高度人材の獲得は難しい--セキュリティに見るチーム組成とモチベーション

國谷武史 (編集部) 2018年11月14日 07時00分

  • このエントリーをはてなブックマークに追加

 デジタルテクノロジの活用を推進したい企業にとって、人工知能(AI)やセキュリティなどの分野に秀でた人材の獲得は、非常に難しい課題だ。組織が必要とするスキルは多岐にわたるが、それらのスキルを有する人材をそろえ、チームで目的に取り組むことが現実的な対応となる。米McAfeeでAdvanced Threat Research(ATR)チームを率いるSteve Povolny氏にそのポイントを聞いた。

多様性の確保がカギ

McAfee Advanced Threat Research責任者のSteve Povolny氏
McAfee Advanced Threat Research責任者のSteve Povolny氏

 ATRチームは、未知の脆弱性の悪用や新種マルウェアといった、まだ世にほとんど知られていないサイバー攻撃などの脅威を調査・研究する部門だ。Povolny氏は、米国の大手流通企業でネットワークセキュリティ調査の担当としてキャリアをスタートさせ、いくつかのセキュリティ企業を経て、現在はチーム責任者と主に脆弱性の調査・研究を担当している。

 米国におけるセキュリティ人材の需要は非常に旺盛であり、大学など教育機関における若手育成の体制が進み、企業や政府機関などでの活躍の場は多い。日本に比べてセキュリティ人材は潤沢に映るが、Povolny氏によれば、同社のような専業ベンダーでも高度なスキルを持つ人材の獲得は容易ではないという。

 その理由は、ATRの目的の特殊性にもある。多くのセキュリティ対応は、既知の脅威に対する防御策の的確な実施がポイントになるが、ATRでは、これから脅威となり得る潜在的な兆候を見つけ、そこからどのような攻撃が実施されるのかを予見する。同氏は、前者を「Defensive Security」、後者を「Offensive Security」と表現する。

 「Offensive Securityを担う人材は、潜在的な脅威についてリバースエンジニアリングといった手法を用いて解析し、それをどのように悪用(エクスプロイト)するのかを明らかにする。ハードウェアやソフトウェア、OS、ネットワークに関する深い理解、攻撃者視点による解析と手法の分析、その悪用による被害と対策を導き出す。それらの専門スキルを兼ね備える“超人”はなかなかいない」

 そこでATRにおける人材の採用では、(1)ソフトウェア開発経験、(2)ネットワークの知識、(3)リバースエンジニアリングなどサイバー攻撃者の視点――を基本的な要件スキルとし、いずれかのスキルに強みを持つ複数の人材でチームを組成、日々の活動に当たっている。

 「スキルの異なる人材が互いに協力し合う相互補完の関係により、メンバーが足りないスキルを新たに身に付けていくこともできる。多様性が重要であり、メンバーの国籍も多彩だ。チーム一丸となってミッションを果たすことがモチベーションになっている」

セキュリティのやりがい

 次々に出現する脅威に対応し続けるというセキュリティの仕事は、一見すれば、世にない新しいモノやコト、価値を生み出す仕事に比べて後ろ向きで辛いように映り、なり手がいないという見方もなされる。しかしPovolny氏は、社会に必要とされ、経営にも貢献できるエキサイティングな仕事だと言い切る。

 「この仕事をするモチベーションは給料ではない。グローバルな仕事であり、対峙する脅威は常に変わるので刺激がある。脅威から世界中の人や組織を守り、意識変革を働きかけ、より安全な社会の実現に貢献している。また(セキュリティ事業の会社として)独特かもしれないが、ATRの取り組みは、これから目指すべき経営の方向性を判断することにもつながっている」

 Povolny氏自身、現在はチームとしてのATRの活動をより強力な存在にしていくことが最大のモチベーションになっているという。

 同氏がキャリアをスタートさせた会社は、同氏が退職した後に個人情報の漏えい事件が発生し、世間から大きな非難を集めた。「周囲には、『私が辞めたから事件が起きたわけではない』と冗談で言っているが、退職の理由は、当時の会社があまりにもセキュリティに取り組まず、現場で非常に不満を感じていたからだった」という。

 企業が必要とする人材が既にいても、その能力を発揮できる場がなければ、やはり大きな損失につながる。人材を生かすチーム作りやモチベーション獲得の環境がポイントになる。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

連載

CIO
ITアナリストが知る日本企業の「ITの盲点」
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]