2LoD.sec

セキュリティマネージャの仕事やセキュリティガイドラインの要約など

【雑記】セキュリティマネージャによる中途採用面接の胸の内

雑記

突然ですが、今回は中途採用の面接官目線の話を書きます。

私は事業会社のセキュリティマネージャとして新しい仲間を増やすべく、どうすればより良い採用に繋げられるのか日々めちゃくちゃ悩んで試行錯誤しています。


この記事を書くにあたり、人事や採用のプロが指南する「面接の掘り下げ方」系の情報を調べました。

その多くは私が普段見ている観点と同じものでしたが、一部、私の立場ならではの「現実目線」があるように思ったので、書いてみます。

面接の目的

ごく普通の話ですが、採用面接には3つの目的があると思います。

  1. 企業が応募者のスキルを評価する
  2. 企業と応募者間の価値観や希望のミスマッチを防ぐ
  3. 企業が応募者に評価してもらう(今回は触れません)

1の確認のためには応募者のWhatを、2のためにはWhyを掘り下げる必要があります。

そしてWhatには「「事業会社のセキュリティマネージャ」というキャリア」で書いた通り、以下のような観点があります。(3つ目は応募者が知るわけがないので対象外)


  1. ITとセキュリティの技術に関するスキル
  2. セキュリティのマネジメントに関するスキル
  3. 組織のビジネス、システム環境や文化に関する知識
  4. ソフトスキル、コンピテンシ、性質


面接官は短時間のうちにこれらを見極める必要があるため、様々な意図を混ぜながら質問します。

応募者にとっては、飛んでくる質問が何を意図したものか理解できると的を外した問答を避けられると思いますので、分解してみます。


あくまで私の職場の課題などを踏まえてこんな意図でこんな質問をしているという話なので、1つの事例として捉えてください。

自己紹介タイム

質問の前に自己紹介タイムです。

当然ながら私は事前に応募書類に目を通していますが、最初に「簡潔に」自己紹介をお願いします。


分かっている情報をあえて聞くのは3つの理由があります。

1つ目は、やはり面接は緊張するでしょうから、応募者の準備体操タイムとして。

2つ目は、事前に用意した質問候補の中から、どの質問を聞くか決めるため。

3つ目は、自己紹介から沢山の情報を得られるためです。以下はその一例です。

  • 話を簡潔にまとめられる
  • 話のメインメッセージを明示できるか
  • 聞き手の立場にあわせた説明ができるか
  • ご本人の人柄(元気そうか物静かそうかなど色々)


面接が得意な方は、経歴、得意分野、転職理由など多くの情報をコンパクトにまとめて、アピールポイントがよく分かるように話されます。

そうでない方は「簡潔に」とお願いしたにも関わらずこまごま長々と話してしまいます。


また、私は第一声の挨拶の際に、自分がセキュリティチームのマネージャであること、入社頂いた際には私のチームで一緒に働いて頂くことをはっきり伝えます。

面接が得意な方は、それを踏まえて一般的なセキュリティ用語はそのまま使い、私が知らないであろう現職の社内用語はかみ砕いて話すなど、効率的に目線をあわせて話されます。

そうでない方は、全て細かく話して冗長になるか、全て何も説明せずに突っ走ってしまいます。


誤解なきよう書きますが、もちろん自己紹介だけで全てを決めつけることはしません

緊張ゆえの不調かもしれないし、他に魅力的な要素をお持ちかもしれません。

でも、最初の1~2分で期待値がおおむね見えてくるのも事実だと思います。

質問タイム

鉄板系

まずは共通的な質問です。

  • 転職理由

    ここでは「面接の目的」の1,2どちらの観点も確認します。

    1は前向きな思いを持てているか、この後の「志望動機」と紐づけて論理的に考えが整理されているか。

    2はその方の価値観。もっとこういうことがしたい!とか、マッタリ働けそうだからとか。

    価値観から良し悪しを決めることはなく、自社の実態と照らし合わせてどちらかの期待外れにならないかを気にしています。

    ちなみに、「年収アップ」とか表に出しづらいと思うかもしれませんが、これも立派な理由です。

  • 当社の志望動機

    ここでも「面接の目的」の1,2ともに確認します。

    いきなり悲しい話ですが、私がいるようなJTCは、GAFAMのようなスペシャルな企業でも、なんだかキラキラワクワク感のあるベンチャー企業でもありません。

    だから「なんとしてもここに入りたい!」と特別な思いを持って挑まれることは少ないです。(なのでどこもイメージアップに必死です)

    面接官も当然それを知りながらこの質問をするのは、転職理由と志望動機の一貫性や論理性の確認です。

    理由をシンプルに捉えられている方は、行動にもブレがありません。

    高尚な理屈でなくとも、転職理由が「自宅から今の職場が遠すぎるから」志望動機が「家から近いから」とかでも構わないと思います。違いはその後の質問で掘り下げるかどうかが変わる程度です。

