【BIG4】「セキュリティ」の専門的知見はキャリアに活きるか?

SHARE

目次

この記事の対象の読者

  • 大学生でこれから就職活動を控えていて、どんな仕事があるのかを知りたいような人
  • 新社会人、第二新卒で今のキャリアに悩んでいるひと
  • アラサーで今エンジニア、システムエンジニアで転職を考えている人

このような人を対象の読者として想定しています。自分のキャリアを皆さんに簡単に紹介するとともに、「セキュリティ」の知見をもって歩んでいくキャリアというものもあるんだよ、ということがなんとな~くわかっていただけるような状態を目指しています。

結論から言うと、BIG4のプロフェッショナルファームに入ってセキュリティの知見を学んだことは、自分のキャリアにとって大きなプラスになりましたし、迷っている人にはぜひおすすめしたいと思っています。

簡単なキャリアの紹介

この記事の著者

筆者 10日間で基本情報技術者に合格経験あり

ピザまん

元コンサルでセキュリティ専門家

東大理系のとある学部を卒業後、2-3年ほどメガベンチャーにて新規事業の推進に携わる。 キャリアの底上げをと、BIG4に転職。技術的なセキュリティというよりは、運用面でのセキュリティ対策を中心として支援を実施。「支援側」でいるより「実行側」にいたいという思いからStartupに転職。 現在はセキュリティ方針の策定や事業推進が両軸のアラサー。 セキュリティとガジェットが好き。

大学と内定

東大の理系学部を卒業。特に専門的な知見がたまる学部ではなかったし、大学レベルの理系学問に対する興味もあまりないということが自分でもうすうすわかっていたので就職を目指した。今考えたら少しアホっぽい気もするが(後悔はしていない)、「就職活動をみんなと一緒に一斉にやるのだせぇ」みたいな変なとがり方をしていたということもあり、3年次にインターンを募集していたベンチャー企業に内定し、そこでいいや~と緩く就職先を決めるという意味不明ムーブでよく考えずに就職先を決定。

大きめのベンチャー企業に就職

新規事業の推進チームに配属され、これまで様々な苦難を乗り越えてきたその道のエキスパートたちと日夜奮闘。より経営に近いコンサルタントとして働きたいという思いが芽生えてきたころ合いでプロフェッショナルファーム(BIG4)に転職。

プロフェッショナルファームとして

セキュリティ・プライバシー、先進技術(ブロックチェーンなど)を中心としてコンサルティングサービスを多数提供。アドバイスを提供する側と、実際に推進する側で越えられない壁があることを日々痛感し、推進側に回ろうという思いから黎明期のベンチャー企業に転職。

ベンチャー企業の事業推進として

「セキュリティ」を軸としつつ、全社の多方面の課題の解決に奔走する。コンサルタント時代に培ったソフトスキルが結構役に立つということを痛感する。

「セキュリティ」が切っても切れない時代

以前このような記事を書きました。

もはや現代で新しくビジネスを始めるという中で、人材事業にせよ、不動産事業にせよあらゆる事業でITを使うということは当たり前の時代となっています。多くの人がITを使い、様々な価値のあるデータがシステムに保存されていくほど、このデータを狙ったサイバー攻撃の脅威は増え続けているのです。

ITをサービスに絡めている企業であっても、単純に社内のためだけにITを利用している企業であっても、サイバー攻撃による被害は甚大であり、数十億円というお金が一瞬で動いてしまうような事案が容易に発生しうる時代となっています。

そのため、企業活動を営む上では、多くの優秀な経営者は「セキュリティ」を一つの重要な経営課題として位置付けており、そこにリソースを割いているのが実情です。(ただし諸外国に比べて日本がまだまだという事情はあります)

即戦力のスキルを身につけるプログラミングスクール【DMM WEBCAMP 学習コース】

「セキュリティ」と一口に言っても色々ある

一言で「セキュリティ」と聞くと、何を思い浮かべるでしょうか。多くの人は、黒いパーカーを被った怪しい人が、何かしらをPCに打ち込んでいるような映像をイメージするのではないかと思います。

「セキュリティ」のイメージ

よくわかります。私もコンサルタントとして就職する前は、このようなイメージを持っていましたし、「セキュリティに詳しい」=「なんか難しいコマンドとかたくさん打って、何なら悪いことできそう」みたいな印象を抱いていました。

情報セキュリティの文脈では、セキュリティは対象の機密性・完全性・可用性を保つことを指します。言い換えれば、関係のない人からのアクセスを防ぎ、情報を最新かつ改ざんされない形で保存し、いつでも使える状態にしておく、ということを指します。

セキュリティのイメージと実際の乖離

セキュリティを保つための営みは、世間一般の人が思い浮かべるのとは裏腹に、実は企業のガバナンス、オペレーション、そしてテクノロジーという幅広い分野によって成立しています。

