すべての組織が狙われる今“関係ない”と思わせない！ 一致団結でセキュリティに取り組むには？

ほかの進路が考えられないほどの
サイバーセキュリティの魅力とは

――中島さんがサイバーセキュリティの道に進むことになったきっかけは何ですか？

中学生の頃、『BLOODY MONDAY』という、驚異的なハッキング能力を持つ主人公がテロ組織から日本を守る漫画を読んで興味を持ちました。当時は日本を守りたいといった崇高な思いがあったわけではありません。驚異的なハッキング能力を持つ主人公が犯罪者と戦う姿が純粋にかっこよく、サイバーの力で対抗するという世界観に惹かれました。その後、高校生になってオンラインでサイバーセキュリティの知識を習得したり、プログラミングを学んだりしましたが、本格的に目指すと決めたのは、大学に入ってからです。専門的な学びを得るとその面白さに夢中になり、サイバーセキュリティ以外の道は考えられなくなりました。

――そこまで惹きつけられるサイバーセキュリティの魅力は何ですか？

私が一番夢中になったのは、Webサイトのセキュリティです。日常的に利用しているECサイトの会員登録を行った際、多くの人は入力した個人情報について、特に意識されなかったのではないでしょうか？ そして、当然のように守られているものと受け止めていると思います。ところが、Webサイトのたった一つの小さな脆弱性で、大事な個人情報が外部から丸見えになってしまう可能性があるという事実に、最初はただ驚きました。一方で、脆弱性を見つけ出し、原因を突き止めて対策を講じれば防ぐこともできます。これがわかったとき、パズルのピースがはまるような手応えを感じました。守られているはずのものが簡単に破られてしまう怖さと、それを技術で防いでいく面白さ。その両方に強く惹きつけられ、サイバーセキュリティの世界にどんどんのめり込んでいきました。

――当然、就職はサイバーセキュリティの道以外には考えられなかったと思いますが、数あるセキュリティ関連企業の中から、なぜNECを選ばれたのでしょうか？

NECに対しては、社会インフラやPOSシステムなどを手掛ける企業だと認識している方が多いと思います。私も大学に入った頃は同じような認識でした。セキュリティが重要な事業の一つであると意識するようになったのは、大学時代に参加した複数のセキュリティコミュニティで、NECの社員の方々と接する機会が多かったことがきっかけです。海底から宇宙まで、さまざまなレイヤーで社会を支える事業に携わっている点は、「日本を守る」という観点で見ても非常にやりがいがあると感じ、NECへの入社を決めました。生活のあらゆる場面でITが浸透している今、セキュリティが関係する領域はどんどん広がっています。当時は、自分の技術が多くの人に影響を与えると考えるだけでワクワクしました。

――中島さんの現在の主業務について教えてください。

現在の主な業務はWebアプリケーションに対する診断やペネトレーションテストです。近年は徐々にマネジメントへシフトしていることもあり、お客様へさらなる価値（バリュー）を提供するために、私たちの業務をいかに効率化するかを検討する時間が増えてきました。それに伴い、以前のように自ら手を動かす機会は減ってしまいましたが、自身の技術力を磨くためにもWeb診断はできる限り対応しています。正直、まだまだ一技術者として活躍したい思いは強く、葛藤もあります。しかし、組織人としてメンバーの育成も重要な役割です。実作業を任せられる社員が増えてきたことには、とてもうれしいと感じています。

――セキュリティを事業とする企業でサイバーセキュリティインシデントが発生した際のダメージは、一般企業以上に大きいと思います。特に社員数の多い大企業では、社員の皆さんに意識を持ってもらうのは大変ではないですか？

私が入社した当時を振り返ると、「セキュリティ＝コスト」と捉える社員も一部にはいたように思います。しかし、セキュリティはあらゆるシステムやサービスを支える、欠かせない要素です。そこで、セキュリティを特別なものではなく、品質の一部として当たり前に意識してもらえるよう、アウェアネス向上につながる取り組みができないかと考えました。

