総合人材サービスのパーソルグループでIT・ものづくりエンジニアの人材派遣を手掛けるパーソルテクノロジースタッフ株式会社では、2020年よりセキュリティ人材育成スキームにおいてVex Certification Associateを活用しています。今回はパーソルテクノロジースタッフでセキュリティ人材育成の講師を務める上田雅美さんにVex Certification Associateの立ち上げ・運用に携わった木下綾さんが人材育成の現場でどのように活用されているのかを聞いてみました。

プロフィール

上田さんプロフィールパーソルテクノロジースタッフ株式会社 技術本部 IT技術部 セキュリティG 上田 雅美氏


未経験者向けのセキュリティ人材育成コンテンツの講師、及び、受託診断サービスの診断リーダーを兼務。セキュリティエンジニアとしてユービーセキュアで就業した経験も。

 


木下さんプロフィールセキュリティデザインコンサルティング部  木下 綾氏


Vex Certification Associateをはじめとする認定制度の立ち上げ・運用を担当し、現在はセキュリティコンサルタントとして、体制構築支援、セキュリティルール整備支援などを担当。

 

技術力の証明になるから、未経験でも現場で活躍できる

木下:本日はありがとうございます。Vex Certification Associate(以下、VCA)は脆弱性診断に必要とされる実践的なスキルを証明することができる認定制度ですが、試験に向けてハンズオンのトレーニング環境、eラーニング、テキストなどの学習コンテンツや模擬試験なども併せて提供しているため、資格取得だけではなく効率的にセキュリティ人材が育成できるようになっています。
今日は実際に現場でどのように使われているのかを上田さんにお伺いしたいと考えています。

上田:よろしくお願いします。

木下:近年、開発サイクルの短期化などにより診断を内製化する企業が増え、セキュリティ人材ニーズはますます高まっていると思います。これまではセキュリティエンジニアの就業先と言えば、セキュリティベンダが一般的だったと思いますが、自社内で脆弱性診断をしたい企業からの求人も増えていますか?

上田:はい。一般企業からはエンジニア派遣だけではなく、社内人材の育成についてもご相談を頂戴するようになりました。

木下:御社とは2020年からセキュリティ人材の育成において協業させていただいていますが、その中でVCAをお使いいただいていますよね。

上田:パーソルテクノロジースタッフではセキュリティ未経験のエンジニアを脆弱性診断員として育成し、企業へ派遣する取り組みを行っていますが、そのセキュリティ診断員の育成研修で御社のコンテンツを使わせていただいています。

image2

木下:もともとセキュリティ人材育成はされていらしたと思いますが、VCAの学習コンテンツをご利用いただくようになってから変化はありましたか?

上田:診断経験がないエンジニアの配属がしやすくなりました。エンジニア派遣をご活用いただく企業の多くは経験者を希望されますが、セキュリティ人材はニーズが高いので必ず実務経験者をアサインできるとは限りません。その際にVCA取得に向けたトレーニングを受けていると技術レベルがイメージしやすいので、経験がないエンジニアでも受け入れていただきやすいです。

木下:セキュリティの資格は世の中にいくつかありますが、資格を取得していることが重要なのですか?

上田:当社エンジニアの中にも『情報処理安全確保支援士』や『CISSP』などの資格を取得している人がいますが、脆弱性診断とは領域が異なるものも多いため、保有していても業務に直結するスキル保有者であることの証明にはなりにくいという面があります。しかし、VCAなら診断業務に直結する基礎知識やスキルを保有していることをアピールしやすいですし、加えて合格者だと、経験者と同等の技術者として就業先企業様にご検討~ご契約いただけるケースも増えています。

木下:なるほど。実業務に直結する技術力の証明に役立っているのですね。資格取得に向けたコンテンツについては、研修の中ではどのように使っていただいていますか?

