これまで積み上げてきたスキルをベースに、さらなる専門性を追求
「アジアNo.1」ひいては「世界No.1インターネットカンパニー」を標榜し、躍進を続けるソフトバンクグループ。その中核となる通信事業を担うソフトバンクBB株式会社、ソフトバンクテレコム株式会社、ソフトバンクモバイル株式会社の3社は、組織の垣根を越えた有機的な連携により、グループシナジーの創出を目指しています。それは、業界の常識を打ち破る革新的なサービスの提供にとどまりません。事業基盤を支えるセキュリティへの取り組みにおいても同様です。「グループ情報セキュリティ最高責任者(GCISO)」をトップに「グループ情報セキュリティ委員会」を組織し、体制面に限らず、技術面、運用面でも協力。グループ一丸となって、実務環境におけるセキュリティ管理の徹底はもちろん、通信3社が手がける商用サービスのセキュリティ強化に万全を尽くしています。
この業務を担うのが、ソフトバンクBB株式会社 技術統括 商用ネットワークセキュリティ推進室です。主な業務内容のひとつとしてあげられるのが脆弱性診断です。商用サービスで使用するシステムの脆弱性診断を実施して、サービスのセキュリティ品質を保証する重要な役割です。「知れば知るほどセキュリティって面白いんですよ」と笑う鈴木さんには、与えられたミッションを楽しむ余裕さえ漂います。それでも、「サーバエンジニアからスタートしたため、当初はサーバから見たセキュリティしか知りませんでした」と鈴木さん。日々実務経験を重ねる一方で、各種セミナーへの参加やCISSP取得に備えた独学などを通じて、知識の習得に努めてきたといいます。こうして積み上げてきたスキルをベースに、さらなるキャリアアップを考えているとき、上司から勧められたのがSANSトレーニングでした。
短時間で受講者の理解力を引き上げる巧みなテクニックに脱帽
ひと足先に受講した上司が、「とにかく“スゴイ”。絶対に受けたほうがいいよ」と絶賛していたというSANSトレーニング。半信半疑のまま鈴木さんが受講したのは、脆弱性診断やシステム監査業務のスキルを習得するためのコース(AUD507:Auditing Networks, Perimeters & Systems)でした。これまでのトレーニングのイメージを覆されたというその内容を振り返り、鈴木さんはこう語ります。
「SANSトレーニングはまったく次元が違いました。確かに“スゴイ”としか言いようがありません。何より一般的なトレーニングとの大きな違いは、講師が現場を熟知する現役の技術者である点です。しかも、教え方がうまい。おそらく小学校から今に至るまで、先生と呼ばれる人たちの中で一番でしょう。難しい話でも、こちらの理解力を短時間で引き上げ、浅いところから深いところまで巧みに導いてくれます。これほどのテクニックは、日本のトレーニングでは見たことがありません。自腹で受けても損はないと思えたほどです」。
定型的な内容をマニュアルどおりに解説していくトレーニングスタイルとは異なり、講師自らの経験に基づく新鮮で生々しい情報にも触れることができる。これは、SANSトレーニングの大きな魅力の1つです。
また、テキストについても鈴木さんは、「単なるパワーポイントの資料ではなく、網羅的かつ詳細な解説が記載されていて、非常に質が高い。トレーニング中に口頭で説明して終わりという、よくあるテキストとは違います。関連情報へのリンクも豊富で、情報に不足がなく、受講後に復習をするのにもまったく困りません。疑問点はほとんど自力で解決できますし、まさに“お腹いっぱい”という充実ぶり。私は最新情報なども積極的に追っているほうですが、それでも知らないことがたくさん盛り込まれていて感心しましたね」と高く評価します。
サーバエンジニアからセキュリティエンジニアへの飛躍
受講を始めて最初の1時間で、早くも「SANSトレーニングの虜になった」という鈴木さんは、その後もさらなるスキルアップを図るため、攻撃とその防御方法やインシデントハンドリング手法を身につける「SEC517:Cutting-Edge Hacking Techniques Hands-On」や「SEC504:Hacker Techniques, Exploits and Incident Handling」、倫理的なハッキング技術を習得する「SEC560:Network Penetration Testing and Ethical Hacking」を受講。「専門性の高いトレーニングコースが幅広く用意されているだけでなく、それぞれの密度が濃く、カリキュラムの設定も非常に魅力的」と鈴木さんが言うように、多彩な専門分野をカバーするSANSトレーニングは、業務に直結したスキルを深めていく上で重要な道筋となっているようです。
もちろん、受講による成果はしっかりと活かされている様子。「習得したスキルは、組織内での発言や提案に自信を与えてくれています。報告会などでも、セキュリティ管理者側の視点ではなく、攻撃者の視点で語れるようになったのは大きな変化です。以前は、独自の判断で報告対象から外していたような事象も細かく拾うようになりました。診断で脆弱性を発見した場合にも、それがどの程度のリスクにつながるかを的確に分析、判断できるようになっています。サーバエンジニアから、ようやくセキュリティエンジニアへと脱皮しつつある感じですね」と鈴木さん。こうした変化は個人の成長を意味するだけでなく、確実に脆弱性診断の精度の向上や、ソフトバンクグループが提供する商用サービスのセキュリティ強化にもつながっています。
常に高いスキルを身に付けたエンジニアであり続けることを目指す鈴木さんは、「アドニミストレータ向けのコースや、当部署が力を入れているWebアプリケーションの脆弱性診断に関するコースなど、まだまだ受講したいコースはたくさんあります」と、どこまでも貪欲。GIAC認定の取得については、「受講の成果を維持するためにも認定資格制度を活用し、今必要な情報や知識を長期的にキャッチアップしていきたいと考えています。基礎的な部分はCISSPでカバーできると思いますが、テクニカルな領域ではGIACレベルのスキルがないと何もできません。GIACの認定を取得すれば、この世界では一目置かれるでしょうね」と意気込みを覗かせます。
組織内でも、SANSトレーニングは業務に有用な情報収集・スキルアップの機会として位置づけられており、今後も受講者を核に、さらに多くの相乗効果が生み出されることは間違いないでしょう。鈴木さんが「運用部門にも受講を勧めたい。考え方が変わるはずです」と強調するように、その効果が組織横断的に連鎖していくことも期待されます。
組織における展開をこう考える
最初に受講機会に恵まれた私は、その独自性に多くの可能性を感じ、SANSトレーニングを組織内で積極的に活用していきたいとの思いを強くしました。期待どおり、当社の組織内CSIRTや脆弱性診断チームの活動を計画する主要メンバーは、SANSトレーニングを通じて確実にスキルアップしています。
引き続きSEC504、AUD507を中心に受講者を増やしていく予定で、トレーニングのみでなく、GIAC認定を推奨資格として位置づけたいとも考えています。
ソフトバンクBB株式会社
技術統括 商用ネットワークセキュリティ推進室
日名子 聡志 さん