社内人材を可視化し、モチベーションを高める富士通の『セキュリティマイスター認定制度』

2018年4月1日 日本データ通信協会 セキュリティ 0

富士通株式会社
サイバーセキュリティ事業戦略本部
サイバーディフェンスセンター長
奥原 雅之 氏

富士通は2014年に社内セキュリティ人材の認定制度『セキュリティマイスター認定制度』を立ち上げ、それ以来組織的な取り組みを加速している。推進の様子はニュースリリースやホームページで丹念に紹介されており、取り組みは順調に進んでいるように見える。
日本を代表するシステムベンダーの一つである同社がセキュリティノウハウ強化の取組みをどのような思いで進めているのか。『セキュリティマイスター認定制度を創設時から推進する同社サイバーセキュリティ事業戦略本部サイバーディフェンスセンター長の奥原雅之氏に話を伺うと、「大企業の育成制度は緻密だが得てして型にはまっている」という先入観とは相容れない柔軟な取り組みのありようが見えてきた。

異なる役割を担う3つの領域

 まずは『セキュリティマイスター認定制度』がどのような制度なのかを概観しておこう。この制度はセキュリティスキルに長けたエンジニアを認定する富士通の社内制度で、現在は本社と直接子会社の社員を対象にしている。奥原氏によると、諸外国の制度を色々と研究した上で『全米サイバーセキュリティ教育イニシアティブ』(NICE)の人材育成プログラムを参考に、人材像を独自に策定したという。約20名で運用する事務局では、人材の認定を行うとともに、育成プログラムを策定し、リアルな仮想環境を使った演習プログラムであるサイバーレンジの開発も自前で行っている。

 この制度が定義する人材像は、図表1のとおりである。

図表1:「セキュリティマイスター」の人材像
出所:富士通株式会社

 図の下方に描かれている『フィールド領域』の人材は、 “セキュリティに詳しいSE”で、システム開発や運用の現場で業務を支えるエンジニアを指している。大別すると、設計をする「システムセキュリティエンジニア」と運用に関わる「セキュリティインシデントハンドラー」に別れる。

 『エキスパート領域』は、セキュリティソリューションの開発など富士通のセキュリティビジネスそれ自体を支える専門家を認定する。

 『エキスパート領域』の上に表示されているのが、いわゆるホワイトハッカーと呼ばれている世界的にトップクラスのノウハウを有する人たちで、富士通では『ハイマスター領域』の人材という言葉を冠している。会社の看板・広告塔として機能するのがその役目だ。

 「これら三つの領域はそれぞれ作った動機が違います。『フィールド領域』の人材は、お客様に提供するソリューションがセキュリティ事故を起こさないようにするという、品質に関わる領域を期待されています。私どもが納めるシステムは必ずセキュアでなければならないということは、従来から弊社がこだわっている部分ですので、それを実現するための人たちということでスタートしています。『エキスパート領域』の人材は、まさに富士通のセキュリティ系ビジネスを担う人間をどうやって育てるかという問いから出てきています。」(奥原氏)

 当初は700人の認定を目標として設定したが、その数字はあっという間にクリアしてしまい、2018年1月時点の認定者数は約2,800名に上る。会社は2019年度末(2020年3月)までに1万人の認定を目指すと宣言している。

 認定実績を見ると約2,800人のマイスターのうち約2,700名は『フィールド領域』の人材である。人数の規模もさることながら、セキュリティが分かるSEの増大を目指す『フィールド領域』は、この制度の中でもっとも目立つ部分かもしれない。奥原氏によれば、「ちょっとしたプロジェクトチームには必ず一人はセキュリティが分かるエンジニアがいる」という形を作りたいのだそうだ。「組織ごとに置かれている防火責任者のようなイメージ」という表現もしてくれた。

図表2:「セキュリティマイスター」の人材モデル類型
出所:富士通株式会社

まず目指したのは人材の可視化

 “マイスター”という人目を惹くネーミングがなされていることや、1万人という大きい目標が報道などで目立つこともあって、ともすると、会社が総力を挙げて技術系社員のお尻を叩いているような印象を抱いてしまいがちだが、当初の目論見は強権的な知識詰込み教育などとはまるで様子が異なっている。奥原氏は言う。

