Xでセキュリティのキャリアについて何名かの方とやりとりする機会があったので、私が名乗っている「セキュリティマネージャ」とは何なのか。を書いてみることにしました。
前置き
最初にお断りとして、セキュリティマネジメントの姿は組織によって異なります。
その組織の種類(事業会社かセキュリティベンダか等)、システムの規模、セキュリティ担当の人員数、予算、経営層のセキュリティ意識など様々な要素により、組織の課題も解決へのアプローチも異なるため、マネジメントの正解は1つではありません。
ですので、ここで私が書くのはあくまで「私の組織における」話です。
私の所属組織は公には書きませんが、属性としては以下の通りです。
- 典型的なJTCの事業会社
- システムの規模や組織の従業員数はかなり多い
- セキュリティ予算も恐らく一般的な企業に比べると多い
- 経営層のセキュリティ意識は元々非常に高い
一般的なセキュリティマネージャの定義
経産省のデジタルスキル標準ではこんな感じに定義されています。
これはDXに重点を置いた記載ですが、DX関係なくとも大きな違いはないと思います。
対応方針の立案・計画・管理・統制 がいかにもマネジメントって感じですね。
(私の組織における)セキュリティマネージャのお仕事
私の業務を分類すると以下7種類です。
これらを私を含むチームメンバが毎年遂行し、私がその全体を管理しています。
リスク評価と改善計画の立案
組織のリスク評価を行った上で改善に向けた中長期計画を立てたり、それを元に毎年のプロジェクト計画に落とし込んだりリソースを確保したりします。中長期計画は環境の変化に応じて何度も見直します。
セキュリティ強化プロジェクトの管理、推進
戦略に対する実装状況を管理したり自分で推進したりします。
プロジェクトとは、例えば新たなセキュリティ対策ソリューションの導入検討や推進などです。セキュリティ関連ドキュメントの作成
ポリシーレベルというよりはプロシージャやガイドラインレベルのシステム開発部門に守らせる要件を具体化します。
皆さんが憎む「セキュリティチェックリスト」のメンテナンスと同義です。システム開発プロジェクトの支援・評価
システム開発部門が設計や実装面で困っていることがあれば相談に乗ったり、各プロジェクトのセキュリティ品質を前述のチェックリストを用いて評価します。
脆弱性診断も行いますが、私の組織ではアウトソースしている&事務局業務が私の担当ではないので今回は割愛します。インシデントレスポンス
教育
一般的には組織全体の従業員に対する意識啓発や訓練を指しますが、私の担当範囲では、システム開発部門に対する脅威やセキュリティ要件のレクチャーを行います。他社交流・情報収集
同業他社の取り組み状況やベンダー各社の動向把握などです。
この他に「戦略や計画にない突発的な検討タスク」も沢山ありますが、どんなお仕事でも共通的にありそうなので割愛します。
また、2.で導入した各セキュリティ対策ソリューションのインフラ的な管理(バージョンアップや障害対応)は別部門にお願いしているので、ここには含みません。
必要なスキル
セキュリティマネージャとして活躍するために必要なスキルを4つに分けてみました。
- ITとセキュリティの技術に関するスキル
- セキュリティのマネジメントに関するスキル
- 組織のビジネス、システム環境や文化に関する知識
- ソフトスキル、コンピテンシ、性質
どれも必要不可欠ですが、「高いレベル」を目指すのはどれを優先すべきでしょうか。
エンジニアが多いXではお叱りを受けるかもと思いつつ、、
私は、3 ≒ 4 > 2 > 1 だと思います。
誤解なきように言いますが、1は低くて構わないというわけではないです。
1が高レベルだと非常に強い武器になるけれど、その前に3や4がないとどうしても成果を出しづらい。ということです。
3. 組織のビジネス、システム環境や文化に関する知識
事業会社のセキュリティに向き合うわけですから、自組織の事業特性やシステム環境の知識は何よりも必要です。これ無くしては意味のあるリスク評価は出来ません。
リスク評価の手法は様々ありますが、手っ取り早い手法の一つとしてISMSやCIS Controlsなどで挙げられる対策と自組織の状況を突き合わせて要改善ポイントを洗い出す方法があります。それを行うにしても、
表面上はできていないように見えるが、実は組織の別の対策によって補完されるから改善の優先度は低いとか、
