若手セキュリティ人材に知らせたい、「ちゃんと守れた」を伝える訴求力 「問題が起きない＝評価されない」にしない考え方：辻伸弘氏×GMOイエラエ阿部慎司氏ロング対談【後編】（2/2 ページ）

“働くセキュリティ人”たちに注目。2021年度の総務大臣奨励賞を受賞したポッドキャスト「セキュリティのアレ」のメンバー・辻伸弘氏と一緒に、セキュリティに携わる人たちを訪ね、その未来を語る。今回はGMOサイバーセキュリティ byイエラエでSOC（Security Operation Center）事業を立ち上げた阿部慎司氏をゲストに招く。

[宮田健，ITmedia]

阿部式・スキルチャートを導入

辻：阿部さんも長くSOCのキャリアを続けられていて、部下もたくさんいらっしゃると思うんですけど、さっき話したような考え方ってどうやって伝えているんですか？

　僕は若干の危機感を持っていて、エンジニアとキャリアアップしてきた人とが、どこかで分断されてしまっているように思えるんです。SNSでも「ペネトレーションテストやりたいです」「CTF（Capture The Flag）得意です」みたいな方が目立つように思います。5年後、10年後も同じことができる方もいなくはないとは思うのですが、一握りだと思いますし、立場も変わっていくべきだと思っています。未来があるその人たちに何かを伝えるとしたら、どういう伝え方されているのかなと思って。

阿部：結局は分担論だと話をしています。仮にうちのチームで何をやっているかを紹介すると、このセキュリティ含めた業務は3つの領域に分かれますって話をよくしています。1つが「マネジメント」。2つ目が「運用」、3つ目が「技術」。メンバーそれぞれが得意なところをやるからこそ、お客さまを助けられるわけです。

　それらの領域ごとに5つずつの業務が定義されていて、計15の分野を設定しています。その中でどれがやってみたいですかと話しています。若い子は技術志向になりますし、ちょっとシニアになると、プロダクトやエンジニアリングのマネジメントに向かうよう、目標を持ってもらいます。トータルで見たときに、会社全体のチャートとして過不足ないチーム作りを目指しています。

阿部式・スキルチャート（画像はGMOサイバーセキュリティ byイエラエ提供）

辻：ネットで見ていると、「自分はテクノロジーを追いかけているけど、結局出世するのは陽キャやん」なんて発言も見られます（笑）。技術力がなくてもコミュニケーション力があればいいのかよ、と。そういう人たちをやる気にさせるにはどうしたらいいんだろうというのを悩んでいます。僕に部下は一人もいないけれど（笑）。

阿部：イエラエの場合、3つの領域、それぞれ5つの業務で15分野に分けた後、その1個1個の“箱”にさらに4段階のレベルを分けています。レベル4まで行けばじゃあ次はこっちにしよう、というかたちで。実力がポイントになっているので、それがそのまま給与にもマッピングされるようにしています。これはSOCですけど、イエラエでは他の分野でも同じようなスキームが採用されるようになりました。

──辻さんも、会社内で「部下を育てろ」みたいな指令はないんですか？

辻：「お前のコピーを作れ」って言われたことも過去にありますが、いつも跳ねのけています。それは自分がすごいとかいう意味ではなくて、コピーを作る必要なんてないですし、そんなにオススメできるものでもないと思っているからです。いつも一人で決めて、自分でやるみたいなのが板についてしまっているんですが、誰かを育てる、というのも興味はあります。

阿部：個々の技術については教えることはできると思うんですが、組織としての観点であると、マネジメント領域ならPMP（プロジェクトマネジメント・プロフェッショナル）や情報処理安全確保支援士といった資格をただ単に取ればいいというわけでもなく、組織ごとに必要な人材もスキルも違うはずです。

辻：そういう意味だと、僕は何かを教えたいというよりも、若い人たちと日常会話をたくさんしたいですね。若い人が何に価値を見いだしていて、どんな考えを持っているのか、お互い分からないじゃないですか。与えるだけじゃなく、僕が得られるものもたくさんあるから、技術というよりも対話がしたいです。そうすれば、お互いの視野がもっと広くなるはず。それが足りていない気がしますね。

　「お前もおっさんになったら分かる」というフレーズほど、若い人に刺さらない言葉ないじゃないですか（笑）。押しつけがましくならないように、会話の中で価値観の1つとして伝えられるといいですね。

阿部：方向性を見いだしてあげる必要があると思います。「ペネトレーションテストをやりたい」という言葉のその裏にある、“なぜ”を掘り下げていく。それが純粋に技術として楽しいからだとしたら、じゃあなぜ技術を楽しいと思えるかを掘っていくと、だんだん人間味が出る方向になってくると思うんです。

　よくある例え話なら「君はなぜ石を積んでいるんだ？」と。石を積む仕事だからか、家を建てようとしているからか、いやこれは今後立派な教会になって、いろんな人を救うんだとか。そういった視点を高めてあげれば、技術をやりたいという思いが、何をかなえたくてそう思っているのかっていうところに自覚的になっていけると、自然と視野が広がっていく。それが大人の役割なのかなというのを、40代になって思い始めています。

「子どもも興味を持つサイバーセキュリティ」を目指し

──辻さんは講演やポッドキャストで、阿部さんもイエラエ公式YouTubeなどで、積極的にセキュリティの情報を発信されています

阿部さんが登場するYouTube動画

辻：いろんな経路で、いろんな方法で発信したいと思っています。手を替え品を替え、自分の伝え方を変えながら、というのを意識しています。セキュリティの情報がまだ届いていないところがたくさんありますので。

阿部：明らかに届いていない人たちがいるので、入口を用意しなければと思っています。例えばYouTubeは子どもたちもよく見ているじゃないですか。わが家でも弁護士の方のチャンネルを子どもが見て、「六法全書が欲しい」というほどにもなりました。

　そういうことができるのはすごいですね。上手にやれば、サイバーセキュリティでも子どもたちに刺さるコンテンツにできるのかもしれないとも思います。もっと間口を広げないといけないのかもしれません。そういうことがそのうちできるといいと思っていますね。

辻：いろいろなところで話をする機会があるんですが、以前キャラクター事業を手掛ける大手企業で講演したときに、「サイバーセキュリティのキャラ作ってくれませんかね？」ってお願いしたんですよ（笑）。少なくとも自分がいる場所からでは届きにくいところにも届くかもしれませんし。言うのはタダですからね（笑）。

阿部：以前、日本科学未来館でも、マルウェアのデモを含めた講演をやったことがあるんですが、子どもたちも自分ごととして見てくれたし、親御さんもすごいと言ってくれた。これがとても印象的で、忘れられない出来事でした。みんなの安心、安全のためのセキュリティ。自分たちは、そういうみんなが守られる世界を目指している。いつかはそこにたどり着けるようになればいいと思っています。

──ありがとうございました。