[広告企画] → 求人応募 世界で通用するセキュリティ・エンジニアになれる人の特徴とは? 〜 国際的に活躍する日本人セキュリティ・エンジニアの共通点 〜 その資質と環境、insi社 佐藤 英明 代表取締役社長に聞く セキュリティビジネスは世界的に高度成長を続けている。しかし、世界を舞台に活躍する日本人のセキュリティ・エンジニアはほとんどいないのが現状だ。 そこで、Scanでは、現在、情報セキュリティ監査・Web監査業務を行うセキュリティ・エンジニアの人材募集を行う、インターナショナル・ネットワーク・セキュリティ株式会社(insi社)の代表取締役社長 佐藤英明さんに、国際的に活躍するセキュリティ技術者を育てる条件をインタビューした。 insi社が、世界的に希有な“サイバーテロ監査”や、中央省庁の電子認証局の全てのサーバを1日でクラックする等の、深く高度なセキュリティ監査を提供すると同時に、ISMSやPマークの普及に大きく関与していることは知る人ぞ知る事実である。 一方同社は社会貢献活動にも力を入れており、多くの関係省庁の後援・協力のもと、NPO法人「セキュアなデジタル社会を推進する会」の設立をサポート、本年9月には国連大学でシンポジウムを開催、“重要インフラ防御”や“個人情報保護“、“お財布ケータイのセキュリティ”等の研究発表を精力的に行い、セキュリティの社会基盤標準化にも尽力している。 現在同社は2年後の株式上場を視野に入れ、事業活動を加速させているという。 一流のセキュリティ・エンジニアになれる人間に共通する資質とは 〜 実地のエクササイズ 編集部:では最初から、今日のインタビューの本題である、「どんな人がセキュリティ・エンジニアの世界で一流になれるのか」「その共通点と資質」についてお聞かせ下さい。 佐藤(敬称略):とても簡単な資質です。一流になる人は自分で勉強する人です。特別な方法や、王道はありません。自分で勉強する人というのは、自分がセキュリティの専門家になることを強く熱望している人です。 編集部:セキュリティの業務で一口に勉強といっても、色々あると思います。例えば本を読んだり、言語を学んだり、講座に通ったり。具体的には勉強とはどんなことですか? 佐藤:現場や実地で、自分で色々試してみること、つまり、どれだけ多くの経験を真剣に積んだかということです。セキュリティ業界ですからあまり具体的な言明は控えさせていただきますが、たくさんの“エクササイズ”をした人が成長していきます。 国際的ハッカー phiber opticsd 氏との出会いを語る、佐藤社長 世界的ハッカーとの出会い 〜 中央省庁のCAサーバを1日でクラック 編集部:佐藤さんはこれまでに「こいつは凄い」「超一流だ」といえるセキュリティ・エンジニアに会ったことがありますか? 佐藤:1997年に、insi社を創業した頃、当時国際的に著名だったハッカー、phiber opticsd氏に当社の業務を手伝ってもらったことがありますし、その後もChris Goggans 氏等多くの卓越した技術者に手伝ってもらっています。彼らと一緒に仕事をして共通に言えることは、本当に際だった頭のキレと豊富な経験と技術を持っていることで、これはその天分の資質もさることながら自分の資質を信じ本当に熱心に勉強している所から生まれている気がします。実際に、中央省庁の電子認証局の全てのサーバを1日でクラックしたり、お財布ケータイをクラックしたり等々、数々の“ミラクル”を実現しています。 日本のセキュリティ・エンジニアのレベルを上げるには 〜 早ければ早いほど良い 編集部:そういうChris Goggans 氏のような、セキュリティの現場のリーダーとして国際的に活躍する技術者が、日本にあまり多くいない理由はなんでしょうか? 佐藤:理由は単純なことです。例えば、世界的に活躍するアスリートのほとんどは、子供の頃からその競技を始めています。要は小さい頃から、具体的には10代の初期から取り組まないからです。大半の日本のセキュリティ・エンジニアのスタート地点は、ほとんどの場合大学入学後、下手をすると大学を卒業して以降の時期です。これでは、たとえどんな才能があっても自分の力だけでは大きく成長することはできません。 編集部:ということは、その阻害要因をクリアすれば、日本でも国際的に活躍できるセキュリティ・エンジニアはどんどん育つという考えですか? 佐藤:もちろん。当然育つでしょう。 たまに、20代後半から始めて世界的に結構高いレベルまで行く人がいますが、それは良い環境に身を置いて積極的に勉強している人達です。つまり、周りに卓越した優秀なハッカーやセキュリティ技術者がいて色々と分からないことを教えてくれたり、自分と同レベルの人達と同じ職場で働き競い合いながら積極的に勉強できる環境に身を置く事で、飛躍的にスキルが伸びることがままあります。 当社もそんな優れた環境を持っています。 