「未経験」から4年でチームを統率 最前線で戦う“セキュリティ女子”が後進に伝えたいこと:【特集】Transborder 〜デジタル変革の旗手たち〜(3/3 ページ)
リクルートグループのセキュリティ集団「Recruit-CSIRT」で、商用監視チームを率いる安東美穂さん。エンジニア未経験でチームに飛び込んだ経験から、後進に送るアドバイスとは。
今からセキュリティのスキルを上げたい読者へ、伝えたいこと
社内の支援体制もあり、安東さんは最近「RSA Conference」や「FIRST」といった海外のカンファレンスにも積極的に参加し、情報収集や交換に務めているそうだ。「セキュリティという情報の性質上、他の企業の方と腹を割って正直に話せるケースはなかなかありませんが、海外では文化の違いもあってか、ざっくばらんにコミュニケーションを取り、国内では手に入れにくい、新しい情報を得られます」(安東さん)
そんな風に参加したカンファレンスの一つが、ラスベガスで開催されたAWSの年次カンファレンス「re:Invent」だ。安東さんはここで開催される名物イベント「AWS Security Jam」を社内に持ち帰り、先日実施したばかりだと言う。
「セキュリティの専門家だけでなくインフラエンジニアにも参加してほしいと考え、企画しました。セキュリティの人からすると『クラウドってよく分からない』という漠然とした思いがありますし、インフラエンジニアはAWSは熟知していても『セキュリティは……うーん、できれば触れたくない』となりがちです。そのギャップを埋める場にできるといいなと思いました」(安東さん)
背景には、セキュリティだけに絞ってしまうと視野が狭まってしまうのではないかという、自身の経験を踏まえた思いがある。
「ただ『セキュリティのスキルを上げよう』とだけ考えても難しいと思います。なぜなら、セキュリティは総合格闘技で、いろいろな分野があるからです。私の場合は、オペレーションやサーバという自分の強みを一つのきっかけにしてセキュリティや他の技術に興味を持ち、総合力を上げてきました」(安東さん)
この先、もしセキュリティに関するスキルを上げたいならば「アプリエンジニアならアプリというキーワードから、またデータベースならばそのトレーニングを重ねていく中で、セキュリティというキーワードに着目しながら横に広げていく方がいいのではないでしょうか。セキュリティというと一つの専門分野というイメージが私にもありましたが、実際には一つのキーワードだと思います」と安東さんは話す。
だからこそ、これからも監視とセキュリティ、それにクラウドといったキーワードを切り口に、業務を通じてエンジニアとしての底上げに取り組んでいきたいという。
リクルートテクノロジーズが向き合うビジネス環境自体、クラウドシフトをはじめとする大きな変化の中にあり、安東さんも「監視だけでなく、クラウド関連の環境でセキュリティ監視を行うときの解決やアーキテクチャ作りをお手伝いする業務が増えている」という。まだまだやるべきことは多いが「クラウドの柔軟さと便利さとセキュリティとの調整が必要な部分もあり、すぐにはうまくいかないことも多いです。けれど、うまくはいかないところが面白い」と安東さん。これからもチャレンジを続けていく。
関連記事
- 20人規模のCSIRTを持つリクルート、立ち上げ当初は「募集しても人が来なかった」?
セキュリティエンジニアの不足が叫ばれる中、インシデントレスポンスだけでなく、脆弱性検査やフォレンジックなど、さまざまな一芸を持つ人材を集め、自社を超えて、セキュリティコミュニティー全体にも貢献しているRecruit-CSIRT。しかし、立ち上げ当初は「募集をしても全く人が来なかった」という。 - 不正アクセスを受けた大阪大学が模索する、新しい「CSIRT」の在り方(後編)
2017年に発生した不正アクセスの再発防止に向け、着実に歩みを進める大阪大学。その先には、大学という多様性に満ちた組織における、新たなガバナンス、そしてCSIRTの在り方を模索、研究するという目標がある。 - セキュリティ人材がいないなんて大ウソ? ANAグループのCSIRT番長、阿部恭一氏の人材発掘、育成法
セキュリティ人材の不足が叫ばれる中、ANAグループのCSIRTを率いる阿部恭一氏は、「それは大ウソ」と断言する。阿部氏がいう、社内に眠っているお宝人材とは? - インシデントの芽をつぶせ 脆弱性診断のプロが語る、企業セキュリティの“よくある盲点”とは
さまざまな企業の脆弱性診断を重ね、現在はさくらインターネットのCSIRTも運営するゲヒルン。創業者の石森氏が、インシデントの被害抑止に役立つ企業セキュリティの“盲点”をどう見つけてきたかを語った。 - 「え、ウチのCSIRTってレベル低すぎ……?」を確認する方法
CSIRTのミッションは何か、どういった業務を行うのか、どんな役割の人間やスキルが必要になるのか――こういったCSIRTの基本から、立ち上げたCSIRTの成熟度を評価する方法をANAシステムズの阿部氏が解説。読者の皆さんも試してみては?
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.