日本総合研究所様・日本総研情報サービス様

SOCのセキュリティ機器の導入・開発などを行う日本総研は、新卒採用者とキャリア採用者が半々といった陣容となっています。 一方、SOCの運用を担い、24時間365日体制で監視分析業務を行うJAISでは、基本的に新卒の人材を採用し、育成しながら業務に当たる形をとってきました。 各社の採用スタイルの違いから、細かな人材育成プログラムになるとそれぞれ異なる部分があります。

日本総研では、あらゆる分野にまたがり満遍なく精通した「ロックスター人材」の育成に向け、ベテランのメンターに付いて、 半年から一年かけてコンピュータサイエンスやネットワークの基礎にはじまり、攻撃側と防御側のそれぞれの発想方法の違いなどについて学ぶ 「ロックスター養成講座」を実施しています。一方JAISでは、SOCでの監視分析業務に監視レベル制を採用し、各レベルに必要なスキルを定義して ステップアップを図っています。新卒で入社した社員はレベル1からスタートし、このロードマップに沿って、ログ解析やプログラミングなど必要なスキルを 身につけていきます。レベル3まで到達した人材は、本人の希望を踏まえてその先のキャリアを選択していく仕組みが用意されています。

「24時間365日の監視分析業務で自力を身につけ、一定のレベルに達したメンバーには、希望を聞きながら業務をアサインしています。 そのまま監視分析業務のチームリーダとしての管理能力を伸ばすこともあれば、マルウェア解析、あるいは脆弱性診断に挑戦したいといった要望に応じて スペシャリストとしての道も目指せるようにしています」（東氏）

このように日本総研もJAISも明確な戦略の下で人材育成を図っていますが、 それを裏打ちするのが、研修・資格取得に関する予算面での手厚いサポートです。 他部門と比べ多くの予算が割り当てられている点も特徴です。
「セキュリティに関する専門的な研修はもちろん、資格の維持・更新に要する費用についても会社で負担するスキームが用意されています」（長田氏） 制度を活用する側の三宅氏も「受講を希望した研修は、かなりの割合で受講することができています。手を上げやすい、とてもいい環境だと思います。」
と述べています。

背景にあるのは、経営層の強い支持です。セキュリティ人材の育成に向けて 「打てる手は全て打つ」という方針の下、強力な支援体制が整えられてきました。

スキルアップに取り組む際のもう一つの課題が時間の捻出ですが、これにも配慮がなされています。 多忙な業務の合間を縫って勉強するのは難しいものですが、 両社とも業務時間の中で研修を受けられる体制を確保しているのです。
「普段から、『自己研鑽は業務であり、 業務時間の三割を自己研鑽に充てるように』と言っています」（東氏）

チームのメンバーが研修などで抜けると、他のメンバーの負担が増えるのは確かです。しかし
「勉強することでスキルを獲得することで成長につながり、後々チームを助けてくれると考えれば、むしろいいことだと考えています」（嶋本氏）

さらに、こうしてスキルアップした人材が長期にわたって社内に定着するために、制度にも手を加えてきました。

例えばJAISでは、24時間365日体制で監視分析業務を行っており、夜勤がネックとなるケースが少なくありませんでした。 そこで負荷を軽減する勤務制度とし、また週休三日制を採用しています。同時に、日勤のみの勤務を選択できるような人事制度も導入し、人材の定着を図っています。

こうして制度を改善してからは、離職者は出ていません。
「セキュリティ人材は引く手数多ですが、あえて皆には、『転職活動をして自分の市場価値を測り、他社がどんな取り組みをしているのかを見てきてほしい』 と伝えていますし、その中で我々にできることがあれば取り込んでいこうと考えています」（東氏）

何を学び、どうキャリアアップいくべきかという道筋を示し、かつその手段を物心両面で支援する体制を整えている日本総研とJAIS。 自ずと、やらされではなく自発的にスキルアップを図ろうとする風土が生まれています。 また、前述の「ロックスター人材」のように、お互いに「教えあう」というカルチャーが根付いています。

その表れの一つが「勉強会」です。
「若手スタッフが『ここがわかりません』と尋ねてきたテーマについて、誰かが講師になって教える勉強会が、週に2回程度のペースで開かれています。つい最近も、NTLM認証とKerberos認証について講義を行ったばかりです」（嶋本氏）

特にJAISのセキュリティ人材は若手が多く、平均年齢が27歳という若い職場です。日頃から密にコミュニケーションを取り合って業務に取り組んでいる風通しの良さも寄与し、 ボトムアップ的なカルチャーが根付いてきました。

資格取得についても互いに刺激し合いながら取り組んでいます。
「誰かが新たに資格を取得すると、その情報が社内のチャットに出てきます。『自分も取っておかないとな』と、 いい意味でプレッシャーを受け、すでに資格を取得した人と情報交換をしながら自発的に取り組んでいます」（杉本氏）

「『学ぶ機会を設ける』、『学びを活かせる業務環境を作る』、『業務の成果を評価する』、この好循環が、 自分たちにできることが広がる実感につながっていると感じています」（東氏）

内容が幅広く、密度も濃いCEHですが、
技術好きな嶋本氏はむしろ「知識が詰め込まれている感があり、心地よかったです」
と振り返りました。

一方、三宅氏の印象に残っているのは、実践的である点です。
「検証用の仮想環境を用い、実際に手を動かしながら学べる点が有益であると感じました。 研修後も、一年程度は自分で復習できる環境があるのがありがたいと思いました」（三宅氏）。
新たな手法や技術もちょっと試してみようというモチベーションにつながっているとのこと。

杉本氏は、体系的に学べる点が効果的だと感じました。
「ハッキング関連の知識は、自力で情報を収集し、身につけるケースが多いと思います。しかしCEHでは、攻撃側の流れが、 順を追って体系的にまとめられていると感じました。さらに、クラウドをはじめとする最新の攻撃手法に関する説明もあり、有効だと感じました」（杉本氏）
杉本氏の場合、CEHで学んだ内容が業務に直接的につながっているわけではありませんが、脆弱性診断やペンテスター向けに非常に有用な内容だと感じています。また、プライベートで取り組んでいるCTFにも、講座で学んだことが活かせると期待しているそうです。

嶋本氏は、受講を通して改めて視野が広がり、「たくさんの仮説を立て、その中から最も正解に近いものを選ぶ仕事」 というSOCの仕事を進めていく上でも有用な知識が得られたと感じています。後輩を教えることもある立場からは、教え方という意味でも参考になる点がありました。

最も直接的に役立ったと感じているのは、マルウェア解析に携わる三宅氏です。
「攻撃者は実際にどのような手順で、どういったツールを用いて侵入してくるかをもう一段深く理解することができ、 実際のマルウェア分析や攻撃手法の解析に活きてくると思っています」
三宅氏は、GSXのSecuriSTも受講していますが、
「攻撃シナリオを実際に作って試すことで、一歩深く学べたと思っています」
と振り返りました。

人材育成戦略と制度・体制の整備を通して人材が育ち、ローテーションも始まっている両社ですが、まだ取り組み改善の余地は残っています。グループ企業各社から「セキュリティも見てほしい」といった要望が寄せられるなど、育成のペースを上回るニーズが寄せられている状況だからです。
日本総研・JAISではそうした要望に応えつつ、「2030年までに世界最高レベルのセキュリティ専門集団を目指す」というビジョンを掲げ、これからも人材を募り、スキルアップを図っていきます。

「世界有数の金融機関として、重要インフラの一角を担う立場から、これからもより高いセキュリティ、レジリエンスを目指していきます」
と長田氏は締めくくった。