 「高い技能を持つ社内人材の可視化と発掘に焦点を当てています。もちろん育成は必要なのですが、今回の制度では、それに先んじて、もしそういう技術を持っている人がいるのであれば、そういう人を認定しようという考えです」(奥原氏)

 人材を育てる以前に、まず「見つける」から始めているということなのだ。

 「世の中で、セキュリティ人材が足らないという話がなされていますが、私が思ったのは“本当はいるのではないか”ということです。本当はいるのに、ちゃんとそれを見つけることができていない。もしかしたら、本人も分かっていないかもしれないし、会社もそうした技術を持っている人が誰かをちゃんと分かっていないのではないか、という仮説を立ててみました」(奥原氏)

 こうした“仮説”が閃いたのは、自ら永くセキュリティの業務に携わり、また社内インシデントに対応するCSIRTチームのリーダーとして社内を見渡していた奥原氏の経歴と実感のなせる技と言ってよいだろう。

 「可視化の必要を感じた理由の一つには、現場で「セキュリティができます」と本人が言ったとしても、その価値を必ずしも十分に理解してもらえていない現実がありました。だから、会社として「そういう人は大事な人だ」と認めてあげる、そういう制度を作りたかったということがあります」と奥原氏は述べる。

 実際、奥原氏は社内人材が見えていないことを痛感していたという。

 「可視化できていない人は多かったですね。とくに分からなかったのは、主要業務がセキュリティではない人たちです。全社の人材認定システムや教育システムは、基本的にはその人の業務分野を先に決めて、その分野の育成のために運用していますので、“主要業務としてセキュリティを目指しているわけではないけれどもセキュリティの知識を有しているという人”は把握できていませんでした」

 こうした人々に対し、あなたのスキルはこういう風に定義できて、それはこうしたレベルにありますよと教えてあげる。それが社内のセキュリティレベルを上げるための大切な第一歩だったのである。その点で、この制度は正しい解だったようだ。

 「社内のどこに、どんな人がいるのか、フラグを立てて回るということがある程度できてきました。もっとも、それが成功していると言えるかどうかは、今後それらの人材をどう生かすか次第だとは思いますが」(奥原氏)

あくまで現場ありきで運用される人材モデル

 この制度のもう一つの大きな特徴として「現場ありき」の発想がある。

 「まず、現場のニーズを大事にして、それらに基づくセキュリティ技術者人材像を定義しました。アメリカなどの制度を勉強し人材像を独自に定義したとお話ししましたが、当社のグループ内にある仕事をベースにモデルを作ることにこだわりました。机上で考えたり、外部の規格で定められたりしたものを取り入れようということではなく、実際にやっている人たちの仕事を切り出してそれを人材像にしたということです。ですから、この認定を受けた人は、必ずその仕事が弊社グループの中にあることになります。取ったけれど役に立たないということはありません」(奥原氏)

 得てして企業の人材開発では、会社が定義した型に人をはめることを余儀なくされる部分が生じるものだが、全社のキャリアパスとは関わりのないところで、まずは人材の可視化を行うことを目的に作られた『セキュリティマイスター認定制度』は、実業務の中で必要とされている能力を最大限に尊重する仕組みになっており、それが社員と会社のベクトルをうまく合わせるのに役立っているように見える。

 実際の業務に基づいて人材像を組み立てる合理性は明らかだ。例えば、『フィールド領域』の中に『業種特化マイスター』というモデルがあるが、現在は官公庁を顧客にしている部門に特化したモデルとなっており、認定されると官公庁や自治体向けの政府統一基準の知識があるというお墨付きを社内で得られる。業種独自のノウハウを現場の意向を反映させて盛り込むことによって担当部門からの支持を得ることができ、現場主義を中心に据えることによって、実ビジネスと直接につながり、実ビジネスに合わせた柔軟な制度の展開を可能としているのである。

