東芝ITサービス 三人の“平熱”サイバーセキュリティプロフェッショナル ～ EC-Council 活用事例

　本誌読者の方なら、DEF CON や Black Hat USA などの国際的なセキュリティカンファレンスを創設したジェフ・モス氏名義の「DEF CON 開催中止：公開書簡（DEF CON Cancellation: An Open Letter）」と名付けられた HTML 文書を目にしたことがあるかもしれない。

　同ページのソースに記載されている通り、ユーモアやジョークの類いとして公開されてきた文書だが、2020 年には皮肉にもコロナ禍によってこの公開書簡が現実のものとなるという事態も出来（しゅったい）した。

　書簡の中でジェフ・モス氏（DT：Dark Tangent）は、「我々はポストハッカーの世界にいる」と前置きした上で、成熟した大人としてプロフェッショナルの仲間入りをするようコミュニティに対して呼びかけている。

　そして「プロフェッショナルにはプロフェッショナルの資格がある」として、適切なセキュリティ資格として挙げたのが ISC2 や SANS 、そして今回の取材のテーマとなった EC-Council だった。ユーモアとはいえ、読む者を信じさせるために力を注いだ文章だ。ここで挙げられた資格がいずれも大きい影響力を持つと作成者が評価していると推定することができる。

　EC-Council は、9.11 同時多発テロを受け、電子商取引へのサイバー攻撃からシステムとユーザーを守る、専門家を育成することを目的として、アメリカで 2001 年に設立された。2003 年には最初の認定資格である CEH（Certified Ethical Hacker：認定ホワイトハッカー）の提供を開始。その後 20 年間で 150 カ国、のべ計 30 万人のプロフェッショナルを育てた。受講者の中には FBI やアメリカ国防総省など錚々たる組織や企業が多数含まれる。

　日本では 2016 年からグローバルセキュリティエキスパート株式会社が総販売元となって提供を開始。現在日本語で受講可能な EC-Council の研修は 9 コースある。

　基礎的なスキルを身につける CCT（Certified CyberSecurity Technician：認定サイバーセキュリティ技術者）にはじまり、ネットワークセキュリティに特化した CND（Certified Network Defender：認定ネットワークディフェンダー）、SOC アナリストを養成する CSA（Certified SOC Analyst：認定SOCアナリスト）、変わらぬ人気を誇る CEH とその上位資格 CEH MASTER など、初級から上級、そしてさらなる高みへと、幅広いコースを提供している。

　この EC-Council を活用し、技術者に積極的かつ継続的にセキュリティ教育を行うことで、自社のエンジニアをプラスセキュリティ人材へとリスキリングを図るのが、今回取材した東芝ITサービス株式会社である。

　取材協力を得たのは、同社 人財開発担当 主幹の金田 明宏 氏と、セキュリティビジネス推進担当 グループ長の佐々木 尚仁 氏、そして同社が誇る三名の技術者たちである。

　東芝ITサービス株式会社（https://www.it-serve.co.jp/）
　サービス商品・技術開発部
　営業技術・人財開発担当 主幹
　金田 明宏 氏

　サポート&ソリューション統括部 ソリューション推進部
　セキュリティビジネス推進担当 グループ長
　佐々木 尚仁 氏

　同推進部 セキュリティビジネス推進担当 主任
　平林 康博 氏

　同推進部 セキュリティビジネス推進担当
　齋藤 渉 氏

　同推進部 セキュリティビジネス推進担当
　杉原 大和 氏

--

●汎用機の時代から技術者教育 60 年の歴史

　東芝ITサービス株式会社は、前身となる東芝エンジニアリング株式会社まで遡れば、60 年以上のコンピュータ保守等のサービスの歴史を持つ企業である。設立当初から、汎用機などのコンピュータを保守するフィールドエンジニアの能力開発に、体系的かつ継続的に投資を行ってきた伝統を持つ。

　技術者をかけがえのない財産とみなして教育を行う企業風土を如実に物語るのが、同社の組織体制だ。人財開発という組織が、人事部とは別個に存在するのだ。給与テーブルや等級などの人事総務的世界観とは別に、技術者の成長のために人財開発は存在しており、顧客の課題解決や市場が求める事業創出につながるスキルアップを目的とした部門である。

　「セキュリティ ライフサイクル ソリューション」をコンセプトとして、同社が提供するマネージド セキュリティサービスのコアとなるのが、24 時間 365 日体制の SOC である。東芝ITサービスでは、SOC 事業の「設計」「監視」「対応」「評価」など各機能と、それに紐付く業務群に対して、「オペレーター」「アナリスト」「シニアアナリスト」「管理責任者」の 4 段階の役割をマトリックス上に整理、それぞれのマス目ごとに EC-Council 等の資格や研修・教育を割り当てている。

