デジタル人材の育成
公開日:2024年11月18日
最終更新日:2024年11月19日
株式会社コネクトワン代表取締役 吉田 晋 様
私は現在セキュリティ製品の開発とコンサルティングの会社を経営しています。
コンサルティングを始めたきっかけは、起業前に在籍していた自動車メーカーの研究所で学んだ、FTA (Fault Tree Analysis 故障の木解析:システムなどの故障や事故原因を分析する信頼性工学手法)がサイバーセキュリティ向けに応用できると思いついたからでした。半年ほどかけて構築したこのゼロトラスト FTA 理論は、独自の診断ツールによってシステムの脆弱性の発見や、発生リスクを数値化することが可能です。
それが理論的には正しいはずでも、実際の企業において使い物になるのかを確かめたく、知り合いの企業などにこの新しいツールで診断させて欲しいと話をもちかけても、相手にしてくれる企業はありませんでした。考えてみればセキュリティの診断とはその企業でも最も秘匿性の高い情報を扱うのだから当然だと思います。
「どうすれば診断させていただけるのか」と考え、たどり着いたのは、「情報処理安全確保支援士」の資格の取得でした。国家資格という信頼性によって、企業の方も脆弱性の診断に協力しやすくなるはずだと考えました。
資格取得後は、 狙いどおり数多くの企業に診断ができました。おかげさまで机上だけではわからなかった、現場の問題点なども数多くフィードバックをいただくことができました。企業のセキュリティ対策において、優先度の高い内容を数字で判断できる我が社の有益なツールとして成長することができました。また、この資格の存在が我が社の信用の大きな裏付けになったからだと考えています。
情報処理安全確保支援士試験の受験勉強で得たことは、自分の中のセキュリティに関する点の知識が線としてつながり、セキュリティの網羅的な視野を身につけられたことです。
これはクライアント企業に、セキュリティのプロとして情報提供する際には、非常に重要なポイントです。
試験の過去問題を数多く解く中で、これらの問題は基本的に実際のインシデントに近い事例ではないかと思えてきました。つまり問題を解く過程というのは、トラブルが起きている現場での対応という擬似的な体験でした。
これは、自分が情報処理安全確保支援士として社会に出て、自社や顧客企業のインシデントを診断する際に、「ここを見てくれよ、ここを見ないとだめだよ、ここにヒントがあるのだよ」と、セキュリティ診断の師匠から直接アドバイスをもらっているような感覚です。
この発見をしてから、今まで難しいと感じていた過去問題を解けるようになり、またこの経験は、今でも本当に役に立っています。
私は、普段からセキュリティ情報を収集してはいますが、どうしても分野が偏ってしまうのではないかという懸念がありました。その点で、資格取得後に受講したオンライン講習は、今社会で求められているセキュリティのトレンドを偏ることなく知ることができる機会として重要でした。これから受講する3年に1度の実践講習または特定講習は、実践的な学習としてすぐ役立つ知見を得られるので、その効果を今から期待しています。
情報処理安全確保支援士として企業の診断をする中で、企業のシステムの脆弱性は、企業の体質や現場のシステム管理者の負荷が大きく起因していることがわかってきました。つまりシステムの脆弱性とは必ずしも技術的な問題だけではないということです。
たとえば、システム担当者はただでさえ忙しいのに、さらに自分の負荷が増える作業は、避ける傾向があるかもしれません。しかし実は、セキュリティの穴は、システム管理者や経営者が気づいていない想定外の場所、たとえば部門間の隙間、前任者の引き継ぎ不足、ベンダーとの責任境界の曖昧さ、そのようなところに潜んでいるのです。単純にセキュリティツールを導入すれば解決するようなものではないことが大半であることが発見でした。
この資格を取得したいと考えている方々は、それぞれ自社のセキュリティに役立てたい、顧客に提供する IT サービスの中で新しい提案をしたいなど、目的は人それぞれでしょう。
ただ、 情報処理安全確保支援士として仕事をするには、国家資格の信頼感をベースに、サイバーセキュリティの課題に対し、親身になって寄り添うことが重要だと思います。
なぜなら企業のセキュリティとは、単純な技術論ではなく、担当者の方々の負荷や意思疎通などの組織の問題が占める割合が大きいからです。
この仕事は、目の前の人のために役立てる気持ちが何より大切です。そして、お客様にとって本当に重要なセキュリティ対策や運用を提案することができる、大変やり甲斐のある社会的に意義のある仕事だと実感しています。