特集

セキュリティーエンジニアへの道

▼とある高校生の進路相談
Yahoo!知恵袋のある投稿が話題になっています。

セキュリティ分野を専門とする怱怱たる面々が次々に回答し、急速に注目を集めてITmediaで記事化されたことでさらに回答が増えていくといった状況です。現時点(4月22日10時34分)で53件の回答が投稿されています。まだ質問者からコメントは出されておらず、ベストアンサーは選ばれていません。

ITmedia掲載後は、質問への回答になっていない書き込みもちらほら現れて、<censored>の様相を呈してきた感があります。セキュリティエンジニアを志望する人からの同様の質問は過去に知恵袋に投稿されていますが、ここまで盛り上がったのは類を見ません。セキュリティ業界関係者の自演ではないかとの見方も出ています。

とはいえ、質問文の中の「セキュリティエンジニアは自分が技術を持っていることをアピールさえできれば学歴はそこまで気にする必要はないと聞いた」という辺りが論点になって詳しい人が回答したくなるような雰囲気があります。
なにより上原哲太郎氏の丁寧な回答が流れを作ったことが、回答を集めた大きな要因になっているように見受けられます。回答とともにこの「高校生」の今後の活躍を願う意見が多く、日本の若者がセキュリティエンジニアとして育ち活躍することへの期待が高いことが窺えます。
ちなみに、進路に悩む高校生に対して重鎮を含む大人たちが押し寄せている状況について、当の本人が置き去りにされているのを懸念するツイートもありました。

 

▼セキュリティエンジニアに求められる能力とは?
この知恵袋は進路相談ですから、どの進路に進めば「セキュリティエンジニア」に必要な能力を身につけやすいかということが一つのポイントになるでしょう。

さて、それでは「セキュリティエンジニア」に求められる能力とは一体どのようなものなのでしょうか。ここで「セキュリティエンジニア」を「情報セキュリティに関する知識や技能を有し、それらを活かして収入を得る者」と定義してみます。そして「セキュリティエンジニア」に求められる「能力」を広めに捉えて、知恵袋に寄せられた回答の中から「知識」や「技術」、「素養」「嗜好」「行動性向」「人物像」などに関する記述をピックアップします。

  • 知識
    ITの基礎知識/情報科学/計算機工学/数学/TOEIC900点以上/ネットスラング/国語/理科/社会/法制度・経済制度を含む、社会一般/哲学やリベラルアーツ/データマイニング/AI/パソコン/マシン/ネットワーク/OS/ヒューマンセキュリティ/ミドルウェア/人というものの理解/物理的なセキュリティ/プログラミングにおけるセキュリティ/運用やマネジメントに対するセキュリティ/管理ポリシー、制度・政策、技術、人の教育・管理など/色々なウイルスの構造の理解/組織の仕組みの理解/商売に対しての理解/社会人としての一般常識/機械学習/分散処理/UXデザイン/行動経済学/情報倫理/人工知能/電磁気学/数論/統計/人間科学/ネットワーク上で良く利用されるプロトコル/各プラットフォームのシステムコール/マネジメント、法律、社会制度、倫理、政策/引き出しの多さ
  • 技能系
    英語でのコミュニケーション能力/リスク管理能力/柔軟に思考して総合的に判断/視野/世の中のトレンドを見据える力/深い検索能力/コミュニケーション能力/設計能力/経営層との折衝能力/自分でサーバを立てて、それをハニーポッドとして公開/OSのソースコードを読んで問題を調べることができる/『大学や専門学校でセキュリティの授業を受けた』というレベルではなく自発的な研究をするレベル/業界人脈/コネ/家族にセキュリティの偉人がいる
  • 嗜好・行動性向系
    コンピュータのことが好き/趣味で理論的なことを考えたり、機械を壊したり、自宅ネットワークを組んで遊ぶ/自分でサーバーを立ててハッキング実験/インターネットが大好き/息を吸う用に情報を集められ、世の中の変化に常に高い関心を持つ/常に情報収集と自学自習を怠らないクセ/トラブルが起こればおこる程、生き生きとする/沢山の優秀な人と情報を交換したり、情報発生源である英語の情報にいち早くキャッチアップしたりする/コミュニティーを広げて情報共有し続ける
  • 総合系
    セキュリティと利便性の両面を評価する複合的な視点/常に与えられた環境の中での利害関係者への影響(リスク)と、対策費用のバランスで考えることができる/これからの時代や攻撃手法の変化に柔軟に対応できる厚みある技術/障害発生時の冷静な観察眼/フィッシングサイトを潰すことができる/脆弱性報告をすることができる/ありとあらゆる手段を使って問題を解決する/様々な(技術的、社会的)課題を、何らかの仕掛けでどのように解決できるかを素早くコードの形で示すことができる/脆弱性や攻撃などが、ビジネスや社会にとってどのような影響があり、どう対応できるのかを、様々な立場の人に合わせて理解できるように整理できる/一人で企業を潰せる/最新の法律、攻撃されやすい業界の動向、政治的な動向すべてに精通していて、その技術とは無関係な人たちになぜ重要かを、重役会議で説明できる

 

▼定石+α
このように、一口に「セキュリティエンジニア」と言っても、関連する能力は幅広い分野に跨ります。しかし、個別分野に特化する前に、知恵袋で多くの人が書いている通り、まず基礎知識が重要なのでしょう。そして、基礎を固めた上で一つの得意分野を持って実践を重ね、他の優秀な人とコミュニケーションできる環境に身を置くこと、といったところでしょうか。

セキュリティ分野で突出した人たちは、おそらく過去の人たちが積み上げた定石を熟知し、さらにそこに何か足すことで専門家たりえているのではないかと思います。また、彼らには共通して、根底に強い好奇心があるのではないかと感じた次第です。

JNSAがセキュリティ知識分野人材スキルマップを公開しています。
セキュリティ知識分野(SecBoK)人材スキルマップ2016年版
http://www.jnsa.org/result/2016/skillmap/index.html