彼は私が聞いたことのない大学を卒業した。Villanova(ビラノバ大学)で修士号を取得したが、テーマは人材育成だった。米国海兵隊で16年過ごし、軍事、文民のさまざまな職についたが、サイバーセキュリティに直接関わったことはなかった。直近の職は建設会社のプロジェクトマネージャーだった。
私の会社、Sumo Logic(スモー・ロジック)の幹部たちに、セキュリティ運用センター(SOC)のマネージャー職として彼を雇うための面接をしてくれるよう頼んだとき、私は困惑と軽蔑のまなざしで迎えられた。「なぜ私がこの男と話をするのですか?」が典型的な反応だった。「まったく向いていないと思います」。
彼らが知らなかったのは、以前私がRoland Palmer(ローランド・パーマー)氏と面接して、30分で彼が適任だと結論を下したことだった。困難な任務に挑戦することへの彼の強い願望に私は感銘を受けた。この元海兵隊員はこれまでに、アフガニスタンにおける通信運用管理や、日本の放射性物質で汚染された地域から何百人もの人々を避難させるしごとなど、数々の厳しい挑戦と直面してきた。SOCの管理は、多くの危機とトラブル報告が絶え間なく起きる過酷な仕事だが、ローランド氏は履歴書にセキュリティ業務の経験がなかったにもかかわらず、生まれついた適任者に思えた。
私は同僚たちにこう言った。「あなたがたには彼と話して欲しいのですが、しなてくも私は彼を雇うつもりです」。結局全員がローランド氏に一目惚れした。彼は職を得た。
あれは3年前のことだった。2020年にローランドはシニアSOCマネージャーに昇進した。同じ年、彼は会社で最高水準の従業員功績表彰を受けた。
私がこの話をしているのは、信じられないほど競争の激しい雇用市場で優れた人材を雇う、という最大の難関を超えるために会社とサイバーセキュリティ組織は何をすべきかをものがたっていると思うからだ。
「サイバーセキュリティスキル危機は年々悪化の一途をたどり、半数以上(57%)の組織が影響を受けています」と、Information Systems Security Association(情報システムセキュリティ協会)とアナリスト会社のEnterprise Strategy Group(エンタープライズ・ストラテジー・グループ)がまとめた最新の報告書はいう。現在サイバーセキュリティ職には350万の空席があり、これはNFL(ナショナル・フットボール・リーグ)のスタジアム50個を満席にする人数だとCybersecurity Ventures(サイバーセキュリティ・ベンチャーズ)はいう。
ランサムウェア攻撃やデータ侵害、サプライチェーン襲撃が急増する今、2021年前半の全世界におけるサイバー攻撃の件数は、前年同時期に比べて125%増加した。Accenture(アクセンチュア)の調査による。果たして企業は何をすべきなのか?
今日の最高セキュリティ責任者(CSO)は、人材探しを主要業務の1つとして受け入れるだけではなく、積極的に活用していく必要がある(私は週の少なくとも10%を充てており、それ以上のことも多い)。そして、優れたセキュリティ専門家がどこから来るかに関する古い先入観を捨て、自由で創造的な人探しをしなくてはならない。
5つのアドバイス:
窓際族症候群に注意せよ
正直な話をしよう。採用にあたり、誰でもいいから連れてこようという誘惑にかられることがある。それは、サイバーセキュリティ職が必要だからだけでなく、不調な四半期の後に空席の職がレイオフで減らされないよう人員を確保しなくてはいけない、という圧力が加わるためだ。
これをやってはいけない。サイバーセキュリティは、仕事のできないチームメンバーを抱えておくにはリスクが高すぎるくらい重要だ。
学歴偏見
有名大学を出ることは名誉であり、その価値を疑うつもりは毛頭ないが、私の必要条件リストでは下の方に位置する。意欲、熱意、ストレス下での平静、団結心、そして状況認識のほうがはるかに重要だ。
2015年のSumoでの最初の1週間、私はスタンフォード、UCバークレー、MITなどの大学を卒業した同僚幹部たち数人と、顔合わせを行った。自分について話す番が来たとき、私は会議室の全員に向かって自分の母校について話した。Regis University(レジス大学)はコロラド州デンバーにあるイエズス会系の小さな大学だ。
私は気後れしなかった。誇りを持っていた。そして人を雇うとき、私はスキルと個人の資質を学歴よりも優先する哲学を今も守っている。
立ち直る力は経験と同じかそれ以上に重要だ
サイバーセキュリティ部門で働くことは、世界で最もストレスのかかる仕事の1つであり、慢性的な悩みで燃え尽きてしまいがちだ。 Chartered Institute of Information Security(情報セキュリティ協会)の報告によると、セキュリティ専門家の51%が仕事のストレスで夜寝られないという。
そういうわけで、過去のセキュリティ経験は大きなプラスではあるものの、プレッシャーに対処し、さらにはプレッシャーを楽しむ能力が等しく重要だ。私は求職者に必ずこういう「この仕事は単調でつらいものになります。しかしその使命は絶対不可欠です」。これを聞いて目を輝かせる人がいる、それこそ求めている人材だ、履歴書になんと書かれていようとも。
従来と異なる情報源を活用する
ローランド・パーマー氏は、最高のサイバーセキュリティ専門家が必ずしもサイバーセキュリティ世界から来る必要がないことを示す一例だ。しかし、他にもたくさんある。
例えば私はソフトウェア開発組織がセキュリティ人材の育成に好適な場所であることを発見した。 DevOps(デブオプス)などのアジャイル開発手法は、開発と運用とセキュリティを伝統的な縦割り構造から引っ張り出した。今や全員が力を合わせて、迅速で効率的で堅牢なソフトウェアパイプラインを育てることを期待されている。
これによって、デベロッパーがセキュリティの専門知識の幅を広げ、会社のソフトウェアライフサイクルを別な形で推進しながら、自らの領域を広げる新しい機会を与えることができる。
私はよく開発者にこういう「うちのチームに入れば、クラウドのインフラストラクチャの仕事も、アプリケーションの仕事も、APIとマイクロサービスを融合させる仕事もすることができます。そしてその過程でソフトウェアパイプラインの高いレベルの理解を深め、セキュリティが織り込まれたカルチャーを推進することができます。そして将来エンジニアリングに戻ることにした時、あなたは今や決定的に重要な幅広い経験とセキュリティ習慣を身につけたうえで戻ることができます」。
私は経理業務の経験者にも注目している、それは彼らに規制遵守の姿勢とセキュリティ業務に不可欠な細部への注意力があるからだ。
共感を呼ぼう
私がセキュリティ業務を始めた頃、他の社員が廊下を歩く私を見て隠れるようになったのを感じた。彼らには私が、何かのセキュリティ問題で叱りつけにきた悪い奴に見えていた。
今のより協調的なカルチャーでは、もはやそれは受け入れられない。セキュリティ専門家は、信頼できるてームメートとして近くにいて安心感をあたえる存在にならなければならない。
好むと好まざるとにかかわらず、一流の人材を雇うことは、CSOの仕事の中で最も重要かつ困難な部分になってきており、すぐには変わりそうにない。しかし、決断力と形にとらわれない思考があれば、困難に打ち勝つ答えを導くことができるだろう。
編集部注:本稿の執筆者George Gerchow(ジョージ・ガーチョウ)氏は、 Sumo Logicの最高セキュティ責任者。
画像クレジット:Ivan balvan / Getty Images
[原文へ]
(文:George Gerchow、翻訳:Nob Takahashi / facebook )