「セキュリティがわからなければお客様に選んでもらえなくなる」リスキリングによる技術者の“プラスセキュリティ人材化”で DX 時代に躍進する SIer と SES

　本誌編集長上野もその創設に参画し、グローバルセキュリティエキスパート株式会社が提供しているセキュリティエンジニアの能力を客観評価する認定資格「セキュリスト（SecuriST）」が注目されている。

　2020 年 11 月から 2022 年 3 月までの 1 年 4 ヶ月で、受講者数が 2,000 名を突破、そこからさらに 1 年 2 ヶ月で 2,600 名が受講。開始から 2 年 7 ヶ月で（2023 年 5 月まで）受講者総数は合計で 4,600 名を超えた。

　いったいどこの誰が受講しているのか。気軽に受けられる安価な講座などでは、もちろんない。

　キャリアアップを図るために、とびきり意識の高い個人が受講しているのだろうか？ またはユーザー企業のセキュリティ担当者が学んでいるのか？

　取材を進めると、予想だにしなかった「第三の受講者」の姿が浮かび上がってきた。

　それは SIer や SES などの、システム開発や構築、その後の保守や運用を行う企業に在籍する、「これまではセキュリティ以外の領域で活躍してきた技術者たち」である。

　近年、SIer 等に業務を依頼するユーザー企業は（追加コストが発生することを了承しつつ）当然のようにサービスや納品物に対し、一定のセキュリティ水準を品質の一部として求めるようになった。

　対する SIer や SES も、自らが抱える技術者たちに、セキュリティ研修や教育などで「プラスセキュリティ人材」のエンジニアとして「リスキリング」を施すことによって、DX 時代に成長できる、目端の利く企業に変化しようとしている。

　「普通の SIer」から「セキュリティ人材を抱える SIer」に変貌できれば、既存顧客の満足度を向上させるばかりか、新たな仕事やクライアントを勝ち取ったり、案件の規模やエンジニアの単価を向上させたり等々、ビジネス的にメリットがあることに気づき始めたということだ。

　そして、当のエンジニア自身も、自分の市場価値を上げてくれる新しい領域について学ぶことを多くの場合歓迎する。

　つまり「顧客」「SIer」「SIer に在籍する技術者」三者のセキュリティに対する需要や事業戦略、利害が一致したことで、セキュリスト（SecuriST）の受講者数が伸び続けている。この記事の配信から数ヶ月も待たずして、累計受講者数は 5,000 名を超えるだろう。

　グローバルセキュリティエキスパート株式会社 CCO 兼コーポレートエバンジェリスト武藤 耕也（むとう こうや）氏によれば、2010 年代の後半頃までは、同社のセキュリティ教育コースの受講者には、個人が多かったという。

　つまり、セキュリティ企業等に在籍する（またはこれからセキュリティ業界に入りたいと思っている）「勉強熱心な個人」が、自身のさらなるセキュリティスキル向上のため、自分で申し込んで、料金を支払い受講するケースである。当時の GSX では、そうした受講者に人気の講座は(ISC)2 の CISSP や、EC-Council の CEH（Certified Ethical Hacker）、だったというから、なるほどと納得感がある。どちらも上級者向けだ。

　そして、そのあとに加わった主な受講者層のひとつが、企業内で CSIRT などを新たに設置し、インシデントレスポンス体制構築に積極的に取り組むユーザー企業らであった。彼らは、たとえば CEH などの受講で「攻撃者視点」を、CND などの受講で「セキュリティ運用と事故対応のスキル」を獲得することで、チームとメンバーの練度向上を行った。

　2020 年以降には、リモートワーク等の業務のデジタル化と、クラウドコンピューティングの急速な普及によって、セキュリティ脅威の存在や対策の必要性が、一般企業にとっても我が事として認識されるようになった。セキュリティと両輪になってこそはじめて DX（デジタルトランスフォーメーション）は実現できる。

「ある大手インテグレータ企業の取締役の方とお話していた時に『セキュリティがわからないと、もはやお客さんから選んでもらえなくなってきている』そうおっしゃるのを聞いたことがあります」武藤氏は、そんな印象的な言葉を口にした。