編集部:国家や行政による教育制度も重要だと思いますか? 佐藤:教育も重要だとは思いますが、特定の個人が、一流に育っていくか、凡百のエンジニアのまま終わるかを左右するのは、やはり最初に申し上げた「自分で勉強する人」かどうかにかかっていると思います。なぜなら、教育や研修は受け身のものだからです。受け身の姿勢でいる人間が、成長することは決してありえないと思います。 普通のエンジニアをセキュリティ専門家に育てるinsi社の教育と環境とは 〜 深さと国際性 編集部:現在insi社では、株式上場も視野に入れて、人材募集を行っているそうですが、ごく普通のセキュリティ・エンジニアが、セキュリティ専門家に育っていくという、insi社の教育と環境について聞かせて下さい。 佐藤:insi社の際だった点は、二つあります。 まず一つ目は、他のセキュリティ監査企業と大きく異なる統合セキュリティ監査を始めとする「深いセキュリティ監査」を提供していることです。通常のセキュリティ監査は、スキャナを使って判明した問題点だけアタックを掛けてみる“疑似アタック監査”で行われることが多いのですが、スキャナはベンダが未対応の最新の脆弱性を反映していませんし、insi社が提供する人間が頭を使って変数を変えてみたり弱いサーバーを伝って奥に侵入する様なハンズ・オンな監査とは大変な技術格差があります。 insi社は、日本で唯一サイバーテロ監査を提供出来る会社です。サイバーテロ監査に関しても、先進国である米国の政府中枢及びその周辺と情報交換をする中で、最先端で深い監査を提供できています。その他にも、先端のジャンルとして、お財布ケータイ等のハードやアプリの脆弱性の監査等も行っています。 「一流になる人は自分で勉強する人です。」 国際的なセキュリティ専門家と一緒に働ける現場 佐藤:二つ目の当社の特徴は、当社の人材環境が挙げられるでしょう。 insi社で行うインテリジェントな監査を行える人材は、日本国内には数少ないため、世界各国のセキュリティ・エンジニア、国際的なハッカーを日本にお招きして、チームを編成することが通例です。このような、世界の第一線で活躍するセキュリティの専門家たちと、同じ事務所にいて、一緒に仕事をしていれば、誰もが大きな刺激を受けるようです。 そして、一度一緒にプロジェクトを行えば、その後も国際レベルのセキュリティ専門家との交流は続きます。セキュリティ業界に良質なコネクションを確保することもできるのです。 セキュリティ・エンジニア募集要項 → 求人に応募する(SSL対応) 【職種】セキュリティ・エンジニア → 求人に応募する(SSL対応) 【会社名称】インターナショナル・ネットワーク・セキュリティ株式会社 http://www.insi.co.jp 【所 在 地】〒160-0022東京都新宿区新宿1-16-10 コスモス御苑ビル 【企業紹介】業界トップの技術水準を誇る情報セキュリティの総合コンサルティング会社です。特に、個人情報保護対策コンサルでは、"専業最大手"として、上場を目指して上昇中。 【業務内容】 ・顧客の情報システム(インターネット関連、社内システム)に対するセキュリティ監査業務 ・サーバやネットワーク製品のセキュリティ上の問題抽出と改善案の提示 ・Webアプリケーションの解析・セキュリティ上の問題抽出と改善提案 【就業場所】本社内 【年齢】20歳〜30歳位 【募集人数】3〜5名 【必要実務経験】(以下の一つ以上について、2年程度の実務経験) ・サーバやネットワーク・ソフトウェアのセキュリティ検査経験 ・ネットワーク・システムの設計・構築及び障害解析経験 ・TCP/IPネットワーク・ソフトウェアの開発経験 ・Webアプリケーション(C/C++,java,php,perl,XML他)開発経験 ・Oracle,DB2,SQL-Server等のDB設計,DBアプリケーション開発経験 *若い人は、それなりのユーザ経験と熱意のみでも、審査対象とします→ 求人応募 【必要スキル】(以下の複数について、実務経験を伴なう知識・スキル) ・情報セキュリティ全般に関する基礎知識 ・TCP/IPネットワークに関する知識、パケット解析技術 ・Web〜DBMS連携システムに関する技術知識 ・基礎的な英語力(英文資料やWebコンテンツの解読,英語でのeメール) *若い人は、それなりのユーザ経験と熱意のみでも、審査対象とします→ 求人応募 【想定年収】350万〜750万円(年棒制、前職,能力,経験などを考慮し決定) 【勤務条件】完全週休2日制,年間休日119日 勤務時間8時40分〜17時40分(フレックス制有) 各種保険完備 【問い合わせ】 管理本部 採用担当 E-mail:rec@insi.co.jp 電話: 03-5366-5083/FAX: 03-5366-5084 ※すぐに勤務できないという方も、求人応募ページからエンジニア登録をしてください → 求人に応募する(SSL対応)
