開発を効率化するツールやサービスが続々と登場する昨今。複雑なコードを書かなくてもボタン一つで設定できる開発環境が広まり、経験の浅いエンジニアでも簡単にものづくりができる時代になりつつある。

だがその便利さや手軽さに甘んじていると、本当に価値あるサービスやプロダクトを作ることができず、いずれ自身の成長も頭打ちになる。

そう警鐘を鳴らすのが、企業向けセキュリティサービスを提供するセキュアエッジ株式会社代表取締役の西島正憲さんだ。

エンジニアとしてキャリアをスタートし、サイバーセキュリティ領域で第一線を歩む中で「技術力の基礎となる“原理原則”を知ることの重要性を学んだ」という西島さんに、いつの時代も求められる本物の技術力とは何かを聞いた。

セキュアエッジ株式会社 代表取締役
西島正憲さん

セキュリティ最大手企業であるシマンテックに11年間勤務、米国本社直属の製品戦略部門でアジア・太平洋地域の製品責任者として、標的型攻撃対策製品やメールセキュリティ製品の製品戦略に携わる。2015年にセキュアエッジ、その後、脆弱性診断に特化したセキュアエッジテクノロジーを設立。世界トップベンダーであるPalo Alto Netwoks、Crowdstrike、CyberArk等のパートナーとして技術支援やMDRサービスなどの自社サービスにも力を入れている

「最新技術への意欲」は歓迎だけれど、落とし穴にハマる危険性も

技術革新のスピードが加速し続ける中、次から次へと登場する最新のテクノロジーやツールをいかにキャッチアップするかがエンジニアの成長速度を決める。そう思っている人は多いだろう。

もちろんエンジニアとして仕事を続ける上で、新しい知識やスキルの習得は不可欠だ。だがそれだけを追いかけていると、思わぬ落とし穴にハマる危険性があると西島さんは指摘する。

「例えばホームページやデータベースを立ち上げる場合も、今はAWSなどのクラウドサービスを使えば、ブラウザ上でボタンをクリックするだけで簡単に設定ができる。時間も労力もかからず、便利な技術であることは間違いありません。

ただし簡単で便利であるがゆえに、それがどのような仕組みで動いているのかを深く理解していなくても構築や開発ができてしまう。

特にクラウド環境しか知らない若い世代では、システムを支えるOSやネットワーク、サーバーなどの基本的なインフラ構造やアーキテクトの全体像をよく知らないエンジニアが増えています」

「そんなことは知らなくても、システムが構築できればそれでいいじゃないか」と思うかもしれない。だが技術の基礎や本質を理解しているエンジニアと、表面的な理解に留まっているエンジニアでは、仕事で出せる成果や価値に大きな差がついてしまう。

「技術の基礎が身に付いていないことによる弊害の一つは、トラブルやアクシデントに対処できないこと。システムの仕組みや全体像を理解していれば、何が原因でその事象が発生しているかを特定できるので、適切かつ迅速に対処できる。

でも基本を知らないエンジニアは『なぜそれが起こっているのか』も理解できないので、イレギュラーな場面での対処力はどうしても弱くなります」

また顧客やユーザーのニーズに合わせて柔軟にカスタマイズできないのも、基礎をおろそかにするエンジニアの弱点だ。

「例えるならクラウドサービスはレゴブロックのようなもので、組み合わせ次第で電車でも動物でもアニメのキャラクターでも好きな形を作れる。でもそのためには、どのブロックをどう組み合わせればその形になるかという構造を理解する必要があります。

それと同じで、システム全体の構造を理解していないと、本当に作りたいものを形にできない。設定はクラウド上で行うとしても、その裏側にある仕組みを知っていれば『こんな構成もできるのでは？』と発想が広がるので、より使いやすく効果的なシステムを作ることができます」

基礎を軽視するエンジニアは、対処力もカスタム力も弱い

つまりシステムの仕組みや全体像を理解する力は、エンジニアの技術を支える土台となる部分であり、その土台がしっかりしていなければ、どんな最新ツールも本当の意味では使いこなせないということ。西島さんはこの土台のことを「いつの時代も変わらない“原理原則”」と表現する。

そして技術トレンドが目まぐるしく変わる時代だからこそ、原理原則を軽視するエンジニアは不利になる。

「基本を知らないと応用が効かないので、新しい技術に適応するのも遅れる。どんなにAWSに詳しくなったとしても、それに代わる新たなテクノロジーが登場したら、またいちから使い方を覚え直さなければいけません。

一方、原理原則を知るエンジニアは最新技術のキャッチアップが速い。クラウドサービスにしても、表に見える形がオンプレミスとは違うだけで、サーバーにしろネットワークにしろ、裏側でシステムを支える基本構造は同じです。

だから新しいテクノロジーに触った時も、従来の技術がどのように実装されているかをすぐに理解できる。あとは新しい機能や操作方法をインプットするだけでそれを使いこなせるようになります。目の前のトレンドを追いかけているだけのエンジニアより、ずっと速いスピードで自分を成長させていくことができるのです」

若手時代に学んだコア技術は20年経った今も通用する

西島さんが原理原則の大切さを強調するのは、自身の経験に基づく確信があるからだ。新卒入社した通信系企業で宅内通信システムのセキュリティに関する研究開発に携わったのを皮切りに、携帯キャリア向けメールサーバーを提供する外資系企業などを経て、セキュリティ最大手のシマンテックに11年間勤務。

アジア・太平洋地域の製品責任者を任され、サイバー攻撃対策やメールセキュリティのプロダクト開発をリードした。こうして長年に渡りサイバーセキュリティ領域の最前線を歩む中で、技術の基礎を固める重要性を痛感したという。

