1. 情報セキュリティブログ ホーム
  2. ITスペシャリストに聞く
  3. 10周年記念企画 特別対談(後編)~セキュリティが正当に評価され、ブランドの差別化ポイントになっていくように~

10周年記念企画 特別対談(後編)~セキュリティが正当に評価され、ブランドの差別化ポイントになっていくように~(1/2)

前編中編に引き続き、当ブログ10周年を記念した特別対談をお送りします。この後編では、「セキュリティ業界の今後」や「個人のマインドアップ」をテーマに、引き続き、白熱の対談は続きます。

対談風景

辻 伸弘氏(写真右)

ソフトバンク・テクノロジー株式会社
シニアセキュリティエバンジェリスト
セキュリティ技術者として、情報システムの弱点を洗い出し修正方法を助言するペネトレーションテスト(侵入テスト)などに従事。また、自宅では、趣味としてのハニーポットの運用、IDSによる監視などを行う。
現在は、主に攻撃視点を意識しつつ情報セキュリティに関する調査や分析を行い、講演や執筆活動も精力的にこなすなど情報発信を続けている。 Twitter IDは@ntsuji

徳丸 浩氏(写真中央)

HASHコンサルティング株式会社代表
脆弱性診断やコンサルティング業務のかたわら、SNSや勉強会、インタビュー等で幅広く啓蒙活動を行っている。自著が海外語訳されているほか、専門書やWEBコンテンツ等の監修依頼も多数。情報セキュリティブログのコンテンツにも関わりが深い。2015年 イー・ガーディアングループに参画し、活動の幅を広げている。2015年10月には新著『徳丸浩のWebセキュリティ教室』(日経BP社)を刊行。Twitter IDは@ockeghem

小川 清司(写真左)

日立ソリューションズ株式会社
セキュリティソリューション本部
セキュリティソリューション第1部担当部長

"スーパーマン"の育成よりも、チームでカバーできるような体制や評価の仕組みが大事

★では、次に「セキュリティ業界の今後」というテーマに移らせていただきます。セキュリティの専門家に限らず、企業のセキュリティ担当者やIT担当者は今、こんな人材が求められているという観点でお感じになることをお聞かせください。

徳丸:なかなか分野が広範にわたるので、一言で言い表すのは難しいです。私はソフトウェアセキュリティの専門家ですが、一般企業では、ネットワークの管理、運用や、ITシステムの企画、開発、運用を担当する中で、セキュリティの分野も担当する人材ということになると思います。

仕事を通じてクライアント企業の情シス部門の担当者や、開発部門の品質管理担当者とやり取りする機会がありますが、この人はすごいなと思う人というのは、総じてコミュニケーション能力が高いです。

★コミュニケーション能力というのは、もう少し噛み砕くとどのようなものと言えるでしょうか?

徳丸:コミュニケーション能力というのは、あうんの呼吸が伝わるというような非言語コミュニケーションに長けた人というイメージがありますが、そうではなくて、相手のことを理解して、言語として明確に言いたいことが伝えられることがセキュリティでは特に大事です。

また、求められる人材像というと、どうしても個人の能力にフォーカスした話になりますが、実は、セキュリティの仕事は、チーム全体でカバーしていくことが大事だという考えも持っています。セキュリティの担当者というのは社内で嫌われ役になることが多いです。必要なことなので、嫌われても言わないといけない場面もあります。もちろん、セキュリティのスペシャリストは必要だと思いますが、そういう難しい立場、役回りを特定の人だけに押しつけるのではなく、広く担当がカバーできるような体制、担当者が困ったときに上層部が後ろ盾になってくれるような評価の仕組みも一緒に考えていくべきです。

徳丸 浩氏

:コミュニケーションで気をつけているのは、相手がこちらの言っていることを理解しないと、伝えたことにはならないということです。セキュリティというのは、100%の安全というのはありません。だからこそ100%に近づけていく努力が必要なのですが、一方で、利用部門が不便になってしまっては元も子もありません。

そのあたりは、受け取り側によって反応が違うので、例えば、対策についても、安全度に応じて、いくつか選択肢を示すようにしています。ここで大事なのは「安全」と「安心」は違うということです。対策の安全度が高いからといって、必ずしも相手が安心するとは限りません。この対策によって、相手はどれだけ安心できるか、どう感じるかを考えながら話すようにしています。

その意味で、セキュリティの専門家、担当者として求められる要素というのは、自分が考えるセキュリティの理想像、安全のレベルを100%に近づける対策を正義と考えてしまって、それを他人に押しつけるような、バランスの悪い考えをしないということになります。

経営者には色々な事情や経営判断があります。相手の事情を汲んで、言わないといけないことは言いつつも、現状どこまでなら許容できるかという落としどころを見出せる人材が必要だと強く感じます。

★小川さんは普段、お客様にセキュリティソリューションを提案する立場だと思いますが、そこでお感じになることはありますか?

小川:お客様の業種によって意識に違いがありますし、業務や運用状況も異なります。それぞれのお客様に求められるレベルに応じて、どこまでの対策をすれば何を守れるかというのを意識しながら対応しています。セキュリティベンダーとしては、製品やソリューションを購入いただくのはありがたいですが、本当に運用可能かどうか、管理者側の負荷を軽減し、使う人の使い勝手がよくなるような提案、エンジニアリングが求められています。

やはり、お客様ときちんとコミュニケーションを取って、業務や運用状況を把握することや、ときにはオフィスのデスクの状況や作業環境を観察したり、当社の各業種担当のアカウント部隊と情報交換したりして、お客様の風土や文化のようなものを把握することが大事だと感じます。

関連キーワード:
  • IPAが「ばらまき型メール」の手口や対策のポイントを呼びかけ
  • カテゴリートップへ
  • Androidアプリの脆弱性状況を分析した「Androidアプリ脆弱性調査レポート」を公開