3案件を担当。特権ID管理のPoCから本導入に至ったものも

――T.Y.さんは現在、3つの案件を担当されていると伺いました。それぞれについて教えてください。

T.Y.：3つの案件すべてでPMを務めていますが、同時にシニアエンジニアとして、プロジェクトの技術的な部分をリードすることも期待されています。案件はそれぞれタイプがまったく違うんですよ。

1つ目は、長期的な運用支援案件です。

以前SHIFTが導入支援したセキュリティソリューションをお客様が運用されているのですが、そこで発生する技術的な課題への対応や改善提案、トラブル発生時の解決策の模索などを行っています。

直接システムを触ってトラブルシューティングも行う、かなりテクニカルな内容ですね。

2つ目は、1つ目の案件と同じお客様で、新しい基盤へ特権ID管理システムを拡張していくプロジェクトです。

こちらは設計段階から参画し、構築、テスト、そして運用にのせるまでをワンストップで支援しています。

3つ目は「特権ID管理を導入したい」というお客様に対して、PoCを実施した案件です。

SHIFTが提案した製品の有効性を検証し、結果が良好だったため、本導入も受注できました。ゼロからお客様との信頼関係を築き、我々のビジネスが広がっていく手応えを感じられた案件です。

――特権ID管理に関する悩みを抱えているお客様は多そうですね。

T.Y.：はい。いまやどんな企業でも多くのITシステムを使っていますが、そこには必ず「特権ID」、つまり管理者ユーザーアカウントが存在します。

これが乗っ取られると被害が甚大になるため、最優先で守らなければなりません。 

ですが、導入には専門的なセキュリティ知識や、IDをどう管理していくかという複雑な運用設計が必要で、導入に踏み切れない企業が非常に多いのが実情です。

これに対して、特権管理IDだけではなく、一般IDも含めたIDの棚卸しからSHIFTでは支援が可能です。

中立の立場×高い技術力──信頼を勝ち取るSHIFTの強み

――SHIFTが受注するセキュリティ案件には、何か特徴がありますか？

T.Y.：まず、案件そのものの難易度が高いこと。

そしてもう1つ、SHIFTは特定のセキュリティ製品のライセンス販売はしておらず、販売会社とタッグを組んで、我々がシステムインテグレーションを担っています。

普通ならSIer同士で案件の取り合いになりがちですが、我々はライセンスを売らない中立的な立場なので、競合せず、むしろ強力な協力関係を築ける。これがSHIFTの大きな強みだと感じています。

――なるほど、製品をかついでいないので課題に応じた最適な製品を選ぶこともできますね。「お客様からSHIFTが選ばれる理由」という観点で、ほかにもSHIFTの強みはありますか？

T.Y.：そうですね。SHIFTの強みは多数あると思っています。まず、セキュリティ領域の深い知見をもつエンジニアが、テクニカルな部分にしっかりと対応できる点です。

これに応えつづけられているからこそ、何年もつづくプロジェクトとしてご依頼いただけているのだと思います。

技術力を裏付ける一例をあげますと、私たちが扱っている「PAM」という特権ID管理ソリューションは、国内では特定のパートナー企業さんが専売しているのですが、その製品を構築できるのは、国内ではほぼSHIFTだけなのです。 

「実機で理解する」姿勢が導いた、技術リーダーへの転機

――ここからはT.Y.さんのキャリアパスに話を移したいと思います。SHIFTに入ってから、ご自身のキャリアに特に影響を与えた、ターニングポイントになったような案件はありましたか？

T.Y.：はじめて担当した特権ID管理の案件ですね。当時はまだリーダーではなくメンバークラスのポジションで、自分より経験の浅いメンバー2名の指導をしながら、技術リーダーに教えを乞うという形で参画しました。