「セキュリティはIT技術の一分野のように思われがちですが、実はさまざまな技術の積み重ねの上に成り立っている。私たちが相手にするハッカーは、OSからネットワーク、サーバーやクラウド、各種の開発言語まで、システムを構築するのに必要な技術を全て理解した上で攻撃を仕掛けてくるので、防御する側にも同等の知識やスキルが求められます。

私も若手の頃から優秀なセキュリティエンジニアと一緒に仕事をしてきましたが、その一人一人がネットワークのプロでもあり、サーバーのプロでもあるというように、ITのコア技術を非常に深いレベルで理解した人ばかりだった。それを見て私も基礎を固めることがいかに大事かを学びました」

しかも当時身に付けた知識やスキルは、「20年経ってもいまだに通用する」というから驚きだ。

「私も起業して経営者になってからは手を動かすことがなくなったので、エンジニアとしてクラウドに触ったことはほとんどなかったのですが、ある時勉強も兼ねて社内でAWSを使ってみようということになり、クラウドに詳しいエンジニアと一緒に作業したことがあります。

その際に『この機能を追加したいなら、こんなネットワーク構成にすればできるよね』といったアイデアを思いついたのは、クラウドをよく知るはずのエンジニアではなく、クラウド未経験の私だった。時代が変わっても普遍的な原理原則が役立つことを再認識しました」

当然ながらサイバーセキュリティ業界も環境変化の激しい領域の一つだ。特に5GやIoTが普及してからはあらゆるものがインターネットにつながるようになり、誰がいつどこでサイバー攻撃やウイルス感染の被害に遭ってもおかしくない時代になった。

最近も病院のシステムがウイルスに感染して診療や手術ができなくなったり、不正アクセスを受けた大手企業のサイトから顧客情報が流出したりと、人々の生活に大きな影響を及ぼす事例が頻発している。

だがどれだけ環境が変化しても、「土台となるコア技術がエンジニアの最大の武器であることは変わらない」と西島さんは断言する。

「社会の隅々までITが浸透したことで防御すべき範囲も広がり、セキュリティ対策のニーズは近年急速に高まっています。一方でサイバー攻撃の技術が高度化しているかといえば、実はそうでもない。手段は多様化しているものの、攻撃の技術そのものはあまり変わらず、より脆弱で侵入しやすいターゲットを探して対象をどんどん変えながら成功率を高めている、というのが正しいでしょう」

いくら手口が巧妙になったとしても、結局ハッカーはネットワーク全体の仕組みや構造を理解した上で狙いやすい箇所を攻撃していることに変わりはない。

だから西島さんが口にしたように「20年前の知識が今も通用する」のだ。エンジニアとして長く活躍し続けるためにも、原理原則を知ることがいかに重要かよく分かる。

「原理原則＋最先端製品」の力で他社にないサービスを提供

では若手エンジニアが普遍的な技術力を養うにはどうすればいいか。西島さんは「原理原則はあくまで“基礎的技術”なので、身に付けるのはそれほど難しくない。まずは自分で手を動かしてみることが大事」とアドバイスする。

「私が代表を務めるセキュアエッジでは、若手エンジニアを育成するために実践的な課題を与えています。例えばOSをセットアップし、Webサーバーをインストールして、ブラウザが正常に表示されるところまでをやってもらう。いちから自分の手で組み立てれば、全体の仕組みや構造はおのずと理解できます」

また同社には原理原則を知り尽くしたエンジニアが集まっているので、実務を通じたOJTでプロフェッショナルから直接学ぶこともできる。技術の基礎をしっかり磨きたいと考える若手にとって恵まれた環境と言えるだろう。

さらには土台となるコア技術を固めた上で、最先端の情報や知識をどんどんインストールできるのもセキュアエッジで働く面白さだ。

「セキュリティのソリューションは日々進化しています。当社は海外の優れたセキュリティ技術や製品を業界に先駆けていち早く導入してきたパイオニアであり、現在も次世代ファイアウォールやEDR、ID管理製品などの先端技術を組み合わせたサービスを提供している。だからエンジニアも常に時代の先を行く情報に触れられます。

さらに私たちは製品の導入だけでなく、その後の運用サービスも提供しています。なぜならお客さま企業の中にも、原理原則を知る技術担当者は少ないからです」

「例えばEDRは、従来のアンチウイルスソフトではカバーできなかったエンドポイント（PCやスマホなどのデバイス）の監視や不正の検知ができるセキュリティサービスですが、攻撃を検知してアラートが鳴っても、分析に時間がかかって脅威の特定が遅れれば多大な損失を招く恐れがある。それを技術に精通した弊社のエンジニアが支援することで、お客さまが本当に安心できるセキュリティ環境の構築が可能となります」

西島さんはセキュリティエンジニアの役割を「黒か白かを見極める仕事」と表現する。異常を検知した時に、誰かが悪意を持って攻撃しているのか、それとも他の要因でシステム上のエラーが起こっているだけなのかを正確に判断するのがエンジニアのミッションだ。

「自分の判断に自信を持てるのは、裏付けとなる技術を深く理解しているエンジニアだけ。特にセキュリティの世界は信用が第一です。お客さまから頼られる存在であり続けるため、これからも私たちは技術力を強みに他社にはないサービスを提供し、『セキュリティのことならセキュアエッジに任せれば安心』と思って頂けるようなプロフェッショナル集団を目指します」

原理原則を知るからこそ、時代の最先端で勝負できる。そのことを知るエンジニアたちが、今日もサイバーセキュリティの最前線を支えている。

>>>セキュアエッジ株式会社の中途採用情報をみる

取材・文／塚田有香　撮影／桑原美樹　編集／玉城智子（編集部）