ITエンジニアと一口に言ってもフロントエンド、サーバーサイド、インフラ、QA、マネジメント……など、ポジションやキャリアにはさまざまなルートが。使う技術やツールはもちろんのこと、面白さや考え方も異なります。「なぜ、どういうきっかけでその道に進むことになったのか」「何がやりがいなのか」には、人それぞれの答えがあるものです。

いろいろな人から自分なりのキャリアの選び方を伺うことで、テックの世界の知見を共有する企画「みんなの"◯◯エンジニアになった理由"が聞いてみたい！」。

今回はウェルスナビ株式会社 笠井さんにセキュリティエンジニアになった理由を、LT形式で発表していただきました。

自己紹介

ウェルスナビの笠井です。職種の説明が難しいのですが、セキュリティエンジニアというのが伝わりやすいでしょうか？

ウェルスナビではサイバーセキュリティチームに所属していて、主に SOC (Security Operation Center)、CSIRT (Computer Security Incident Response Team)という2つの役割を担っています。

SOC 業務は簡単に言ってしまうと、セキュリティアラート監視/解析を行うことです。弊社のシステム環境に導入されているさまざまなセキュリティ製品からアラート検知があがった際に、解析を行い、「本当に危ないかどうか」「対応が必要なのかどうか」を判断します。

判断の結果、セキュリティインシデントとして対応が必要になった場合は、インシデントレスポンスを行います。その対応を主導するのが CSIRT です。SOC担当者とCSIRT担当者が分かれる場合もあるのですが、当社の場合は同じ担当者が対応を行っています。

その他の業務として、脆弱性管理運用、クラウドサービス評価なども行っています。

脆弱性管理運用とは、当社サービスを提供しているアプリケーションやその基盤、または社内端末に存在する弱点（脆弱性）を適切に管理する運用です。

「あるWebサービスから個人情報が盗まれてしまった」というニュースを見たことがあると思います。多くの場合、Webサービスに何らかの弱点があり、そこを攻撃をされることから起こる事象です。

当社のサービスや社内端末でそういったことが起きないように弱点（脆弱性）が見つかれば適切に対応を行う運用を実施しています。

クラウドサービス評価は、当社の安全基準に沿ったクラウドサービスかどうかを評価する業務です。

「業務のためにこのクラウドサービスを使いたい」という相談がセキュリティ担当者に発生するのはどの事業会社でもよくあると思いますが、クラウドサービスの利用を許可する際にはしっかりとそのクラウドサービスの安全性を確認する必要があります。

弊社にはその安全性を評価するための仕組みがあり、私は評価者として日々クラウドサービスの評価を行っています。

エンジニアとしてのキャリア

大学では文系の情報学部にいました。卒業後は新卒でセキュリティ製品のベンダーに入り、10年ほど働いていました。

同社では、前半の5年くらいは、自社製品を用いたセキュリティインシデント対応支援の業務に従事していました。

具体的には、担当しているお客様の環境内で、不審な通信やマルウェア感染などが発生した場合、自社製品のログなどから原因や影響範囲を調べ、セキュリティインシデントの対応を支援していました。
後半の5年間は官公庁向けのセールスエンジニアとして、セキュリティ製品の提案活動を行っていました。

その会社での仕事はすごく有意義だったのですが、漠然と「セキュリティのリアルを知りたい」「事業会社で実際に求められているセキュリティについて考えてみたい」という思いが湧いてきました。

そのような思いを持った背景としては、セキュリティ製品のベンダーは「セキュリティ大事！絶対に必要！」という立場であり、その考え方自体は間違っていないものの、現実との乖離があると思っていました。

例えば、事業会社の立場で考えるとセキュリティは事業を進めるための手段であり、事業目的ではありません。そのため、何でもセキュリティ重視の方向に意思決定をすれば良いのではなく、現実的にはユーザーへの影響や他事業との兼ね合い、スケジュールなどいろいろな観点からバランスを取る必要があると思います。

そのような思いを持つようになり、これまでの10年間とは別の角度からセキュリティを見てみたいと思って、2023年1月にウェルスナビ株式会社に転職しました。

働き始めて約2年になりますが、「こういうことをやりたいが、セキュリティ的にはこういう懸念がある」という相談を受けた際に、セキュリティ担当者として、どこを着地点とするのか判断することが難しいなと感じながら日々働いているところです。

