CISSP（Certified Information Systems Security Professional ）の認定資格は、情報セキュリティ分野におけるゴールドスタンダードと見なされています。それは、CISSPプロフェッショナルの認定を取得することにより、すべての扉が開くからです。その扉はさまざまな職種やチャンスにつながっており、情報セキュリティのコミュニティがさらにダイナミックで多面的なものになります。

ISC2はこれを受けて、セキュリティ専門家が獲得したCISSP認定資格によりどのような機会を得たかを探るために、一連のインタビューを開始しました。前回はクリス・クリントン 氏にインタビューしました。今回はJapan Security Operation Center（JSOC）のセキュリティ・アナリストである青羽 真利氏にお話を伺いました。

現在はどのようなお仕事をされていますか。

私はLACのJapan Security Operation Center（JSOC）でセキュリティ・アナリストとして勤務しています。JSOCは900を超える組織にマネージドセキュリティサービス（MMS）を提供しています。私の役割はそれらの組織のシステムにインストールされているセキュリティ製品によって検出された情報を監視して分析することです。悪い影響を与える悪意のあるデータの流れ、すなわちトラフィックが見つかった場合、クライアントである組織に警告します。また、クライアントからの問い合わせや、インシデント発生時に悪意のあるトラフィックをブロックするオペレーションも担当しています。

あなたの仕事はどのような問題を解決するのですか。

不審なトラフィックを分析するには多くの時間がかかります。私の仕事はクライアントのIT担当者がデータの分析に費やす時間を短縮して、インシデント対応やその他の重要なタスクに集中できるようにサポートすることです。

社内で不審なトラフィックを監視したり分析したりする場合、IT担当者やセキュリティ担当者が検出した不審なトラフィックの膨大なリストを一つ一つチェックする必要があります。さらに、不審なトラフィックが検知された場合、誤って検知した情報でないことを確認するだけでなく、そのトラフィックが周囲に与える影響も判断しなければなりません。

JSOCのMMSでは、高度な技術を持つログアナリストが24時間365日体制でリアルタイムの監視と分析を行っています。その上で、緊急に対応する必要がある問題のみ、クライアントに緊急連絡をしています。クライアントは緊急連絡を受けたインシデントを処理するだけでよいので、データを分析するための時間と労力を大幅に削減することができます。

なぜサイバーセキュリティの世界に足を踏み入れたのか教えてください。

就職活動中、前の会社の説明会でフォレンジック調査に関する説明を聞いて面白そうだと感じました。また、誰にでもできる仕事ではないという希少性にも惹かれました。しかし、そのような分野があることを認識せずに、このサイバーセキュリティの分野に飛び込んだのです。

サイバーセキュリティのキャリアをスタートしたときの生活はどのようなものでしたか。

私は学生のときにセキュリティやコンピュータサイエンスについて学んだことがなかったため、サイバーセキュリティの分野で働き始めた当初はどこから学び始めればよいのかさえ分かりませんでした。ITの基礎知識がなかったため大変苦労しましたが、チームの先輩たちが時間をかけて私をしっかりと教育してくれたため、今の私があります。

最初のサイバーセキュリティの仕事はどのようなものでしたか。

最初のサイバーセキュリティの仕事はどのようなものでしたか。

サイバーセキュリティの資格を取得しようとしたきっかけを教えてください。

転職するまでサイバーセキュリティの分野は認識していませんでした。セキュリティ・アナリストになるためのさまざまな研修を受けたものの、ITやセキュリティに関する知識が私には足りないと感じました。

大学ではサイバーセキュリティを学ぶ機会がなかったため、また仕事では経験できないこともあって、知識を体系的に学べる資格を取得するための勉強は私にとって非常に効果的なことだと思いました。

CISSPに着手することを決めた理由を教えてください。

私が勤務する会社はサイバーセキュリティに関連するサービスを提供しているため、私の上司が専門家としてCISSPを取得する必要があると考えました。 実際、この分野で長年の経験を持つマネージャーや同僚の多くはCISSPの資格を取得しているので、自分もいつかCISSPを取得するものと思っていました。

