(ISC)² CISSP Report

サービスの品質を支える“人財”の育成を積極的に推進「セキュリティのプロ」としてCISSP資格はパスポート

NRIセキュアテクノロジーズ株式会社

情報セキュリティのフィールドで、高度な知見とスキルに基づいた付加価値の高いソリューションを国内外に提供し続ける、NRIセキュアテクノロジーズ株式会社。「人材こそがサービス品質の礎」とする同社では、セキュリティに精通するプロフェッショナル人材の育成を重要なミッションとして掲げています。その重点施策のひとつが、CISSP資格の取得推進です。自らもCISSP資格取得者である代表取締役社長の小田島潤氏にCISSP資格の価値と取得メリットについて伺いました。

  • NRIセキュアテクノロジーズが設立された経緯と事業概要についてお聞かせください。
  • 小田島 「インターネット元年」と呼ばれる1995年、NRIセキュアテクノロジーズの原型となるFNCサービスが、野村総合研究所(NRI)の社内ベンチャー第1号として産声を上げました。当時はMicrosoft Windows 95が登場し、初の商用のWebブラウザとしてNetscape Navigatorも発売されるなど、多くの人々がインターネットの利用を開始した年です。当時はインターネットの登場によってさまざまな夢が語られました。その後、社会インフラとしてのインターネットが急速に普及し、ビジネスや生活との関わりが深くなるに連れて、サイバー攻撃や犯罪の懸念も高まってきたのです。そうした脅威から企業や社会を守ることで世の中に貢献できる、そして、新しいビジネスチャンスもあるという考えから、当社の事業が立ち上げられたのです。  インターネットのセキュリティといえばファイアウォールやアンチウィルスの導入が真っ先に思い浮かぶと思いますが、当社はマネージド型のセキュリティ監視サービスの提供からビジネスを開始しました。その後、セキュリティコンサルティングサービスやセキュリティ診断サービスへも事業領域を拡大し、2000年にNRIセキュアテクノロジーズ株式会社として独立、現在に至っています。

  • セキュリティビジネスにおける貴社の市場優位性について、どのように分析していますか。
  • 小田島 当社の強みのひとつはコンサルティングサービス、マネージドサービス、ソリューションサービスを全て自社で提供している点です。コンサルティングやセキュリティ診断による“可視化”“評価”にとどまらず、24時間365日体制のマネージドセキュリティサービスや、セキュアファイル交換サービス「クリプト便」、特権ID管理ソリューション「SecureCube / Access Check」など、独自のサービスを開発・提供することで、お客様のセキュリティ強化をご支援しています。これは他社にない特異性だと考えています。

     現在、多くのセキュリティベンダーがビジネスを展開していますが、私たちが勝負をしているのは、セキュリティサービスの“品質”です。品質とは、社員一人ひとりのスキルや経験に支えられているものです。社員のスキルを客観的な指標として外部に示すには、第三者資格の取得が非常に重要となります。

    そうしたことから、当社は各種資格の取得、なかでも国内外の情報セキュリティ関連資格の取得に力を入れており、社員の資格取得にあたって必要な能力開発や研修費用は原則会社が用意するなど、教育環境の整備に努めてきました。その成果もあって、社員は“セキュリティのプロフェッショナル”として資格取得の必要性を十分に理解しており、自発的に自己研鑚や資格取得に取り組もうとする文化が醸成されています。

    そもそもNRIグループ自体が社員を“人財”と位置づけ、プロフェッショナル人材の育成とその能力を最大限発揮してもらうための仕組みや環境作りに力を入れてきました。NRIセキュアテクノロジーズでもOJTやOff-JTによる教育制度の整備だけでなく、自己研鑽のための時間として、一人あたり年間168時間以上を研修の受講や自己学習に充てるように規定しています。これは1ヶ月にならせば2日間に相当しますが、毎月その2日間を使って自己のスキルアップに努めることをミッションとして定めているのです。

  • 業務との兼ね合いもある中で、168時間もの時間をどのように確保しているのでしょうか。
  • 小田島 NRIグループには人材育成・評価について「C&A(Challenge & Act)」と呼ばれる制度があり、能力開発と業績評価のために、上司との面談を通じて半期ごとに個人別の目標を明確化し、その目標の達成度合いを都度、確認・評価しています。その中で、168時間の自己研鑽目標を具体的にどのような行動をとることで達成していくのか、計画表を作成します。例えば「CISSP資格の研修が7月9日から13日に開催されるので受講する」といった行動計画を立てたら、1日8時間を5日間、合計40時間と記入します。このように行動プランを積み上げ、計画時点で168時間を確保していくわけです。そして、半期ごとに上司と面談を行い、計画通りに進んでいるのか、実績をチェックしています。



    幅広い知識を体系付けながら網羅的に習得できるCISSP資格

  • 社員のスキルアップの一環として、CISSP資格の取得にも熱心に取り組まれていますね。
  • 小田島 日本の国家資格である「情報処理技術者資格」のほか、数十種類の国内外推奨資格を設定していますが、創業当時からグローバルでのビジネス展開を視野に入れていたこともあり、国際的に認定されているセキュリティ資格としてCISSP資格に着目していました。私自身も2000年の会社設立に伴いNRIから当社へ異動をした際に、すぐにCISSP資格を取得しました。

