[インタビュー] セキュリティ人材育成は日本だけの課題ではない、デロイトサイバーチーム日蘭対談

「3日目のハッキングゲームのときには成長して、積極的に心を開いて取り組んでいました。いろいろなことを模索、探索することは非常に重要なことですので、そうしたポジティブな変化を目にできたことはうれしい驚きでした。」

特集特集

2016年11月22日（火） 15時04分 PR

左から日本のデロイトシニアマネージャー白濱直哉氏、デロイトオランダ Hugo van den Toorn 氏、Joost Kremers 氏

Joost氏：
「バランスの取れる人」ですね。すべての技術の面を知っていながら、型にはまらない考え方ができて、また企業の中の仕事も理解している人だと思います。

Hugo氏：
セキュリティ、ハッキング、ビジネスをバランスよく理解している個人で形成された集団による、チームワークを実現することだと思います。どんな課題も一人ですべて解決することはできないからです。たとえば、私の長所はビジネスを分かっていることで、それをチームの他の人に教えてあげられることだと思っています。

白濱氏：
二人の言うようにバランスは重要で、そしてチームで力を合わせられることも不可欠だと考えています。攻撃者はチームを組んで、いろいろな分野にまたがって攻撃してきますから、守る側もチームで対抗することが必要になるわけです。私はいつも、チームを構成するメンバーに求められるのは探究心とパッションだと言っています。新しい技術や脅威について貪欲に調べられる向上心が強い人がチームのメンバーとしてふさわしいと思います。

●いい人材を育てるためのルール

――そんな人材を育てるために気をつけていることはありますか。

Joost氏
育つためには、とりわけコラボレーションの機会を設けることが重要だと思っています。評価したり、セキュリティテストをするときはチームで行います。チームのメンバーから知識を得ることができる人、チームプレイヤーになれる人、そのスキルは重要です。

Hugo氏：
探索し続ける姿勢を伝えたいと思っています。特にITセキュリティでは、学習は決してやまないものとして、常に学習する態度が求められます。まさにスティーブ・ジョブズの言葉のように「Stay Hungry, Stay Foolish」の精神です。

白濱氏：
教える側として、本質が何かを理解してもらうことを大切にしています。なぜやらなければならないのか、守らなければならないのか、それはテクニカルな話でも同じです。どういう仕組みで動いていて、どうして問題が起きるのか、それを忘れないよう、常に自分が何をしているのかを考えて理解して行動を起こさせることを心がけています。

●日本企業にセキュリティ人材「内製」の傾向

白濱氏：
最近、主に金融機関などで「セキュリティ人材は自社で育成しないと間に合わない」という意識が出てきました。「サイバーセキュリティの特にテクニカル面がわかる人材を、自社で研修を行って育てていく仕組を作って欲しい」という依頼が多くなり、いくつかはすでにサービス提供を開始しています。お客様自身で、いろいろなカリキュラムを作って、ハンズオンで実際にトライしていく仕組の構築です。

Hugo氏：
オランダでも同様に、社内で育成する仕組を作りたいというクライアントがいます。企業の成熟度が上がると、自分たちでチームを作るようになる傾向はあると思います。

●デロイトトーマツスタッフの海外連携とスキルアップ

――今回2人は、日本のデロイトトーマツのコンサルタントに向け、ソーシャルエンジニアリングの実技を含む RedTeaming Operation の講義も行ったそうですね。

Hugo氏：
丁寧で礼儀正しい文化を超えて成長したのは、東大の学生だけでなく、日本のデロイトトーマツのコンサルタントも同じです。

Joost氏：
オランダもそうですが、ソーシャルエンジニアリングやRedTeaming Operationはコンサルティングサービスとしては新しいものです。そういった新しいものをもっと学びたいという気持ちを、日本のコンサルタントからも強く感じました。

――白濱さんも講義を受けたそうですが、いかがでしたか。

白濱氏：
とてもおもしろかったです。ソーシャルエンジニアリングやフィジカルペネトレーションテストなどは、昔からやりたいと思っていたサービスです。

いろいろな障害があって日本では実現が難しかったのですが、最近はお客様の方からRedTeaming Operationについてお問い合わせをいただいています。敏感なお客様は、海外でやっていることを聞いて、すでに知っているんですね。

2日目の実技では、実際に研修が行われたビル（編集部註：主要駅至近所在のICカード認証のセキュリティゲートを備えたビル）でRedTeaming Operationを実施しました。IDカードなどを持たずに、ビルや部屋に入るというもので、3人ずつのチームで目的を設定し、それを達成するためのプランニングをして、ストーリーを考えます。そして実際に、受付の人に別人の名前を言ってカードを借りたりしてゲートの通過を目指します。その様子は、ビデオ通話をオンにしたスマートフォンを胸ポケットに入れて、別室で全員でモニタしていました。

Hugo氏：
今回はオランダでしたが、日本が世界のコンサルタントとコラボレーションできることはデロイトのグローバルな強みの証になると思います。

●デロイトトーマツが東大と組む理由

――今回の東京大学との取り組みはデロイトトーマツリスクサービス株式会社にとってどんな目的と意義があったのでしょうか。