――社内向けのCTF（Capture The Flag）もその一つですか？

はい。企業全体のセキュリティレベル向上には、職種にかかわらず自分事として取り組むことが重要です。そこでサイバーインシデントが身近に起こりうる脅威だと感じてもらうため、技術職以外の社員も気軽に参加できるイベントができないかを検討しました。CTFは、サイバーセキュリティの知識や技術を駆使して、システム内に隠された「Flag（旗）」と呼ばれる情報を見つけ出し、その得点を競う競技です。IT版の宝探しゲームのイメージで、気軽に参加してもらいやすい特徴があります。当時、すでに社内CTFは存在していましたが、内容が技術的で、少しハードルが高いと感じて参加をためらう社員もいたと思います。そこで、従来のゲーム感覚で競い合う形式を活かしつつ、最近起きた身近なセキュリティインシデントを題材としたクイズや、業務で使う機会の多いクラウドやコンテナといった技術テーマを取り入れるなど、初心者にもより身近に感じてもらえる工夫を重ねてきました。もちろんクイズだけでなく、ヒントを確認しながら手を動かし続けて得点を競う、CTF本来の楽しさを知ってもらうことにも注力しています。

米国立標準技術研究所（NIST）が発行する「NIST SP 800-16」では、組織のセキュリティ向上には、役割に応じたトレーニングに加えて、まずセキュリティへの意識を持ってもらうこと、いわゆるセキュリティアウェアネスが重要だと整理されています。この考え方は、人を狙った攻撃が増えている今、社員一人ひとりにインシデント発生時の適切な対応を意識してもらう上で、特に重要だと感じています。社内CTFを通じて、セキュリティへの取り組みを「楽しい」「身近なもの」と感じてもらうことも、そうしたセキュリティアウェアネスの向上につながっています。

――社内CTFは実際に効果を上げられている取り組みですが、採用できる企業は限られる気がします。

当社では、CTFだけでなく、社員へ向けた情報の発信にも注力しています。国内で発生している身近なサイバーインシデントや、多くの企業・お客様が関心を持ちやすい事例については、インテリジェンス情報の発信担当者が自らの知見を交えて社員へ展開しています。効果を実感できるのは、一般に公開されているニュースサイトの情報をそのまま共有するのではなく、社内の視点や背景を踏まえた情報として伝えることで、コメントなどで反応が返ってくる割合が高いことからです。営業職の中には、展開された情報を営業活動に役立てている人もいて、情報提供の効果を感じています。すでに同様の情報発信を行っている方もいらっしゃると思いますが、ニュースサイトの内容をそのまま展開するのではなく、ぜひご自身の見解を交えて発信してみてください。

――サイバー攻撃の被害に遭ったSKYSEA Client Viewのお客様も、早期復旧には日頃の人間関係が大事だとおっしゃっていましたが、情報発信もその一つということですね。

先日あるセキュリティのイベントで、いわゆる「ひとり情シス」の方とお会いしたのですが、その方も、理解を得るのが難しいセキュリティ対策を円滑に進めるには、現場とのコミュニケーションが欠かせないとお話しされていました。普段から対話を重ねて関係性を築いておくことで、有事の際や、協力をお願いしたい場面でも話を進めやすくなります。そうした意味でも、継続的な情報発信やコミュニケーションは大きな役割を果たすと考えています。

サイバーセキュリティの世界で
女性が活躍する後押しをしたい

――女性比率が少ないといわれるセキュリティ業界ですが、徐々に活躍される女性が増えてきました。中島さんの周りではいかがですか？

私が入社した当時は、女性のセキュリティエンジニアは決して多くはありませんでしたが、近年はより多くの女性が活躍しています。とはいえ、業界全体を見れば、依然として男性の割合が多い状況です。

しかし、これからセキュリティ業界を目指す学生の中には確実に女性が増えています。先日実施された学生向けのセキュリティイベントでは、参加者の約4割が女性だったと聞きました。数年前には、大学でセキュリティを研究する女性が、周囲の偏見に悩んでいるという話を耳にすることもありましたが、最近ではそうした声をあまり聞かなくなり、周囲の認識も少しずつ変わってきているように感じています。

――中島さんご自身はセキュリティエンジニアとして仕事をする上で、女性であることにデメリットを感じた経験はありますか？

私は環境に恵まれていまして、周りには純粋に技術が好きで、成果や姿勢を重視する人が集まっています。そのため、性別を意識する場面はほとんどなく、女性であることを不利だと感じた経験はありません。ただし、技術に対して真摯でない人には、性別に関係なく厳しい環境かもしれません。