そういった対策リストには登場しないものの従来から経営層が懸念しているリスクがあるとか、
組織の歴史が深く、システム環境が複雑になればなるほどこんなローカル事情は増えますし、それを踏まえてリスク評価をしないと納得感のある改善計画に繋がりません。
加えて、人脈面も重要です。
どういう壁を突破したい時に誰がキーパーソンなのか、その人はどうアプローチすれば突破しやすいのか。
転職時にはポータビリティの無い(ついでにロマンもない)ノウハウですが、難易度の高い業務を進める時ほど軽視できない要素です。
余談ですが、昨今は転職するのが当たり前、しないと逆にマズいと言われる世の中ではあるものの、このスキルに限って言えば長くいればいるほどその組織内では磨かれていくため「出世して高いお給料をもらう」ことを目指すのであれば、腹を括って同じ会社で長く頑張るのも1つの戦略だと思います。
4. ソフトスキル、コンピテンシ、性質
ざっくり書いていますが幅広いです。
「ソフトスキルやコンピテンシ」とは、課題の把握力、解決までの方向性の決め方、段取り力、コミュニケーション力、プレゼン力など様々です。
「性質」とは、継続的に勉強できるか、素直さとしたたかさをうまく両立できるか、他部門と揉めた時の押し引きに強いか、何か成し遂げられなかった時にへこたれないか、いざという時に人前で指揮することが好きか、みたいな明確に定義できないメンタル面の部分が多いにあります。
こういうものがいい感じに揃っていて、組織の文化にマッチしていると「仕事ができる」と表現されるように思います(正解が1つではない世界です)。
この方のポストは、楽かどうかは別として、自分の体験的にも共感するものがありました。
セキュリティ専門会社入るより事業会社の自社サービスのセキュリティ担当の方が給料良くて仕事が楽なんだよな。自社プロダクトの設計段階からセキュリティ要件の洗い出しに関われるし、運用でもSREでも引っ張り凧で重宝がられる。そんな感じからセキュリティ担当に一番必要な能力はコミュ力。 https://t.co/I4WLJi6Wp3
— LiNK_Speed@異世界SES傭兵 (@link_speed) January 8, 2024
2. セキュリティのマネジメントに関するスキル
セキュリティの原則的な考え方、リスク評価の手法、脅威や業界の動向などが含まれます。
基礎知識を習得するために資格学習が有効であり、CISSPやCISA、安全確保支援士の勉強が役立つと思います。
また、私が自組織のセキュリティチームに入った頃は本当に何も整理されておらず、以下のような状態から全部整理しました。
こういう業務経験を通してマネジメントの動き方が自然と身に着いたと思います。
- 自組織のネットワークにインターネットとの境界面がいくつ・どこにあるのか誰も分からなかった(資産管理、構成管理の未整備)
- セキュリティ対策ソリューションはFirewallくらいしかなかった(リスク評価と強化計画の未実施)
- セキュリティインシデントが起きても、そのSeverityを分類する定義も対応手順も無かった(インシデント対応の未整備)
- システム開発部門が守るべきセキュリティ要件が明確でなかった(セキュリティ要件の未整備)
加えて、去年このブログにせっせと書いていたセキュリティガイドライン類のまとめも大いに役立っています。やはり有識者の知恵は偉大です。
1. ITとセキュリティの技術に関するスキル
さらっと「IT」ってまとめていますが(皆さんご存じの通り)死ぬほど幅広いです。
セキュリティはとにかく何にでも関わるので、プログラミング、ネットワーク、サーバ、様々なプロトコル、クラウド、IoT とにかくなんやかんやとキリがないです。
「セキュリティ」は攻撃者目線の侵入や診断のスキル(いわゆるレッド系)であったり、防御者目線のログ分析やフォレンジック、マルウェア解析のスキル(いわゆるブルー系)など、これまた幅広です。
私の個人的な感覚でしかありませんが、セキュリティ組織を立ち上げて一通り対策を揃えるところまでは、1は高度なスキルが無くとも何とかやってこれると思います。
何故かというと、ここまでは外部のセキュリティベンダの力を借りて進められる、お金で解決できる世界だからです。
しかし、それが一定程度充足すると、管理粒度を上げたり管理の最適化を目指すこととなり、その際にどうしても技術力が必要になります。Security as Codeなんてまさにです。
