エンジニアtype - エンジニアのシゴト人生を考えるWebマガジン

注目の「セキュリティエンジニア」をちょっとだけ体験!テンプスタッフ・テクノロジーのスキルチェックにチャレンジ

タグ : セキュリティエンジニア, テンプスタッフ・テクノロジー, 教育, 特定派遣 公開

 

今年1月23日、IPAは2013年の「コンピュータウイルス・不正アクセス届出状況および相談受付状況」を発表した。

その内容によると、2013年はウイルスの検出数や届出件数こそ減少しているものの、不正アクセスやWebサイトの改竄が急増。公的機関や企業を対象とした個人情報の漏洩や流出だけでなく、個人を標的にしたフィッシング攻撃やネットバンキングでの不正送金など、いっそう手口が巧妙化していることが分かった。

国策に目を転じても、サイバー攻撃による被害拡大を受け、防衛省に「サイバー防衛隊」が設置されたり、警察庁や各都道府県警が専門部署を設けるなど、セキュリティ対策の強化が図られている。

そんな中で大きくクローズアップされているのが、「情報セキュリティ人材」の確保と活用だ。

同じくIPAが昨年4月に公表した調査結果によると、従業員数100人以上の中堅・大手企業で情報セキュリティに携わるエンジニア約23万人のうち、約14万人はさらなるスキルアップが必要とされ、なお約2万人の人材不足の状態にあるというのだ。

こうしたニーズの高まりを受け、今、将来有望な技術者向け職種とされているのが「セキュリティエンジニア」だ。今回はテンプスタッフ・テクノロジーで、特定派遣エンジニアの教育・研修に携わっている2人に話を聞き、セキュリティエンジニアに必要な資質やスキル、キャリアの将来性などについて紹介する。

Webサービスにかかわる“すべての領域”が学べる職種

(写真左から)話を聞いたテンプスタッフ・テクノロジーの加藤朗氏、山崎英樹氏

(写真左から)テンプスタッフ・テクノロジーでエンジニア教育に携わる加藤朗氏、山崎英樹氏

同社はこれまで述べ1000人を超えるエンジニアの採用および教育・研修実績があるが、クライアントとなる企業などへの紹介・派遣を通じて特にセキュリティに関するニーズが高まっているという。

「特にここ数年、紹介先・派遣先の現場からセキュリティに特化した人材がほしいという声が高まってきたので、2~3年前からいち早く専門的な知識とスキルが学べる研修を取り入れています」(山崎氏)

Webサービスを提供し運営していくには、ネットワークをはじめOS、そしてアプリケーションとすべての領域で適切なシステム構築と保守・運用が欠かせない。これらの分野すべてで一定の知識やスキルが求められるのが、セキュリティエンジニアの業務領域になる。

「ですから、どれか特定の分野や領域に絞るのではなくて、Webサービス全般にかかわる知識やスキルを高めていきたいという意欲や熱意を持ったエンジニアに向いていますね」(山崎氏)

研修の内容は基礎から実践まで段階を踏んで行われる。同社では採用したエンジニア向けにそれぞれのスキルに応じた独自の「eラーニング」を用いた教育・研修制度があるが、その中にセキュリティについて学べるプログラムが導入されているのだ。

「セキュリティに関するプログラムは基礎的な内容が2セクション、専門的な内容がさらに2セクションと合計4つのセクションに分かれています。このうち最初の2セクションが全エンジニア必須で、セキュリティエンジニアとして活躍していただく方には後半の2セクションも学んでいただく仕組みですね」(加藤氏)

この研修で用いられている実際の問題を元に作られた「スキルチェック」が以下だ。

>>テンプスタッフ・テクノロジーのスキルチェックで腕試し!

脆弱性が皆無のアプリケーションは存在しない

エンジニア向けのeラーニングはセクションごとに習熟度、理解度を確認する内容になっていて、一定ラインを上回らなければ次へ進めない。各セクションの解説を読んだり、自ら学ぶことで知識とスキルを高めていくカリキュラムだ。

セキュリティに関する設問を作成したのが山崎氏。入社3年目だが、前職はセキュリティコンサルタントをしていたという専門家でもある。

「eラーニングとはいっても、きちんと理解していないとクリアできない内容になっています。その点では知識を身に付けるだけでなく、実際に業務としてやっていく上で必要なスキルも学べる内容と自負しています」(山崎氏)

“普通”に作ったアプリケーションには必ず脆弱性が存在する、と加藤氏

“普通”に作ったアプリケーションには必ず脆弱性が存在する、と加藤氏

そして、4つのセクションすべてをクリアしてセキュリティエンジニアを目指す人材に課せられるのが“実機”を使った脆弱性診断の研修だ。

実際に運用されるレベルのアプリケーションが入ったシステムを脆弱性診断ツールを使って検証。脆弱な個所やその原因の特定、対策など業務に必要な一連の流れを実際に体験し、身に付けるのだ。

「このアプリケーションは、社内エンジニアが自習時に作成したものを流用させてもらっているので、一般的な運用システムがいかに脆弱かが分かります。この研修で、実践面でのスキルアップが図れると思います」(加藤氏)

同社ではWebアプリだけでなくネットワークやスマートデバイス向けのセキュリティサービスを提供している株式会社ユービーセキュアと提携。この企業の脆弱性診断ツールの導入と応用に関するスキルが身に付くようになっている。

セキュリティエンジニアは5年後、10年後に“即戦力”が求められる

ネットワークをはじめ、メジャーなOSやアプリが日々アップデートを行っているように、セキュリティマネジメントはWebサービスだけでなく、あらゆる分野に必須かつ急務の課題の1つだ。加えて、セキュリティに関する知識や技術を学ぶことは、エンジニアとしてのキャリアの幅を広げることにもつながると山崎氏は強調する。

「ネットワークからOS、アプリと領域が広いので、キャリアアップしていくことで運用面の診断から分析、コンサルティングへと幅広くWebサービス全般に関する知識、スキルが身に付きます。もちろんプログラミングに関しても、よりセキュリティ面に配慮した設計・開発に役立ちますから、セキュリティエンジニアを経て、セキュアプログラミングの領域を目指すエンジニアもいますよ」(山崎氏)

自身もエンジニアからセキュリティコンサルタントになった山崎氏。その経験が今に活きている

自身もエンジニアからセキュリティコンサルタントになった山崎氏。その経験が今に活きている

セキュリティのノウハウを理解することで、より安全なプログラムを作りたい、というような欲も生まれるのだという。

冒頭で紹介したIPAの調査報告でも、情報セキュリティ人材のキャリアパスについて、幅広い分野・領域での活躍が期待できるとの記述がある。

「不正アクセスやWebサイトの改竄などは日々手口が巧妙になっていますから、セキュリティエンジニアはIPAなどのサイトから毎日最新のセキュリティ情報を収集し続ける必要があります。そういう意味では大変ですが、今、知識やスキルを身に付けておくことで、5年後、10年後でも確実に市場価値の高い即戦力を備えたエンジニアとして活躍できると思いますね」(山崎氏)

新しいサービスやデバイスが登場した分だけ、新しいサイバー攻撃が生まれると指摘されるIT業界。キャリアアップを目的としてセキュリティエンジニアの職を目指す人はもちろんのこと、Webに携わるすべての人に基礎的なセキュリティ知識が求められる時代はもうすぐそこまで来ているのかもしれない。

取材・文/浦野孝嗣 撮影/竹井俊晴

>>テンプスタッフ・テクノロジーのスキルチェックで腕試し!