――サイバーセキュリティ業界で女性を意識する機会はほぼないということですが、女性限定のコミュニティ「CTF for GIRLS」の代表に就任された経緯についてお聞かせください。

2015年に参加したのが最初の関わりです。大学の研究室の先輩から女性限定のCTFがあると教えてもらい、面白そうだったので参加してみることに。当時は、イベントの運営にも興味を持ち始めていた頃で、立ち上がって間がない「CTF for GIRLS」にはちょうど人手が足りていなかった状況もあり、運営メンバーに加わることになりました。2018年から副代表としてワークショップの責任者を務め、2024年に発起人で初代代表の中島明日香さんの後を継いで代表に就任しました。

これまで私自身は、セキュリティ業界で女性であることを強く意識せずに過ごしてきました。ただ、過去に参加者の多くが男性で、知り合いもいないイベントに参加した際には、私も周囲の皆さんもお互いに話しかけづらく、少し気まずさを感じたこともあります。その後は特に気にせず参加できるようになりましたが、「CTF for GIRLS」参加者からは、今でも女性の参加者が少ないイベントは居心地が悪いという話を聞くことがあります。成長の場を求める女性のセキュリティエンジニアが気軽に参加できる環境を提供することの意義をあらためて感じました。

――「CTF for GIRLS」の立ち上げから12年、当時と今を比べて変わったと感じることはありますか？

参加者層の変化です。当初、主な参加者はセキュリティベンダーの技術者でしたが、現在はユーザー企業の情報システム部門の方や、セキュリティ関連企業の営業職の方など、技術者だけでなく幅広い職種の方が参加してくださっています。このところ、サイバーセキュリティ関係者の裾野を広げるというこのコミュニティの目的の一つが、確実に成果に結びついていると実感できるようになってきました。

CTFのように実際に手を動かす体験を通して学べるワークショップへの参加は、これまで何となく理解していた攻撃手法や脆弱性への理解を深めるのに役立ちます。この情報誌をご覧になっている情報システム部門の皆さんも、ぜひ一度参加をご検討ください。性別に関係なく参加できるCTFは、初心者向けの勉強会から「SECCON」のようなコンテストまで、習得度に合わせてさまざまなイベントが開催されています。

――2022年に中島明日香さんに取材した際、最終的には自分たちの存在が必要なくなることが目標だとおっしゃっていました。現在、そこに近づいていると感じますか？

先ほど、裾野が広がってきているとお伝えしましたが、それは以前に比べて活動の存在が必要な人に少しずつ届くようになってきたと感じているからです。その一方で、私たちを必要としているのにメッセージが届いていない方もいらっしゃると思います。いつか本当に私たちの存在が必要とされなくなるまで、活動は継続していく予定です。

そのほかにも、セキュリティエンジニアの裾野を広げるためのいくつかのコミュニティに関わっています。NECとKOSENサイバーセキュリティ教育推進センター（K-SEC）が共催している「高等専門学校の女子学生向けのテクニカルワークショップ」もその一つです。この活動を通じて、これから社会に出ていく次世代へのリーチの重要性を、あらためて実感しています。ぜひ、エンジニアの道にはセキュリティという世界があることを知ってもらい、サイバーセキュリティの世界に進んでいただきたいですね。

――セキュリティエンジニアを目指してもらうためには、中島さんたちのようにすでに活躍している方が、メディア等でロールモデルを示されることも有効かもしれませんね。

私がサイバーセキュリティの道に進んだきっかけは漫画でしたが、ロールモデルを見て興味を持ってくれる人もいると思います。私の存在を知ってもらうだけでなく、当社の社員や「CTF for GIRLS」、その他セキュリティ業界で活躍されている方とも協力して、サイバーセキュリティ業界のブランディングに貢献していきたいですね。サイバーセキュリティ業界を目指す人が増えたらうれしいですし、その一助になれたらと思います。

――中島さんは、国際団体United Cybersecurity Allianceが主催する「Cybersecurity Woman of Japan 2024 Awards」で「Cybersecurity Woman Supporter of Japan 2024」を受賞されました。サイバーセキュリティにおける女性支援に多大な貢献をした女性エンジニアとして認められ、それ以前との変化はありましたか？