  • これまでの業務でどんなことを課題と捉え、どう解決したか

    「面接の目的」の1が中心の質問です。

    ここで気にしているのは「課題認識の目線の高さ」「課題解決のアプローチ」です。

    目線の高さについて正確に言うと、応募者の経験年数/役職と目線の高さのギャップを確認しています。

    応募者が若手の方であれば、現場ならではの細かい課題の話をされるのは自然なことです。

    でも中堅以上の方でしたら、組織や業務プロセスなどに関する、より範囲が広い課題の話が出てほしいと期待します。

この他、「仕事の中でどんな時に嬉しかった/辛かったか」「希望年収」なども質問します。

これらはどちらも「面接の目的」の2を確認するためです。

希望年収を聞くのは賛否ありますが、提示条件を値踏みする目的ではありません

仮に「次の面接に進んで頂きたい」と思っても、提示できる条件が応募者の希望から大きく離れていた場合は、最後まで引き延ばしたところで不幸な結果になります。

そうならないためにも、そういう方には不合格ではなく提示できる条件をその段階で正直にお伝えしたいので確認しています。

掘り下げ系

「面接の目的」の2は鉄板系の質問で確認し、この後は1の質問が中心となります。

  • これまでにご経験されたXXプロジェクトについて詳しく教えてください

    職務経歴書や自己紹介の中から募集ロールに関するものについて詳しく教えていただきます。

    セキュリティの戦略立案、ポリシー策定、リスク分析の経験内容を確認する場合もありますし、マネジメント系の経歴でない方にはサーバ、ネットワーク、クラウドアプリ開発など、どの分野でどういう役割を担って何をされていたのかを確認します。

    加えて、私はここで応募者が「泥臭い仕事に飛び込めるか」も確認します。

    そのために、説明頂いたプロジェクトの細部(いかにも苦労してそうな所)に突っ込んだ質問を掘り下げます。

    セキュリティマネジメントの業務は、管理対象の組織、人員、システムの規模が大きいほど一筋縄ではいかなくなります。

    「組織全体のセキュリティパッチの適用方針の強化」というテーマを例に挙げると、セキュリティ担当としては綺麗な方針作りと現場への指示出しに徹すれば楽ですが、少なくとも私の会社ではそれだけでは何も進みません。

    対象システムを網羅的に洗い出し、スコープと優先順位を決め、適用に向けた課題を把握し、乗り越えるための方策を模索するなど、細かな調査や調整を一つ一つ泥臭く乗り越えていかないと、まともな運用には繋がりません。

    そうした振る舞いをこれまでにやってこれられた方は、細部を質問しても明快に(むしろよくぞ聞いてくれた的に)答えられますし、そうでない方はゴニョゴニョとなってしまいます。

  • セキュリティが分からない人向けにXXという言葉を説明してください

    本質の把握力と説明力を確認します。

    説明対象のキーワードに決まりはありません。SBOMでもCSPMでもEDRでもなんでもよいです。

    イジワルしたいわけではないので応募者の経歴的に知らないテーマは避けて、これまでのやりとりから知ってそうなキーワードを決めますし、応募者が知らない用語だった場合はキーワードを変えながら確認します。

ここは企業によって大きく違いがでる部分だと思います。エンジニア系の職種ならもっと技術力を深堀する質問の比重が高いと思います。

変化球系

「面接の目的」の1を確認します。

ここでは咄嗟に聞かれると焦るような質問をします。これまでのやりとりで私が「この方凄いなぁ、素晴らしいなぁ」と思った時に「じゃあこれならどうだ!」的にお聞きするものです(でも決して圧迫じみたことはしません)。


例えば以下です。

  • 世の中ではゼロトラストが流行っているものの、なかなか導入効果が得られていない企業が多いと聞きますが、その理由はなぜだと思いますか?
  • 当社にはXXXな課題があるのですが、あなたならどうすればよいと思いますか?
  • 当社のセキュリティについて外部から見て課題と思う点があれば教えてください

どれも正解はないです。

事前に回答を用意しづらい質問に対して咄嗟にどんな理屈で答えるのか、アタフタしてしまうのかを確認します。


ちなみに3点目は私が過去に転職活動をした時に受けた質問です。

(内心は知らんがなと思いつつ)応募先が大企業でしたので、グループ会社が多いはず・そしてそれらのガバナンスはきっと行き届いていないはずと推測し、いくつか知っているグループ会社に言及しつつ「詳細はもちろん分からないけど、例えばこういうグループ会社のこういった統制面に課題があるのではと推測します」的なことを答えました。


実務においても経営層クラスはこういう知らんがな系の質問をバンバンしてくるので、咄嗟にそれっぽい(嘘ではない・何も答えないわけでもない・そして大きくは外さない)切り返しをするスキルは意外と重要です。

応募者からの質問タイム

ここは「面接の目的」の3の時間ですので丁寧に分かりやすく伝えるように頑張りますが、その際にも「どういう質問をされたか」は確認しています。


もちろん質問はご本人が真に知りたいことをぶつけていただくのが一番良いです。

なので質問内容によって減点することは一切しませんが、以下の質問が来ると「この人は転職後に活躍する未来を本気で考えているんだな」と嬉しくなります。

転職理由が「現状からの逃げ」だけの方からはこういう質問は出てこないです。

  • あなた(=面接官の私)が今抱えている仕事の中で最も難易度の高いタスクはどういうものか
  • あなたの組織では今後中期的に何をしようとしているか
  • 今あなたの組織が抱えている課題は何か
  • 自分(応募者)が入社した際には、どんな人たちと働き、自分はどんな役割が与えられる予定か

おわりに

この記事を読んで「全部当たり前のことじゃん」と思われた方は、恐らく面接が得意な方だと思います。

そうではなく、なんだか苦手でから回ってしまう方にとって、この情報が有意義に活用され、ご本人の実力や魅力を100%伝えられる助けになればと思います。


そして重要なことですが、この情報を知ることで面接官の意図を汲み過ぎて自分らしくない方向に飾ることはしないでください。

面接官は応募者と会社両方にとってベストな選択をしたい一心なので、ご本人の未来のためにも本音で臨んで頂ければと思います。


あと、自社は面接の時にこんな観点で質問してるよとか、自分が採用面接でこんなこと聞かれたよとかあったら私も勉強したいので教えてください!


これまでの記事一覧はこちら