参画して3ヶ月ほどで、当時の技術リーダーが別のプロジェクトに注力することになり、私が技術リーダーを引き継ぐことになりました。 

――どう乗り越えたのですか？

T.Y.：私は「自分で手を動かして理解する」ことをつねに大切にしています。

当時は詳細設計のフェーズで、ドキュメントを読むだけでは、設定項目ひとつの意味や影響がイメージできない。

そこで当時の技術リーダーと交渉し、詳細設計と並行して検証環境を構築させてもらえるよう、計画を変更してもらいました。

このおかげで、私だけでなくチームメンバー全員の技術習得が加速し、プロジェクトを早期に立ちあげることができました。

チームとして成長するにはどうすべきか、という視点を得られた非常に大きな経験です。

――T.Y.さんはもともとサーバーやネットワークが専門で、そこからセキュリティの領域へキャリアを移したそうですね。 

T.Y.：前職で、インフラの部署からセキュリティの部署へ出向になったのが直接のきっかけです。

実際にやってみて気づいたのは、セキュリティは完全に独立した分野ではなく、ネットワークやサーバー、アプリケーションといった各IT領域に「どう関わるか」という話なんだな、ということでした。

――と、いいますと？

T.Y.：セキュリティを突き詰めると、自然と「攻撃者の視点」で物事を見るようになります。サイバー攻撃には、下調べから攻撃実行までの一連の流れ、いわゆる「サイバーキルチェーン」があります。

その攻撃者の目線で各IT領域を見ることで、日々のシステム設計や運用で気をつけるべきポイントが明確になる。セキュリティの領域に踏み込んだことで、視座が一段階も二段階も上がったと感じています。非常に面白い世界ですよ。 

「セキュリティ」と「利便性」の両立。特権管理IDの領域で広がる技術的視野

――セキュリティ領域にやりがいを見出しているのですね。SHIFTに入ってから、成長したと感じる点はどんなところですか？

T.Y.：技術的な視野の広がりです。特権ID管理の対象は、Windows OSやLinuxサーバーだけでなく、AWS（Amazon Web Services）やMicrosoft Azureのようなクラウドなど、本当に多岐にわたります。

当然、知らない製品を管理対象にしたいという要望も出てきます。 

そのたびに技術仕様を調べ、検証し、対応していく。つねに新しい知識やスキルを吸収できる環境なので、世の中の技術トレンドに触れながら成長しつづけられる実感があります。

先ほど「手を動かす」ことを大切にしていると話しましたが、セキュリティエンジニアには「探求心をもち、キャッチアップを怠らない」姿勢が重要だと思っています。

知らないキーワードや技術が出てきたら、自分が納得するまで手を動かして調べる。これはもう、私の軸になっています。

それから特権ID管理の領域では、「セキュリティ」と「利便性」の両立を追求することができます。

セキュリティを向上させつつ、定期的なパスワード変更やログインを自動化するなど利用者の手間を減らし、利便性を高めていく。

ただ、製品を導入するだけでは「セキュリティ」と「利便性」の両立は実現しません。

お客様の現場に深く入り込み、運用設計や教育支援まで踏み込むことで、はじめて本質的な改善が図れるのだと実感しています。

そこに自分自身の付加価値を発揮できる余地があり、課題に向き合うたびに、自分の成長を強く感じられる仕事です。

――これからT.Y.さんのチームに参加するメンバーに、この仕事の面白さを伝えるとしたら、どうアピールしますか？

T.Y.：先ほどお話しした「新しい技術に触れつづけられる」という点もそうですが、ベースとなるサーバーやネットワークといったインフラの知識が非常に重要になってくる点も面白いポイントです。

結局、特権ID管理システムと管理対象システムを「どうつなぐか」は、ネットワークやサーバーの世界です。

「つながらない」といったトラブルシューティングでも、この知識がないと手も足も出ません。

インフラの経験を深めたい人にも、これから身につけたい若手にとっても、成長機会が豊富にあると思います。

――最後に、T.Y.さんの今後の目標を教えてください。

T.Y.：2つあります。1つは、部内にあるほかの主力ソリューション、例えば「Splunk」のようなログ分析ツールと、私の専門である特権ID管理を掛け合わせた、より付加価値の高い提案をしていくことです。

2つ目は、人材育成です。最近、SHIFTには新卒やセキュリティ未経験の方々も多く入社してくれています。これは喜ばしい反面、どう育成していくかという課題もあります。

セキュリティは幅広いIT知識がベースになるため、未経験者には正直ハードルが高い面もあります。

そうした方々が早期にセキュリティ人材として立ちあがれるような、教育コンテンツの作成にも力を入れていきたいと考えています。

――ご自身の成長だけでなく、組織や後進の育成にも目を向けているのですね。本日は貴重なお話をありがとうございました！ 

（※本記事の内容および取材対象者の所属は、取材当時のものです）