機会だからこそ従来の働き方にとらわれずに、自分の優先順位、どこでどんな働き方をしたいのかを考える良い機会だともいえます。自分の何を大切にしたいか、きちんと意志を持って頑張ってほしいですね。
観堂:コロナ禍による変化はチャンスが増えることでもあると思います。例えば、就活セミナーもリモート開催となり、地方の学生も参加が容易となり、1日に複数社も回れます。就活だけでなく、コミュニティへの参加もオンラインでできる。そういったチャンスにたどり着けるかどうかは、結局自分次第です。
セキュリティを志望していない学生と話すと、だいたい「セキュリティって難しそうですね」「自分には無理だと思います」と漠然と捉えていることが多いのですが、そんなことはなくて、足を踏み入れてみると面白いこともたくさんあります。大切なことは自分でチャンスを見つけて、一歩踏み込んでみること。その一歩として、NRIセキュアの門を叩(たた)いてみませんか。
▼企業ページはこちら
※NRIセキュアの社員は、野村総合研究所(NRI)の「セキュリティスペシャリスト(NRIセキュアテクノロジーズ)」として採用されています。
野村総合研究所(NRI)
【ライター:タンクフル/撮影:赤司聡】
(Photo:Quardia/Shutterstock.com)