上田: セキュリティ診断向けの研修を3週間受けてもらっています。まずは、Webアプリケーション開発者必携本として有名な「体系的に学ぶ 安全なWebアプリケーションの作り方(徳丸 浩著)」を読むところから始まります。プロキシツールの操作を覚え、診断作業について学習したら、研修の肝となっている御社提供のコンテンツによる学習が始まります。Vexの機能や基本動作を学び、模擬試験を受け、模擬試験でクリアできなかったポイントなどを集中的に復習してから、VCA資格試験に臨みます。そして試験実施後に手動診断という流れです。中でも④Vexトレーニングと⑥模擬試験後の復習にはしっかり時間を取っています。

パーソルテクノロジースタッフの未経験者向け人材育成カリキュラムイメージ

3週間で合格者を輩出する秘訣は人材アサイン

木下:3週間の研修でVCAに合格されている方が複数名いらっしゃいますよね?

上田:はい。合格者も何名かいますね。

木下:正直、未経験の方が合格するためにはもう少し時間がかかるだろうと想定していたので、今日はその育成スピードの秘訣をお伺いしたいなと思っていました。もともと短期間で効率的にセキュリティ技術者が育成できるようにカリキュラムを作ってある、とは言え、3週間というのは我々の想像を上回るスピード感です。どうやって短期間で合格者を輩出できたのでしょうか?

上田:ポイントは人材のアサインだと思います。セキュリティ診断未経験ではありますが、ソースが読めたり、構文が理解できたり…といった最低限のITスキルは必要なので、Web開発もしくはインフラ運用の経験があるエンジニアを対象としています。

木下:このトレーニングを始める前にITの基本的な知識を身に着けておくことは、私たちも推奨しています。

上田:それに加えて、自己学習能力の高さも重視しています。意欲的に学び続けることが大事な領域なので、セキュリティにキャリアチェンジを希望するエンジニアの中でも「診断に興味がある」というレベルの方だけではなく、セキュリティをもっと上流から捉えていて「将来的にはSOCやコンサルを目指したい」意思のある方をアサインしています。自己学習意欲が高いので、研修期間中の合格者の中には定められた研修時間以外に20時間以上を自己学習に費やした方もいます。

木下: 研修期間中に合格しなかった場合はどうなるのですか?

上田:トレーニングを通じて業務をするための能力は身についているので、合否に関わらず現場には配属されます。でも、就業開始後も福利厚生の資格取得制度などを使って再受験に向けて学習を続ける人が多いですね。

木下:ご自身の診断力を証明するための腕試しとしてはもちろん、効率的に成長するための方法としても活用してもらいたいと思っていたので、継続的な学習に使ってもらえるのはすごく嬉しいです。

実際に近い環境でトレーニングできるから、
立ち上がりまでのスピードが速く、現場での育成にかかる負担を削減

木下:トレーニング内容については、どういった点をご評価いただいていますか?

上田:Vexのライセンスを購入していなくてもハンズオンで実際に操作しながら学べるオトク感…というのは冗談ですが(笑)、シナリオ作成のトレーニングがすごく良いと思います。よくある“やられサイト”だと単純な設定をするだけで事足りてしまうのですが、御社のコンテンツで用意されている演習サイトは実業務で診断を行う環境に非常に近いレベルになっていると感じました。

木下:Web上で公開されている一般的な脆弱性サイトだと、脆弱性の動きは確認できても、通常のWebアプリケーションと比べると構成がシンプルだったりして再現性が低く、シナリオ作成の技術を磨くのには不十分なことが多いですよね。演習サイトは私たちもこだわって作成しています。

上田:実務に近い環境でトレーニングできるのは嬉しいですね。就業先企業で、他社パートナー企業から派遣されている方と一緒に業務を行うことがあるのですが、通常は立ち上がりまでに2週間程度かかります。でも、このトレーニングを行っていると、その2週間の研修なしで即戦力として現場に入っていくことができます。就業前に実務と近い経験をする分、「トレーニングなのにすごく苦労する」という面はありますけど(笑)、現場に出てゼロから苦労することが少ないのはありがたいです。

木下:実業務だけだと1~1年半程度かかる経験を、短期間でできるように設計してあるので、トレーニングとしては、かなり充実した内容になっていますからね。現場でかかる育成コストが削減できているなら嬉しい限りです。

上田:現場はすごく助かりますよね。決められた期間内に診断を終えなければならないのに、その中で人材育成もするというのは正直大変です。ある程度知識がないと教えることも難しいので、誰でも教えられるわけでもありませんし。私もこのトレーニングを受けた方が自分のチームに入ってくれたら嬉しいです。

木下:ちなみに、この研修を受けた方が就業される企業は、診断にVexを使っているところが多いのでしょうか?