受賞をきっかけに講演の依頼が増え、それまで以上に人前で話す機会が増えました。以前から技術者向けのコミュニティでは登壇していましたが、非技術者の方が大勢いらっしゃる前で話をする場をいただけるようになったのは、受賞後の変化です。講演は、私自身が成長する場を与えていただけているのはもちろん、セキュリティエンジニアの存在をアピールするチャンスでもあり、サイバーセキュリティの道へ進む仲間を増やすことに少しでもお役に立てればという思いも持ってお引き受けしています。

――現在、経済産業省の情報セキュリティ対策専門官を務めていらっしゃいます。主な活動についてお聞かせください。

経済産業省における現時点での活動は、セキュリティに関する施策の検討・推進に関わることです。それぞれの専門分野の観点からアドバイスしたり、意見交換に参加しています。会合には経験豊富な専門官の方が多く、毎回さまざまな視点からの意見に触れられるため、自身にとっても学びの多い場です。その中で、比較的若い世代として、自分なりの視点でこれまでの実務経験や現場で感じてきたことを踏まえて発言するよう心がけています。

CTFへの参加は、技術習得だけでなく
悩みを共有する場としても活用できる

――先ほど、CTFへの参加で脆弱性への理解が深まるというお話がありましたが、ほかにも情報システム部門の方がCTFに参加することで得られる効果はありますか？

CTFは単なる知識の習得にとどまりません。攻撃者の視点を理解し、複雑な問題に対する解決能力を養うためのトレーニングとして活用できます。このような技術的な効果はもちろん、イベントの主催・参加を通じて感じるのは、同じような悩みを持った人と出会って相談できることです。イベントの多くが、勉強会や競技会の後に懇親会がセッティングされていますので、会話できる時間は十分にあります。まずは「connpass」などエンジニアのためのイベントサイトを活用したり、SNSで初心者向けに開催されているワークショップを探してフォローするところから始めてみることをお勧めします。

――中島さんが本業で情報システム部門の方と接する際、サイバーセキュリティを難しいものと考えず前向きに取り組むためのアドバイスをすることはありますか？

技術的な面白さを知っていただくためにお勧めするのは、やはり実際に手を動かして体験できるワークショップへの参加です。私が運営に関わるイベントの多くは、過去に発生した有名なセキュリティ事故をテーマに、実際に悪用された脆弱性を使って攻撃を実行し、どのように被害が発生するのかを攻撃者の目線で体験していただきます。具体的に攻撃の手法がわかると対策への取り組みが面白くなってくると思います。そして、自分たちのやっていることに対する社員からの反響はモチベーションに直結しますから、社内に向けた活動報告にも取り組んでみてください。

――弊社も使い勝手の良さで、お忙しい情報システム部門の方の負担を減らしたいという思いから、SKYSEA Client Viewをリリースしました。当時、一番アピールしていたのは操作のわかりやすさです。

業務で使うツールの使いやすさやわかりやすさも、「セキュリティ＝難しい」という意識を和らげる一因になるかもしれないですね。状況の直感的な把握や何が起きているのかを可視化できれば、セキュリティを特別なものではなく日常業務の中に溶け込ませることができるのではないでしょうか。そうした「わかる」「見える」ことが、セキュリティに前向きに取り組むきっかけになると思います。セキュリティパッチの適用状況や社員がPCで行った操作がひと目でわかるというのも、前向きに取り組むために必要な要素かもしれません。

――最後に、情報システム部門の方へメッセージをお願いします。

組織の中で、セキュリティを負担に感じてしまう方がいらっしゃるのも事実だと思いますが、ルールや基本的な対策を日々積み重ねていけば、サイバー攻撃によって突然事業が止まってしまうリスクを下げられます。最悪の事態を避けるため、組織の全員が一体となって取り組むセキュリティ対策に、今回お話ししたことが少しでもお役に立てば幸いです。

最後になりますが、セキュリティは一人で悩まず、周りとつながることで前向きに取り組めることも多い分野だと思います。興味のある方は、ぜひコミュニティにも参加してみてください。女性の方は、「CTF for GIRLS」へのご参加もお待ちしています。

（「SKYSEA Client View NEWS vol.108」 2026年5月掲載 / 2026年2月取材）
撮影場所：WeWork 日比谷パークフロント