　つまり、中長期的に戦略的重要事業とみなすマネージド セキュリティサービスの事業戦略と、そこで必要とされるスキルや人材像、果たすべき役割、そしてそれに対応する教育や研修が整理され体系化されているのだ。

　サイバーセキュリティ経営ガイドラインなどで、セキュリティ対策や管理の必要性がようやっと理解されつつある現在において、東芝ITサービスのこの取り組みは、導入や運用や保守を行う IT インテグレーターとしては、二歩も三歩も先をゆく先見性がある。

●導入の決め手は、体系化された知識と実践環境

　そんな東芝ITサービスが EC-Council を採用した理由として、人財開発主幹の金田氏が挙げたのは「幅広い知識が体系化されていること」「知識として理解したことを“手につける”ための実践環境の存在」の二つだった。

　金田氏によれば、近年、静かに長期間潜伏するタイプのサイバー攻撃や脅威が増えており、顧客が自身では容易に気づくことができないそうした脅威を、東芝ITサービスの技術者が「違和感」として察知できる力を獲得することに EC-Council の教育研修は役に立つという。

　また、セキュリティビジネス推進担当グループ長の佐々木氏は、近年 CEH（Certified Ethical Hacker：認定ホワイトハッカー）の資格を保有する顧客が増えており、セキュリティの運用や管理の現場で（CEH 等の EC-Council の資格が）もはや「共通言語」となった感がある、と語った。

　ここで、EC-Council を実際に受講した技術者三名の方の声を掲載しておきたい。

　金田氏はインタビューで「セキュリティが最初から好きな技術者は東芝ITサービスには少ない」と口にした。なぜなら、セキュリティに主たる興味を持つエンジニア志望者の多くは、最初からセキュリティ専業企業への就職を志すからだ。

　金田氏のコメントの通り、今回話を聞いた三名それぞれは、スタート地点として別の技術領域があり、何らかのきっかけからセキュリティに関心を持ち、自己研鑽を積み、EC-Council 等の資格を取得し、セキュリティ人材へと変貌と成長を遂げた。

　実は、今回の取材で一番ワクワクしたのが、この三名のお話であったことを告白しておく。セキュリティという領域での仕事のやりがいや面白さが、最初からセキュリティ専門家としてキャリアを形成してきた人物とは異なる新鮮な言葉で表現されていたからだ。

●一番難しいのは「自分の手を動かして覚える」こと ～ 平林 康博 氏

　セキュリティビジネス推進担当 主任の平林 康博 氏は、個人情報保護法が制定された翌年 2004 年入社した。セキュリティがネットワークやシステム運用の課題のひとつとしてハッキリ認識され始めた時期である。平林氏は、顧客のもとで発生する様々なセキュリティ事案を、自ら情報を収集し、新しい技術をキャッチアップすることで次々と解決し、ひとつひとつノウハウと知見を積み重ねたという。

　セキュリティの一番難しいところは？ という問いに「自分の手を動かして覚えなければならないところ」と語った平林氏にとって、EC-Council が提供するハッキングの実践環境「iLabs」は非常に役立ったという。

　また平林氏は、セキュリティの仕事のやりがいとは、という質問に対して「やればやるだけ結果がついてくること」と答えてくれた。これは逆方向に考えることだってできたはずで、たいしたガッツだと思う。セキュリティの研鑽が技術者としての成長のエンジンの一つになっていることがこの言葉から伺えた。

●「きりがない」のがセキュリティの仕事のやりがい ～ 齋藤 渉 氏

　セキュリティビジネス推進担当の齋藤 渉 氏は、入社後 Linux や Unix、Solaris などの OS の保守から技術者としてのキャリアをスタートさせた。やがて OS 保守業務から派生し、ネットワークとセキュリティに関する知識を求め情報収集をはじめる。TryHackMe などのセキュリティ技術をオンラインで学ぶサイトを利用していた時期もあったそうだ。

　齋藤氏にセキュリティ業務のやりがいを問うと「やってもやってもきりがなく、どこまでやれているかわからないのが楽しみ」という答えが返ってきた。そのこころは、たとえば障害対応のような業務は、ほとんどの場合その回答は一つしか存在しないが、セキュリティはそうではないという意味だという。「OS の保守が穴を埋めていく仕事なら、セキュリティは見つかった穴を掘っていく仕事」という齋藤氏の言葉は含蓄に富んでいた。