    当社でCISSP資格を評価している点としては、CBK(Common Body of Knowledge:共通知識分野)8ドメインを学ぶことで、セキュリティに関する知識を網羅的かつ体系的に習得できることです。特定の技術分野だけに偏っていては、日々、高度化・複雑化を続けるセキュリティの脅威には対処できません。つまり、サーバーやネットワークからPC、スマートフォンまで、セキュリティ知識と防御のポイントを幅広く理解する必要があります。そうした観点からCISSP資格のCBKはバランスよく配分されているので、幅広く必要な知識を習得できます。また、自分自身の得意な分野と苦手な分野が明確になることもメリットです。例えば、暗号理論は熟知しているけれども、実際にシステムを構築するのは不得手であるとか、逆にセキュリティシステムの構築では経験を積み上げていたつもりが、理論は弱いとか、自分の弱点を再認識するのにも有効です。

    プロフェッショナルの育成を支える人材育成の仕組み

  • セキュリティのプロとして、幅広い知識の習得は不可欠というわけですね。
  • 小田島 当社では、“T型人材”と呼ばれるような特定の分野を深く極めながらも、その他の分野についても幅広い知見を持った人材の育成を目指しています。セキュリティは取り扱うべき領域がますます広がっており、全方位での知識が求められますが、その中でも自分が強みにできる領域を社員が自ら見つけ出し、それをさらに深掘りして欲しいと考えています。そのためにも5年間ごとに監視や診断サービス、コンサルタント、ソフトウェア開発と、社員のジョブローテーションを行っています。このようなOJTによる取り組みに加え、Off-JTに該当するものがセキュリティ資格の取得であり、中でも体系的に学習できるCISSP資格はT型人材の育成に有効であると感じています。

    このほかにも、CISSP資格は学習を継続しなければ資格を維持できないことも評価ポイントですね。資格を取得すればそれで終わりではなく、常にスキルを研鑽していくためには最新動向について学習を続けていかなければなりません。



    CISSP資格はセキュリティのパスポート、担当者全員の取得を目指す

  • CISSP資格の取得による、ビジネス上の効果についてお聞かせください。
  • 小田島 近年、グローバルのセキュリティビジネスでは、CISSP資格取得者 がプロジェクトに参加していることが条件とされているケースが増えています。そうした観点ではCISSP資格の取得は明らかなメリットですね。また、最近では、日本でも省庁の入札要件や企業の要件定義書にもCISSP資格取得者 の有無が条件として定められ始めています。資格取得者が多ければ多いほど複数の案件に対応できますし、そもそも取得者がいなければ案件自体に参加できません。

     実際、CISSP資格は国際的に非常に認知度が高い資格であり、海外の顧客や取引相手との商談等でも、こちらがCISSP資格取得者であることが分かると、先方は安心するのか、話もスムーズに進みますね。“セキュリティが分かっていることの国際証明 ”と言えるかもしれません。

    人材開発の取り組み

    li>今後、CISSP資格取得者数をどのくらいまで増やしていきたいとお考えですか。 小田島 現在、当社では38名のCISSP資格取得者を擁しています。個人の志向や所属部署によって技術を先に磨くか、ジェネラリストとして高みを目指すかの順序は異なりますが、今後、新卒/中途入社の社員には必須の資格として取得してほしいと考えています。毎年30名ほどの新卒/中途社員を採用していますが、順当にいけば毎年CISSP資格取得者が増える計算になりますね。

    とはいえ、現実的には日々の業務との兼ね合いもあって、受験できる人数も限られてしまうのですが、将来的にはNRIセキュアテクノロジーズの一員として“持っていて当たり前”の資格として、セキュリティビジネスに関わる社員は100%の取得を目指していきたいと考えています。



    CISSP資格を武器にグローバルビジネスにも積極的に踏み出す

  • 今後のビジネス展望についてお聞かせください。
  • 小田島 周知の通り、日本は少子高齢化の進展によって大きな経済成長が見込めない状況です。東京オリンピック/パラリンピック開催の2020年以降、経済成長もピークアウトしていくというのが大方の見方です。そうした状況においてもセキュリティに関するニーズは確実に広がっていくと予想されますが、企業としてさらなる成長を遂げていくためには、グローバル市場にも事業を展開していかなければなりません。当社も北米支社を設立し、海外に進出する日本企業をはじめ、世界各国の企業のセキュリティ対策を支援していますが、グローバルビジネスをもっと広げていくことは経営課題です。そうした海外展開を推進していくにあたり、CISSP資格はさらに有効性を増していくと期待しています。

     一方、最近ではインターネットへの常時接続機能を装備した「コネクテッド・カー」の登場や、IoT(Internet of Things)等のセンサー技術が製造工場の制御系システムに導入されはじめ、従来のITの範疇にはとどまらないセキュリティ対策に関する案件が急増しています。保護すべき領域がどんどん広がっていく中で、最新のセキュリティにも適応できるCISSP資格は、セキュリティに携わるものにとって“パスポート”とも呼べるものでしょう。グローバル市場へ、そして新しいセキュリティ市場へと挑んでいくにあたり、今後も社員のCISSP資格の取得を積極的に推進していきたいと考えています。一方、当社はCISSP資格を目指すトレーニングビジネスも展開しており、日本のCISSP資格取得者の増加、ひいては世界のさらなるセキュリティ強化に貢献していきたいと考えています。

    CISSP取得者数推移とマネージャー層の取得率

    小田島 潤 氏4 NRIセキュアテクノロジーズ株式会社
    代表取締役社長
    小田島 潤氏

    1996年野村総合研究所に入社。2000年NRIセキュアテクノロジーズ株式会社設立と同時に同社へ出向。以降、エンタープライズセキュリティサービス部長、MSS開発部長、MSS事業本部本部長を経て、2015年代表取締役社長に就任。2016年には野村総合研究所経営役に就任、現在に至る。CISSP資格取得者 。
    インタビューにお答えいただき、誠にありがとうございました。(インタビュー日:2018年07月)

    本インタビュー記事はPDFファイルでダウンロード可能です。