  1. ガバナンス:企業のミッションを推進するために、どのようなセキュリティ戦略を策定していくのかを検討し、策定された戦略通りにセキュリティが実践されているのかを把握・評価し改善していく営み。
    (一般的な整理における組織的管理策の一部を含む)
  2. オペレーション:例えば適切な人にのみアクセス権を与える、脆弱なプログラムに対してセキュリティパッチを適用するなどセキュリティを確保するための人による運用を指す。
    (一般的な整理における組織的管理策、人的管理策、物理的管理策、技術的管理策の一部を含む)
  3. テクノロジー:セキュリティを保つために、事前に設定されたロジックに基づいて、自動的に処理を行う機構を指す。
    (一般的な整理における物理的管理策、技術的管理策の一部を含む)

そして、このような整理においてはセキュリティの専門家といっても様々です。

  • IT・セキュリティ戦略の立案をする人
  • 企業のセキュリティオペレーションの設計をする人
  • 策定されたオペレーション通りの運用を管理する人
  • オペレーションに従って作業をする人
  • セキュアな基盤やプログラムを構築するエンジニア

自身の経験を振り返れば、1・2点目くらいを進めていたようなイメージになるかと思います。いかに一般的なイメージからかけ離れている世界かということが少しでもお分かりいただけるでしょうか。

「セキュリティ」がキャリアの役に立つ理由

例えばこれから20キロ先の目的地まで車でレースをしようというときに、最速で到達するためには車にブレーキは必要ないでしょうか?そんなことはありませんよね。道が曲がりくねっていれば、時にアクセルを全開にし、時にブレーキをかけながら進んでいく必要があります。「アクセル」だけでは壁にぶち当たり、最悪の場合には再起不能となってしまいます。

これと同じことが事業を進めていくことにも言えます。事業を進めていく「道」の多くは蛇行し、問題がそこら中にあふれています。ここでいう「アクセル」とは、自社の利益の追求のためにそれ以外のことに目を向けないことであり、「ブレーキ」とは事業を進めていくことのリスクを考慮して、方法を検討し、時に何かをやめることを指します。多くの企業では「アクセル」と「ブレーキ」をバランスよく進めていきます。なぜなら「ブレーキ」を踏まずに何かに激しくぶつかってしまった場合には、場合によっては会社が終わってしまうほどのダメージを追ってしまうからです。

そしてここでいう「ブレーキ」の一つの要素として「セキュリティ」があげられます。例えば情報資産の「セキュリティ」を保つということは、この管理をしっかりと行うということを指し、対応には相応のリソースを提供する必要があります。「セキュリティ」のことを何も考えないで進んでいく場合と単純に比較すれば、事業のスピードを遅くさせる要素として働きうるということです。

ここで重要なのは、多くの会社は事業の推進とセキュリティの担保を両輪で進めていく必要がある一方、多くの企業では、これらを両軸で扱える人材は多くはないということです。将来的に事業を推進していきたいということをひそかにでも考えている人にとっては、「セキュリティ」について学んでおくことは大きなメリットになるのです。

セキュリティをキャリアに選ぶべき理由

セキュリティをキャリアとして選択することにはいくつかのメリットがあります。そしてBIG4に代表されるようなコンサルティングファームでこれを学ぶことは、キャリアにおいて相当の意味を持ちます。

①知的な専門職であること

セキュリティの分野は、先人たちが知見を深め、積み重ねてきた分野であり一定のベストプラクティスが存在しています。そして多くの場合にはこれらのプラクティスを取捨選択しながら、自社にとって最適な対策を講じていくのですが、
どのような対策を講じ(あるいは実装を行い)、対策を行わないかという判断は高度に専門的な作業であり、セキュリティに関する知見なしには実施が難しい仕事です。

セキュリティなしには語れない時代であり、セキュリティに関する知見を習得することのニーズはより高まっています。セキュリティに関する知見を習得することは、「手に職をつける」ことともはや同義といっても過言ではありません。

②高度なソフトスキルを同時に習得できること

セキュリティに関する戦略、設計を担当する場合、多くの場合は自身の考えをクライアントや自社の経営層に対してアウトプットしていくことになります。これらの作業はコンサルタント的な高度なソフトスキルが求められることから、専門的な知見と合わせて高度なソフトスキルも要求されます。セキュリティを専門とする多くの会社ではこのようなソフトスキルのトレーニングも併せて行っており、同時に学んでいくことができるのです。

③経営への橋渡しとなること

これは繰り返しになりますが、事業を推進していくことと、事業のリスクを考慮することは表裏一体であり、多くの新規事業にとっての事業リスクの一つとしてセキュリティリスクは必ず出現します。セキュリティをわかっているからこそ、つまり踏むべきブレーキのタイミングと強さが分かっているからこそ、どのようなタイミングでアクセルを踏むべきかがわかるように、セキュリティをわかっていることが事業を推進していくうえでの一つの重要なスキルとなります。

最後に

セキュリティに少しでも興味があるけどまだ全体像が分からない!というような人にとっては、ITパスポートの資格本がセキュリティの全体像を手軽に簡単にとらえていると思いますので、そちらも併せて確認されることをお勧めします!!

[理論編]東大式、ITパスポートの勉強方法

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

前の記事

[理論編]東大式、ITパスポートの勉強方法

次の記事

SaaS安全神話崩壊!? SaaS攻撃への備えが必要な理由