 また、コンテンツも目指すべき人材像を基にオリジナルの教材を作成し、『CYBERIUM(サイベリウム)』と名付けられたサイバーレンジでリアルな環境を再現して、受講者に実践的な演習を体験させることができる。ここでも実務ありきの基本姿勢は貫かれている。

『CYBERIUM(サイベリウム)』の様子

 業務ニーズに基づくモデルもあれば、社外の公的資格との連動を全面に立てたモデルもある。最近作ったという『エキスパート領域』の『レジスタードセキュリティスペシャリスト』は、国家資格である『情報処理安全確保支援士』を取得すると自動的になることができる。

 現在の『セキュリティマイスター認定制度』は人事評価とは連動しておらず、その点について今後どうしていくかは社内で調整中とのことだが、会社の人材育成や人事制度から自由なフィールドで、様々なニーズと向き合いながら発展させているところにこの制度の特色と魅力があると言って差し支えなさそうだ。

自発的な教育を誘発する制度

 話を聞いていて感心するのは制度を受け止める社員の側の積極的な反応である。それは700人の予定だった認定者があっという間にその4倍の約2,800人に達したという事実に端的に表れているが、そうしたやる気を引き出したのは、制度を設計した奥原氏の次のような明確な意図だと思われる。

 「もちろん彼らのスキルセットもノウハウも大事なのですが、そういう人材が自分自身をモチベートできることを大事にしたいなと思っています。そうした認定を受けると、自分はセキュリティが分かるエンジニアだとフラグが立ちますから、ちゃんとやらなければいけないと思ってもらえたり、情報収集をして周囲に提供するといった活動をしてもらえたりするといいなというのが基本的な発想です」(奥原氏)

 事務局が用意している「コミュニティ」ではSNSやメーリングリストを用いてマイスターたちが情報をやり取りし、『フィールド領域』のマイスターが『エキスパート領域』や『ハイマスター領域』のマイスターから知恵を借りるといった活動が自然とできあがっており、何よりも社員本人からは「社内で活動しやすくなった」という声が聴こえてくるという。

 「『フィールド領域』はもちろんですが、『エキスパート領域』でも認定の意義はあったと思っています。例えば“ペネトレーションができる人”といったドメインはなかったので、それを作ることによって本人も活動がしやすくなっていると思います。我々から見ても、「あのサービスは、あのペネトレーターがやっているので安心だ」といったことが見えるようになっているのは利点です。それをビジネスにどう活かしていくかが次の課題になります。」(奥原氏)

 人事制度とは連動しておらず、処遇上のメリットとは直接関係ないし、認定のための受講費用は現場持ち。それでも社員が率先して取得してくれる『セキュリティマイスター認定制度』の成功の裏に制度設計と運用にあたった奥原氏の慧眼があったことは疑いがない。

 インタビューの最後に、セキュリティ人材育成の意義についてIT業界リーダーである富士通の立場を踏まえて奥原氏の思いを訊いた。

 「『セキュリティマイスター認定制度』は弊社の制度ではあるのですが、そのベースには日本全体でセキュリティ技術者が足りないという国の課題があり、それに対する一つのソリューション足りえるといいなと考えています。その意味で、他社様と連携できるようなことがあれば前向きに対応をしていきたいですし、富士通の人材を育てるだけではなく、日本のセキュリティ人材を底上げすることに貢献できればと考えています。サイバーレンジも公開できるところは公開し、公共的な目的でも使っていただけるといいなと思っています」(奥原氏)

FUJITSU Security Initiative セキュリティマイスター認定制度(同社ホームページへ)

(文責:編集部 中山隆)

【プロフィール】
奥原 雅之(おくはら まさゆき)氏
1990年富士通入社。フィールドSEを経て1998年より情報セキュリティ業務を担当。2010年より社内CSIRTチームである「富士通クラウドCERT」のチームリーダー。2011年より現職の前身組織である情報セキュリティセンターのセンター長に就任。2015年より現職。