変化する脅威にも「常に先手」の対応で安全を提供―インターネットイニシアティブ セキュリティ本部 セキュリティオペレーション部

社内の人材教育プログラムを発展させ「IIJセキュリティ教習所」を立ち上げ

まずは、IIJにセキュリティオペレーション部が設けられた経緯とそのミッション、展開するサービスについて教えてください。

野間氏：
セキュリティオペレーション部は、ユーザー向けのセキュリティオペレーションセンター（SOC）サービスを展開する部門です。その中で、企業の情報システム部門のセキュリティ担当者やCSIRT（Computer Security Incident Response Team：セキュリティ事故対応チーム）部門担当者をはじめ、情報セキュリティに関わるすべての方を対象に提供する教育プログラムが「IIJセキュリティ教習所」です。

IIJセキュリティ教習所のプログラムは、IIJ社内のSOCにおけるインシデント対応やサービス運用で得られた知見をベースに構成されており、基礎から応用知識までを体系的に学ぶことができます。実践を踏まえた演習は、自社で実際にインシデントが発生した際に、適切な判断・対処が行えるセキュリティスペシャリスト人材の育成を目的に設計されています。その講師を務めているのが、こちらの永田です。

永田氏：
当社は2016年にクラウドから接続回線、エンドポイントに至るまで、SOCによる統合運用という観点で、ユーザーに最適なセキュリティ対策を提供する「wizSafe（ウィズセーフ）」というマルチポイントセキュリティのブランドを立ち上げました。このサービスを展開する中で、我々はセキュリティエンジニア育成に課題を感じるようになりました。

そして、IIJ内部のSOCにおける人材育成の仕組みを早期に構築しなければならないという思いから、社内向けの教育機関をつくりました。その内容をベースに社外向けの教育プログラムへと発展させ、2022年1月にIIJセキュリティ教習所としてサービス提供を開始しました。

セキュリティ本部全体のミッションは、ユーザーが特別な意識をしなくても、セキュリティがしっかりと担保された形で当社のサービスを利用してもらえるようにすることです。セキュリティ本部は、数百人規模の体制で、毎年エンジニアが増え続けている成長部門です。その中でもセキュリティオペレーション部は、エンジニアだけで前年比2倍近い人員の伸びを見せています。

 「え？ISPのIIJがセキュリティ？」

セキュリティ本部やセキュリティオペレーション部には、どのようなバックグラウンドを持つメンバーが多いのでしょうか。

野間氏：
そもそもセキュリティ業務自体が、ネットワークやサーバーなど企業ITにおけるベーシックな部分の上澄みの集合体といえます。そのため、サーバーやネットワークの設計構築、運用経験を経てからセキュリティの世界に入ってくるメンバーが多いですね。

ただ最近は、大学や大学院などでセキュリティについて専門的に学んだ人材も増えています。一概にはいえませんが、マルウェアの解析などでは最新の研究機関で学んだ経験が大きな武器になりますから、新卒人材が早い段階で実力を発揮するケースも少なくありません。セキュリティは日進月歩で変化する世界ですから、最新動向を学んでいる人が強みを発揮する分野であることは間違いないでしょうね。

永田氏：
IIJは他社での業務経験を持つキャリア人材を積極的に採用しており、セキュリティ本部では、私自身を含めて中途入社組が多いです。中途入社のメンバーも、前職ではセキュリティ以外の業務を担当していて、自身のキャリアアップのためにセキュリティ業務に携わりたいと入社してきたケースも多々あります。

このように、当社にはセキュリティに興味を持つ人材がどんどん増えていますが、それ以上にニーズが拡大しているため、常に人材不足であるといっても過言ではありません。これは我が国全体の課題でもあり、独立行政法人情報処理推進機構（IPA）の「情報セキュリティ白書2022」も、日本はセキュリティ人材が圧倒的に足りていないと警鐘を鳴らしています。

セキュリティ本部のメンバーのみなさんは、自社に対してどのようなイメージを持たれていますか。

野間氏：
「自分の技術力を会社はきちんと評価してくれている」と感じているメンバーが多いようです。やや手前味噌ではありますが、社内の風通しの良さを自社の評価ポイントにあげてくれるメンバーも少なくないですね。

一般的にIIJというとISPとしてのイメージが強く、2016年に「wizSafe」を立ち上げた際には、「え？ IIJさんってセキュリティもやるの？」などと驚かれることもありましたね（笑）。そんなときは、「いえいえ、当社はセキュリティに関しても長い歴史があり、強みも多々ありますよ」とお答えしてきました。