セキュリティエンジニアとして学んできたこと

最初は基礎的なIT知識の習得から始めました。例えば、セキュリティを理解するためには土台となる、OSやネットワークの学習です。

基礎的なIT知識を身に付けたうえで、セキュリティ全般やマルウェアに関して学びました。そのうえで、セキュリティ製品のログを使ったセキュリティインシデント対応ができるようになりました。その他にもログ解析、パケット解析、フォレンジック……など、さまざまな技術や知識が必要になるため、日々学んでいます。

セキュリティエンジニアになった理由

「自分がセキュリティエンジニアになったのはなぜだろう？」と考えると、きっかけになったと思うのは、大学時代のアルバイトです。

スタートアップ企業で、社内IT担当のようなアルバイトを行っていました。新入社員の社用PCのセットアップ等が主な仕事でした。その仕事の一環で、PC用のセキュリティ対策製品を調べる機会がありました。その対応のなかで、初めてセキュリティ製品に興味を持ったのがきっかけでした。また、ちょうど就職活動時期だったため、調べたセキュリティ製品の中で新卒採用を行っていたベンダーに応募し、運よく新卒採用してもらいました。

きっかけはそれくらいですが、情報学部にいたくらいなので、もともとIT全般に対する興味はありましたし、また、「食うに困らないように手に職をつけたい」という感覚もありました。セキュリティ分野はちょっと特殊なところがあるので、当時の自分は「尖ったスキルを身につけられそうだ」と魅力に感じていたのかもしれません。

セキュリティエンジニアの楽しさ / 大変さ

「仕事の中で自分が夢中になるのはどんなときだろう」と考えてみると、セキュリティアラートなどを解析しているときには謎解きのような楽しさがあると思います。

「このアラートの原因は何なんだろう?」「これは本当に危ないのだろうか?」と、考えながらログを紐解くことで、それが危険なのか、対応が必要なのかを導き出すことができます。最終的に解析した結果の答えが出ると達成感を得ることができます。おそらく、それを楽しいと感じているんだと思います。

反面、この仕事でつらいのはプレッシャーです。セキュリティインシデントが起こってしまうと社内外から大きなプレッシャーを受けた中で、対応を進めなくてはいけません。そういう職業的なつらさはあると思います。

また、セキュリティエンジニアのやりがいに関しても考えてみたのですが、言葉にするのが難しいなと思いました。

インフラエンジニアなどにも共通するかもしれませんが、何も起こらないことが当たり前とされる、”縁の下の力持ち”的な職種なので、分かりやすいやりがいは得にくいのではないかと思います。

ただ、自分が進めたセキュリティ施策等によって、攻撃から守ることができたなどの成果が目に見えた場合はやりがいを感じます。

質疑応答

――セキュリティについて学ぶモチベーションは？

「謎解きのような楽しさがある」と話しましたが、反対に解けなかったときは悔しいんですよ。あれはこういう風に調べたら分かったかもしれない、と。そういったことが起こらないように学んでいる、という側面があると思います。

――普段の仕事の中でコードを書くことは？

セキュリティエンジニア全般で考えるとおそらくコードを書く能力がある人も多い職種だと思いますが、普段の業務においては、ほぼ書きません。

――大きなプレッシャーと向き合ううえで、大事だと思っていることは？

自分の身を守るために、抱え込みすぎないことでしょうか。

セキュリティの業務は判断が必要な場面がけっこう多いのですが、その判断が正しいのか確信が持てないこともあります。重要な局面での判断に関しては、誰かに相談し、その人と合意を取ったうえで判断する、というのは自分の身を守るためにも必要だと思っています。

――これからセキュリティエンジニアを目指す人、スキルアップをしたい人へのアドバイスは？

私は「もっと英語を学んでおけばよかった」と感じています。

セキュリティの仕事を行う中では、情報源が英語の情報しかないものが多々あるため、他言語の情報ソースから情報収集を行う際には英語をもっと勉強しておけばと感じることが多いです。

現在は翻訳アプリやAIがあるので、困る機会は減っていますが、英語が得意であるに越したことはないかと思います。