「『僕はｘｘ担当のエンジニアだからセキュリティのことはわかりません』そんなふうにはもう言えない時代になりつつあります。みんながセキュリティの専門家である必要はありませんが、その担当領域ごとに、押さえておかないとマズいところは出てきています」そうも武藤氏は語った。

「『セキュリティへの配慮よりも、とにかく早い納期で、なるべく安く Web アプリの開発をお願いしたい』そんな依頼をするユーザー企業さんも、それを受ける開発会社さんも徐々に少なくなりつつあるのかもしれません」これも武藤氏の言葉だ。

　さきほど挙げた CEH や CISSP など、高難易度資格のイメージから GSX のセキュリティ教育はハイエンド向けの印象が強いが、同社の教育研修コースのもうひとつの特徴がその網羅性である。

　標的型メール訓練の「トラップメール」や「eラーニング Mina Secure」などのユーザー向けの教育訓練にはじまり、「セキュリスト（SecuriST）」「EC-Council 公式トレーニング」「公式 CISSP CBK トレーニング」のほか、PCIDSS のペネトレーションテストの内製化トレーニングや、川口設計監修による MicroHardening Enterpriseまで、さまざまなメニューを提供している。

　ライトな教育からハードコアまで、対象や深度が異なるメニューを幅広くカバーするという点で国内に例がなく、同社が標榜する「セキュリティ教育カンパニー」という看板は伊達ではない。

　グローバルセキュリティエキスパート コンサルティング本部 教育事業部 事業部長 高崎 庸一（たかさき よういち）氏によれば、同社では常に顧客と市場の要望に応じて、新しい教育コンテンツを作る活動を精力的に続けているという。6 月にはセキュリスト（SecuriST）シリーズに、電子メールに関わるセキュリティを実効的に強化する新コースである「メール安全利用検定」および「認定メール安全管理士」をリリースしたばかりである。

　今回の取材でもうひとつ明らかになったのが、SIer や SES に限らず、ユーザー企業にまで広範に見られる、セキュリティ運用の組織体制成熟の兆しだという。近年、GSX の教育研修を受けた企業から次のような相談が寄せられることが増えてきた。

　それは、セキュリティ視点による社内の業務の棚卸と見える化である。具体的には、たとえば製造業であれば、それぞれの部門が持っているデータが何で、その情報のデータオーナーは誰で、それを運用管理している人はどの部署で、責任はどこにあるのか。そういった、情報資産や、部門ごとの役割分担、ステークホルダーの見える化を図りマッピングし、最終的に各部門や部署に必要なセキュリティ人材を割り当てていくという。教育によって育てたプラスセキュリティ人材が、支障なく業務を全うできる組織作り文化作りが進んでいると捉えることもできる。

　たとえば「売上を作るのは営業担当者の仕事であって自分は関係ない」そんなふうに間接業務部門の担当者が考えていたとしたら、少なくとも普通の事業会社であれば、その人物の存在が疑問視されかねない。

　反対に「経理業務は全て経理担当者の仕事」とでも言うかのように、見積から発注、納品・検収・請求といった処理やプロセスを全て乱暴に経理部に丸投げするような営業マンがいたとしたら、どれだけ太客と売上を持っていたとしても社内でリスペクトされることはまずない。

　しかし、大いに不思議なことなのだが、なぜかセキュリティだけは、長らく情報システム部門やセキュリティ担当者、CSIRT、セキュリティ企業やマネージドセキュリティサービス企業に丸投げしてすっかりお任せするという前提がついぞ疑われることがなかった。それが変わりつつある。

　企業にとっての売上目標や、あるいは労働安全衛生の目標のごとく、セキュリティが全社で共有する目標のひとつとして全員参加で取り組み、会社の価値を向上させ、そこで働く技術者の市場価値も上がり、顧客もエンドユーザーも笑顔になる。そんなサイクルが夢物語でもきれいごとでもなく、一部で既に始まっている。セキュリティ教育がそのきっかけになって。