　EC-Council のもうひとつの大きいメリットとして齋藤氏が強調したのは、NIST（米国立標準技術研究所）など、どういうドキュメントやガイドラインに基づいて知識ができあがっているのかについて、きちんと源流にまでさかのぼって EC-Council の講師が教えてくれるため、顧客に説明するときの説得力がまるで違うということだった。

●見たいのは「普通の顔」 ～ 杉原 大和 氏

　三人目の杉原 大和 氏は、2011年に入社し、顧客の IT システム運用業務からキャリアをスタートさせた。初期は「メールが届かない」等のトラブルに対応していたが、ほどなくして届かないではなく、「怪しいメールが届いた」等々、必然的にセキュリティに関わっていくことになった。そしてそれは、東芝ITサービスがセキュリティ教育により一層力を入れ始めた時期と一致してもいた。

　杉原氏がセキュリティの仕事のやりがいとして挙げてくれたのは、攻撃を受けたりセキュリティ上の心配事があって不安に曇った顧客の顔が「普通の顔」「普通の表情」に戻るのを見ることだという。何よりの喜びだそうだ。

　杉原氏は CEH（Certified Ethical Hacker：認定ホワイトハッカー）の次に、CHFI（Computer Hacking Forensic Investigator）というデジタルフォレンジックの講座も受講している。その経緯を詳しくは聞けなかったが、攻撃プロセスを解明し、被害範囲を特定することで、顧客が安全宣言を行う、すなわち「普通に戻る」支援をしたいという強い願いの表れのように感じた。

●ふたたび「プロフェッショナル」とは

　実は記者は、セキュリティの仕事に携わる人物や経営者に取材し、これまで少なくない回数「顧客の笑顔が仕事の目標」といった趣旨の発言を何度も聞いてきた（というより、そう言わない人などいない無難な一般論だ）。だから杉原氏の言葉も、くり返し聞いた既視感のある発言に最初は思えた。だが、不思議に心動かされる言葉として取材時に耳に聞こえたし、こうして原稿にまとめていても、何かハートが伝わった実感が今も消えずに残っている。

　多くの海千山千の社長や場数を踏んだ広報の人たちの言葉と、この若者の言葉、いったい何が違ったのか？

　じっくり考えてみたのだが、それは「不安の顔から『普通』の顔」というところにあったのではないかと思う。つまり「不安の顔から笑顔」ではないところが肝なのだ。喜びという感情の共有がゴールではなく、あくまでも秩序回復のパートの作業のみを技術者として淡々と行い、それが終わったら（ふり返りもせず）無表情に去るのが俺の仕事、と考えてでもいるかのようなプロフェッショナルの姿をそこに見たように思えた。

　杉原氏も齋藤氏も平林氏も、いずれも本誌がよく取材するような「よだれを垂らすほどセキュリティが好き」「水をかけるとジューッと音を立てて蒸発するほどセキュリティ熱を持つ」ような人たちでは、決してない。だから、たとえその能力があったとしても、DEF CON CTF に参加したり、プライベートの時間を使ってまで脆弱性を見つけて JVN に報告したり、GAFA から報奨金を受け取ったりなどしないのではないかと思う。あくまで興味は顧客の課題解決にあるのだ。

　冒頭で挙げたジェフ・モス氏が仕込んだインターネットミームに書かれていた「成熟した大人」「セキュリティプロフェッショナル」とは、案外この三名のような「セキュリティに対してあくまで平熱」の技術者が含まれるのではないか。そう思った。

●セキュリティが「標準語」になる日

　金田氏は、東芝ITサービスが管理・運用する案件で「セキュリティが絡まないものは、ここ数年 1 件も無い」とした上で「いずれサイバーセキュリティが一般的なビジネスパーソンや社会人の標準語になるだろう」と語った。

　つまり、スーパーハッカーや一部の専門家、および技術者による特殊な領域ではなく、誰もが基礎や必要な各論を理解し、情報をやり取りしたり会話をする、そういう領域になるという考えである。確かに、そうならなければ、そもそもビジネスの DX 化など危なくて進められないことだろう。

　たとえば、売上から原材料費などの原価を差し引いた金額が粗利であり、そこから人件費等を引いたものが営業利益になる。このくらい、ビジネスパーソンなら誰でも理解しているという点で、近代会計や複式簿記の基礎的知識は、ある程度ビジネスの標準語になっていると言える。

　セキュリティに関してもこれから同様のことが起こるし、それを進めていくのは、EC-Council 他のセキュリティ教育であり、それによって成長を遂げた技術者たちによる現場での活躍やコミュニケーションだろう。そう考えたとき、東芝ITサービスの事例は、ユーザー企業だけでなく、SIer や SES 事業者にとっても大いに学ぶべきところがあるかもしれない。