上田:いろいろです。Vexの場合もありますし、他のツールや企業独自の診断ツールの場合もあります。

木下:Vex以外の環境で就業される方でも研修内容は同じですか?

上田:はい。VCAはVexを使うだけではなく、検出された内容を精査するための知識や考え方を学ぶことができますよね。「対象のURLやリクエストに対してどのような準備をするか」、「診断の後に実行する処理をどうするか」、「どのようなシナリオを作成してテストを実装するか」などの観点は、ツールが異なっても同じですから。

合格者の方にも、学習内容が業務に活きているか聞いてみました!

業務で必要な知識のほとんどは、トレーニングを通して得られた

星野 大輔さん

Webアプリケーション開発を4年経験した後に、セキュリティに興味を持ちパーソルテクノロジースタッフに転職。現在はセキュリティベンダにて就業中。

「トレーニング中は、合格する上でも今後の業務においても、シナリオの管理が重要だと思ったので、テキストを見ながら反復練習をして叩き込みました。シナリオを組み立てる作業はパズルのような面白さもありました。現在、セキュリティエンジニアとして就業する中で必要な知識のほとんどは、このトレーニングから得たものだと思っています。学習して無駄になったことは一つもありませんでした。」

これまでの知識が正しかったか確認することができ、自信が持てるように

山本 絢也さん

開発会社でセキュリティに携わった後、ステップアップを求めてパーソルテクノロジースタッフに転職。

「私は前職でもセキュリティ関連の業務を行っていたため未経験ではないのですが、セキュリティ関連の技術を体系的に学んだ経験がありませんでした。それまでは現場で先輩の背中を見ながら知識を習得してきましたが、人によってやり方が違う点もあり、正解が分からないまま曖昧になっている知識も少なくありませんでした。トレーニング中に配布されたテキストにはあらゆる知識について明記されていて、これまでの自分のやり方や知識を正しながら体系的に学ぶことができ、自信を持って業務に臨めるようになりました。」

高い技術を持つ人材同士の交流で、新たなる協業の形を

木下:今のところ、VCAは人材育成にフォーカスしたサービス内容となっていますが、こういった取り組みを続けることで高品質なセキュリティ人材が増えていきます。いずれはVCAに合格した、高い技術力や豊富な知識を持つセキュリティ人材が交流できるコミュニティも作りたいと思っています。それぞれが保有する知識やテクニックなどをシェアすることで、新たなる協業の道が見えてくると考えています。

上田: ぜひ実現していただきたいです。当社でもセキュリティエンジニア同士の交流会を行っていますが、それぞれが異なる企業で就業しているため、対面している課題が異なります。交流会を通して、それぞれの経験から生まれた個人ごとの取り組みや独自の工夫をシェアすることで、技術力や生産性はもちろん、モチベーションの向上にもつながっているのを実感しています。さらに派遣エンジニア同士だけではなく、様々な就業形態で働くセキュリティ人材と交流できるようになれば、業界全体の技術力向上にも繋がりそうですし、セキュリティ領域におけるキャリアマップなども描きやすくなりそうですね。

木下: 大きな目標ですが本気で実現したいと思っています。ユービーセキュアでは、「ともにセキュリティを楽しみ、チャレンジする人を楽にする」という使命を掲げています。御社との取り組みで輩出されたエンジニアをはじめとして、業界全体が、楽しく、楽に成長をできる未来を描いて日々精進したいと思います。本日はありがとうございました。

詳細・お申込みはこちら

こちらも読む