独自サービスを生み出す鍵は組織の風通しの良さ

社内の風通しが良いということですが、それはどのような点に表れていますか。

野間氏：
たとえば、他部門と柔軟に連携している点などに表れています。SOCサービスは、他のサービスやお客様機器からのログを分析対象とする関係上、とりわけ他部門との連携が重要になります。部門の垣根を越えて情報共有などを行うたびに、IIJという会社全体の風通しの良さを実感しますし、その点が当社の大きな強みであると自負しています。

永田氏：
私も同じように感じていますね。私自身は、「セキュリティ教育に携わりたい」という思いからIIJに中途入社しました。入社して間もない時期に、「せっかく社内にこれほどのナレッジが蓄積されているんですから、これを社外にも提供しましょう」と社内で話してみたところ、「それは面白そうだ」「とりあえずやってみよう！」という空気になりました。そして、SOCチームなどの社内のさまざまな部門と連携して、トライ・アンド・エラーで取り組んだ結果として生まれたのが、「IIJセキュリティ教習所」だったのです。

人材育成は社員の能力発揮を最重視

IIJはセキュリティ人材の育成にどのようなスタンスで取り組んでいるのでしょうか。

野間氏：
セキュリティに限らずすべての分野において、全社員がいかにして能力を身につけ、また、それをどのように発揮してもらうか、さらに、その先の成果までを見据えた人材開発の仕組みが組織に浸透しています。その内容は日々見直しがなされ、時代に合わせて変化を続けています。IIJは、個々の人材の能力を解像度高く把握して、最大限に発揮できるようにすることを最も重要視していますから、「もっと経験を積みたい」といったメンバーのさまざまな提案に積極的に向き合っています。

当然のことですが、結果は重要です。しかしIIJでは、メインとなるKPI以外のさまざまなチャレンジについて評価がなされることが、ルールとして定められています。つまり、結果に至るまでのプロセスも含めてきちんと評価されるのです。

活躍するのは知識・技術の習得に意欲的な人材

IIJのセキュリティ本部やSOCチームで求められる人材像とはどのようなものでしょうか。

野間氏：
新しい知識や技術の習得に対して意欲がある人、これはエンジニア全般にいえることですが、セキュリティの領域では特に大事な要素になります。また、セキュリティインシデントを見逃さず的確に検知するためにも、緊張感を持ち続けられることも重要です。さらに、どのような事態に遭遇しても常に平常心を保ち、客観的な視点で冷静に対応することが求められますから、情報を正しく伝えることができるコミュニケーション力も必要でしょう。

永田氏：
コミュニケーションの観点では、自分から積極的に知識を取りに行く姿勢が不可欠ですね。たとえば、自分の知識や考えだけでは対応できない問題に直面したときに、外部から生きた情報を提供してもらえるコミュニケーション能力を持っている方であれば、IIJで大いに活躍できると思います。また、指示されたことを正確に、責任感を持ってこなせる方は、インシデント発生時の一次対応などの局面で頼りにされる人材になると思います。

何かと刺激が多い仕事ですが、これに刺激を覚えない人は、もしかするとセキュリティの仕事に向いていないかもしれません（笑）。自律的でプロアクティブな人は、ぜひ我々の仲間になってほしいですね。

変化する脅威に対して、「常に先手」を

最後に、人材育成や組織運営に関する今後の展望を聞かせてください。

野間氏：
IIJのセキュリティサービスは、日々人材が拡充され組織も大きくなっています。それに比例するように、売上もまた毎年二桁成長を続けています。コロナ禍以降リモートワークが普及して「いつでもどこでもつながりたい」というインターネットのニーズが急拡大していますが、使われ方が変われば脅威もまた変化してくるものです。たとえば、コロナ下で急増したVPNを標的にした攻撃などはその典型といえるかもしれません。

IIJのセキュリティ本部は、そうした脅威の動向に対して常に先手を打ちながら、ユーザーに安全な環境を提供し続けていきたいと考えています。脅威が高度化していると感じている方は多いかもしれません。実際にその側面もありますが、使われ方の変化に合わせて脅威もまた変化している点を見逃してはならない、と私は考えています。この変化への対応に注力し続けていきたいですね。

（取材・文：小池 晃臣、写真：岩田 伸久）