セキュリティ人材がいないなんて大ウソ? ANAグループのCSIRT番長、阿部恭一氏の人材発掘、育成法(3/3 ページ)
セキュリティ人材の不足が叫ばれる中、ANAグループのCSIRTを率いる阿部恭一氏は、「それは大ウソ」と断言する。阿部氏がいう、社内に眠っているお宝人材とは?
訓練を通じてCSIRTの「パス回し」をスムーズに
ASY-CSIRTが回り出してから数年経つが、「やはり、人材育成をどうするか、次世代をどう作っていくかは、どの会社にとっても大きなテーマだと思っています」(阿部氏)
優秀な人材は、往々にして突然変異的に勝手に育った場合が多く、「同じような人を育成できるかというと難しい」と阿部氏。ただ、会社としてはそれでは困るので、阿部氏らが日本シーサート協議会(NCA)のワーキンググループで取り組んでいるのが「CSIRT人材の定義と確保」だ。「1人でできないならチームワークでやろう。同じキャラクターは作れなくても、同じようなミッションをこなす人を組み合わせて実現しよう」というものだ。
次の課題は、どうやってチームワークを錬成するかだが、阿部氏の答えは「訓練」に尽きるという。ASY-CSIRTではシナリオを作り、ファシリテーターを立てて繰り返し訓練を実施してきた。訓練を通じて本来の役割での動き方を確認するだけでなく、誰かが休んだときにレジリエンスを確保する目的で、本職以外の役割も割り当てて訓練してきたという。
すると、意外でポジティブな副作用が生まれてきた。自分のカウンターパートとして対面する相手の立場を経験することで、自分はどんなアウトプットを出さなければならないか、どういう伝え方をすべきかが分かったという。
「逆の立場に立つと、『お前の言っていることは分からないよ』『こういうふうに言ってくれないと、オレは動けないよ』ということが分かります。マルチな経験をすることで、自分が元の役割でどんな振る舞いをすべきかが分かるんですね。サッカーで言うと、普段球出しをしていて『何で球を取りにいかないんだよ』と思っている人が、フォワードになってみると『ここにパスが欲しい』っていうのが分かるようなものです。CSRITのパス回しってサッカーのパス回しと同じ。そのパス回しをどれだけ無駄なくできるようにするかが訓練の目的です」(阿部氏)
「人材不足」は大ウソ? 情シスは貴重な候補生
さらに、訓練を繰り返していくと、自社のCSIRTのプロセスの中で「うまくいっている部分」と「時間がかかる部分」が見えてくる。自然と、そこに装置を入れて自動化しようというニーズが内発的に生まれてくる。ベンダーから言われるがままに機器を導入するのとは正反対の姿だ。
「実はこれって、“システム開発のありよう”と何一つ変わるところはありません。業務を熟知している人間が、現状をこんなふうに変えたいと考え、ベンダーに提案を募るのがシステム開発です。CSIRTはそこまで熟練していないため、ニーズが出せないだけ。だから、日本のセキュリティ人材がいないっていうのは大ウソだと思うんです」(阿部氏)
もちろん、脆弱性診断やフォレンジック、専門的なセキュリティ監視といった特殊技術を持った人材も必要だ。だが、それが20数万人必要というわけではなく、アウトソーシングサービスで活用すればいい。コアな部分を担う人材に求められるのは、システム開発や運用に携わる人のスキルと何一つ変わらないという。
阿部氏自身、ANA入社以来システム開発畑を歩んできた経歴の持ち主だ。AIやCRMを活用したマーケティング、ビッグデータ解析など何かと新分野に携わり、2004年の個人情報保護法施行を機にセキュリティの世界に入った経験から、ポテンシャルがある人材が社内に眠っているだろうことを確信できるという。
「ITシステムの開発や企画、運用を経験している人材はとても大事。特に、運用での修羅場はとても貴重な経験で、インシデントハンドリングでもすぐに使えます。日本は運用技術が高いんですから、社内を見回せば候補生は山ほどいるはずです」(阿部氏)
関連記事
- 20人規模のCSIRTを持つリクルート、立ち上げ当初は「募集しても人が来なかった」?
- アクサ生命のCSIRT、“本気の”サイバー演習で見えた課題
- 世界200拠点を守るヤマハ発動機のCSIRT、体当たりで挑んだ「セキュリティガバナンス」
- ANAグループやJPCERT/CCが説くインシデントレスポンスの要諦
- 組織の内外で高まるセキュリティのリスクと脅威を乗り切る方法とは?
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.