あなたを後押ししたものは何ですか。

その他の理由は、すでに取得しているSSCPの資格でカバーできない範囲も含めて、サイバーセキュリティの知識を体系的に学び直せると思ったからです。 「SSCP Spotlight」のインタビューで2017年にCISSPを取得すると宣言したため、やるしかないと思いました。

CISSPを取得するまで、どれくらいの期間がかかりましたか。

4ヵ月ほどかかりました。2ヵ月勉強して受験したのですが、そのときは不合格でした。さらに2ヵ月勉強して合格できました。

試験はどのように準備しましたか。

大学入試のときと同じように、仕事中とやむを得ない理由があるとき以外はずっと勉強していました。 休日や通勤時間はもちろん、出勤前と退勤後の1時間も、勉強に費やしました。この2ヵ月は本当につらかったです。正直、もう二度と味わいたくないと思いました。

どのような教材を使いましたか。

私は主にCISSPのテキストを使い、テキストを何度も読みました。分からない部分はインターネットで調べ、他の専門書も参考にしました。最後は覚えていないところだけを抜粋したノートを作り、それを何度も復習しました。

また、通勤時間などの自由な時間にiPhone用のCISSP STUDYアプリを活用して、練習問題に取り組みました。初めてのCISSP試験で不合格になったとき、どの分野の成績が悪かったのか通知を受けたため、その苦手な分野を中心に勉強しました。

トレーニングには参加されましたか。

CISSPチャレンジセミナー(現・CISSP Information Session)という無料の半日コースに参加しました。

CISSPについて最も驚いたことは何ですか。

認定資格を維持するには、関連する分野でさまざまな活動を行ってCPEクレジットを取得する必要があります。その際、CPEクレジットを取得するために多くの選択肢があることに驚きました。もちろんセキュリティ会議に参加すればCPEクレジットを取得することができますが、ISC2のウェブサイトでもCPEクレジットを取得するためのオンラインセミナーやさまざまなコンテンツが提供されています。外で活動できないメンバーでもCPEクレジットを取得できるのは良いことだと思います。

業務への取り組み方はどのように変わりましたか。

より広い視野で業務の課題を認識して、さまざまな角度から考えることができるようになったと思います。また、CISSPの資格を取得して学んだことから、業務や発生したイベントの根拠や背景を考えるようになりました。

CISSPの取得後、最初にどのような変化に気づきましたか。

CISSPを取得していることで、セキュリティに関する幅広い知識を身につけた専門家として見られるようになりました。私がCISSPにふさわしい品質の仕事をすることを、周囲から期待されていると感じています。

CISSPを取得して個人的にどのようなメリットがあったとお考えですか。

CISSPを取得していることで、海外で働くという夢を実現することができました。

海外のクライアントのオフィスに常駐し、さまざまなセキュリティの観点からサポートするという、社内の公募プロジェクトがあり、海外で働いてみたかったこともあり応募しました。当時、私のキャリアはSOCの監視業務の経験のみであったため、クライアントをサポートするために十分な実務経験があったとは言えませんでした。

しかし、CISSPの認定資格を取得していたことで自分にはサイバーセキュリティについての幅広い知識があることを示すことができたため、この機会を手にすることができました。

あなたが今の仕事に就いた経緯を教えてください。

今の会社がSOCのセキュリティ・アナリストを募集していたのでそのポジションに応募しました。当時は自分の知識に自信がありませんでしたが、SOCがセキュリティ・アナリストを一から育てると書かれていたので、思い切って応募してみました。