ここから先に進むには自組織の環境の理解+攻撃手法の理解+各技術領域の理解を連携する必要があるのですが、そこまで踏み込んでくれる外部のセキュリティベンダは見たことがなく、自分達で頑張るしかないと思っています。
セキュリティマネージャというキャリア
セキュリティマネージャって目指せるのかしら という考えを書いてみます。
今、技術的に未経験なんですが
私はITのスキルもセキュリティのスキルも何も無いんです~という人がセキュリティマネージャを目指すことは可能なのでしょうか。
そもそもそんな人いるのかという話もありますが、実は私はこのパターン(※)でした。
だから可能だとは思いますが、少なくとも上述のスキル4が無いと厳しいように思います。3も重要ですが時間と業務経験が解決します。
自分の知識がない中で組織を支える様々なITインフラの課題を把握して改善を目指すためには、素早くキャッチアップする力、関係者と良好な関係を気づきつつ時にはぶつかって戦う力など、色んなものを駆使しないとやっていけません。
最初からその全てを持っていなくとも、必要なスキルや振る舞いを都度気づいてアドオンしていける器用さはいると思います。
あと、組織がセキュリティ予算をかけてくれることも大事です。
最初、分からない時ほど外部のプロに頼らざるを得ないので、その予算すら出してくれない組織だと詰むと思います。
その意味で、これからセキュリティマネージャを目指して事業会社に飛び込む場合は、自分のスキルにあわせて入る企業の性質を選ぶ必要があるかもしれません。
※ 私は正確には目指していたわけではなく、プログラミング、ネットワーク、サーバなど何一つ経験がない中、たまたま約10年前に独学で旧セスぺを取ったところ「じゃ興味ありそうだからセキュリティ担当ね」とアサインされたのが始まりでした。で、今1のスキルが足りずに苦しいので勉強中です。
(2024/01/12 追記) 「未経験からでもマネージャを目指せる」は事実ですが、ベストではないと思い、補記です。 私はたまたまその道でしたが、やはり技術力が無かった点で苦労したし、他のエンジニア経験があるメンバの方が後述の通り成長は早いです。 未経験ルートはスキル4の素質がないといきなりノックアウトになってしまう道なので、これからキャリアパスを考える方はエンジニアから始めるほうが勝率が高く、王道だろうと思います。
「3 ≒ 4 > 2 > 1 」と違うじゃんと思うかもしれませんが、1を最優先で高いレベルにするのではなく、一定程度は事前にあったほうが効率的だよね。という感覚です。鶏卵論ですね。。
今、セキュリティエンジニアの道にいるんですが
前述の通り、1のスキルが既にある人は強い武器を持った状態からスタートできます。
2~4のスキルが必要不可欠なことに変わりはありませんが、性質面が大きい4はともかく2、3は数年あれば後から付け足せます。
元々1を持つ人がそれらのスキルを追加した時の化け方は半端じゃないです。
Xを始めたこの1年間で、高い技術力を持ってそうな方々が、周囲のエンジニアが凄すぎて「自分がこれから価値を出していけるんだろうか」的な悩みを呟いているのを何度も見かけました。
そういう方には信じられないかもしれませんが、そうした悩めるエンジニアが参画すると一躍ヒーローになれるような場所が、事業会社のセキュリティマネジメントの現場にはあります。
最初は今いるセキュリティマネージャの片腕となって、エンジニア中心の仕事から徐々にマネジメント領域にも広げていけると二刀流の理想の戦士になれると思います。あとはどこかのCISOになるなり独立するなり(適当)。
さいごに
ここまで読んで、何が楽しくて事業会社のセキュリティマネージャなんぞやらねばならんのだ。と思う人もいるかもしれません。それは人それぞれなので全く構わないと思います。
新技術の第一人者になったり、グローバルな舞台で活躍できるようなベンダ側に比べると事業会社の仕事は内向的でこじんまりしているのも事実だと思います。
ただ、私は、事業会社目線で見たときに「沢山いる外部のプロの一人」よりも「セキュリティに詳しくありながら自組織のことだけを本気で考えてくれる稀有な存在」のほうがなんか存在意義ややりがいを感じやすくていいな、と思ったので今のお仕事をしています。
こういう考えに至る組織やキャリアがあるんだな~と思ってもらえればいいかなと思います。
ちなみに上にも書きましたが、私の組織でもまさに1のスキルが壁となって悩んでいるので、エンジニアの方大歓迎です。
私が採用も担当しているのでもし興味あればDM下さいw