ご自分の業務で好きなことは何ですか。

プリセールス業務を担当していた頃は、セキュリティ・アナリストの立場から、見込み客に技術情報の提供やコンサルティング、提案をしていました。

自分が提案した問題の解決策をクライアントが満足されたときにやりがいを感じます。

一番誇りに思っている業績や貢献について教えてください。

繰り返しになりますが、ASEAN諸国でセキュリティの専門家向けの研修を行ったことです。この研修は、JAIF（日・ASEAN統合基金）2.0で採用されたプロジェクトの1つです。サイバーセキュリティの分野でのデータ分析の実務経験や知識を生かしながら、国際協力に貢献できたことを誇りに思っています。

キャリアにおいて直面した最大の課題は何でしたか。

タイで開催されたASEAN諸国のセキュリティ人材育成を目的とした研修で、講師としてネットワークフォレンジックについて説明したことがあります。私の会社は日本国内で業務を行う企業なので、日常業務で英語を使う機会はほとんどありません。また、私は帰国子女でもなければ留学経験もないため、海外の経験が豊富な他の講師と比べて、海外での講師役は大変な挑戦でした。私の英語を学習する姿勢を評価し、素晴らしい機会を与えてくれた会社に大変感謝しています。

今後のキャリアにおける目標を教えてください。

今後は国内外での仕事に加えて、サイバーセキュリティに関する国際協力など、国際的な活動も行いたいと考えています。その場合、ビザの取得や採用条件によっては情報関連の学位が必要になります。私は情報システムの学位を持っていないので、大学院でコンピュータサイエンスについて再度学習して研究し、将来のキャリアの基盤となる学位を取得したいと思っています。

現在のサイバーセキュリティの最大の課題は何だとお考えですか。

個人的には人材育成が課題だと感じています。

IT担当者とセキュリティ担当者が学生時代にコンピュータサイエンスとセキュリティを学んだとは限りません。それでも、セキュリティも担当するIT担当者に求められる作業量と知識、責任は日々高まっています。

この高まりの背景には、IT技術の進歩、取り扱うセキュリティ製品の増加、サイバー攻撃の激化があります。このような困難に自己研鑽で対処できる人もいますが、それには限界があると思います。

それに対処できる解決策は何でしょう。

IT担当者とセキュリティ担当者が理論と実践に基づいて、実際の業務に必要なITとセキュリティの両方のスキルを定期的に習得できる教育の場を持つことが重要だと思います。

まず、組織側がこれら担当者の研修や教育の機会に投資することを惜しまないことが重要です。ITセキュリティの業務には複雑で高度な技術的スキルが必要であるにも関わらず、組織は担当者に研修を受けさせずに、自らスキルを向上させるように指示しているという話をよく耳にします。組織は質の高い仕事を遂行するために担当者の教育に投資する必要があり、それは組織のより良いリスク管理につながります。

次に、教育という観点では、IT技術とは別にセキュリティのみを教育対象とすることも状況によっては重要ですが、先ほどの「前提」に基づいて、実際の運用に必要なIT技術とセキュリティを総合的に学べる教育が必要です。

サイバーセキュリティの世界で、あなたは誰から刺激を受けていますか。

セキュリティ業界の親しい仲間や同業者から日々刺激を受けています。皆が私にないスキルや知識を持っているので、自分自身を高めようという気持ちにさせてくれます。

サイバーセキュリティの道に進みたいと考えている人が知るべきことは何でしょうか。

この業界で生きていく人々は、IT技術とサイバーセキュリティの情報の目覚ましい進歩に遅れずについていくことができるよう、毎日情報を収集し、知識とスキルを向上させる必要があると思います。

CISSPの詳細については、Ultimate Guideをダウンロードするか、ISC2のホワイトペーパー9 Traits You Need to Succeed as a Cybersecurity Leaderまたはサイバーセキュリティとビジネスの成功を両立させるためのガイドをご覧ください。 その他にも、 CISSPインタビューシリーズ の一部として、他のCISSP取得者とのインタビューもご覧いただけます。

原文記事：https://blog.isc2.org/isc2_blog/2021/04/cissps-from-around-the-globe-an-interview-with-mari-aoba.html