「現状維持は後退と同じ」――トップクラスのセキュリティエンジニアは、最新のリスクや急速に変化するビジネス・技術環境にどう対応し続けているのでしょうか。
セキュリティエンジニアは、企業のサイバーセキュリティにおいて極めて重要な役割を担っています。組織のデータ、アプリケーション、システム、ネットワークをはじめとするITコンポーネントを、さまざまなサイバー脅威から守るためのセキュリティシステムを設計・構築・展開する専門家だからです。
単に資格を持つセキュリティエンジニアを見つけるだけでなく、業界で最も優秀な人材を確保することは、CISOをはじめセキュリティを統括する立場の人にとって最優先事項でなければなりません。AIの急速な台頭とそれに伴う企業へのリスクを考えれば、なおさらです。
ここでは、採用時に見極めるべき、あるいは自身のセキュリティキャリアを高めるために身につけるべき、優秀なセキュリティエンジニアの主要なスキルと資質を紹介します。
近年、分野を問わずAI関連スキルへの需要が高まっており、これはセキュリティエンジニアにも当てはまります。市場にはAIを活用したソリューションが豊富に存在し、エンジニアが防御手段として取り入れられるツールも数多くあります。
金融サービス企業Navy Federal Credit Unionでデジタルエンジニアリング・アンカーを務めるプラビーン・マルガバンドゥ氏は、「AIはセキュリティエンジニアリングを、事後対応型のアラート発信から予測型の脅威検知へと変えつつあります。AIによる異常検知は、従来のしきい値ベースのシステムが反応する前に、不正やセキュリティ侵害を示す行動パターンを特定できるようになりました。これにより、セキュリティエンジニアの役割はインシデント対応者から脅威モデルの設計者へとシフトしています」と述べています。
AIを活用したツールは、これまでセキュリティエンジニアの業務の中核だった検知やトリアージ作業の大部分を担うようになっている、とグローバル技術系人材派遣会社Dexianの共同創業者兼CEOであるマルーフ・アーメド氏は指摘します。「脆弱性スキャンは今や自動で実行されます」と同氏は言います。「以前ならチームが何時間もログを追う必要があった脅威のフラグ立ても、今では数分で終わります」
これにより多くのセキュリティチームで作業負荷に余裕が生まれ、日々の業務のあり方も変化した、とアーメド氏は言います。「検知の自動化が進むにつれ、エンジニアの価値は、フラグが立てられた事象をどう解釈し、どう対応するかを判断する部分により重きが置かれるようになっています」と同氏は述べています。
新旧のAI脅威に対する深い理解
エンジニアはまた、AIがもたらすリスクについても十分理解しておく必要があります。これには、大規模言語モデル(LLM)を用いて高度にパーソナライズされたソーシャルエンジニアリング攻撃を自動化・大規模化したり、巧妙なマルウェアを作成したり、ディープフェイクを生成したりするAIを悪用したサイバー攻撃が含まれます。
そのほかにも、エンジニアが認識しておくべきAI関連の脅威として、プロンプトインジェクション、データやモデルのポイズニング、機密情報の漏えい、モデルの窃取、サプライチェーン侵害、過剰な自律権限などが挙げられます。
「セキュリティチームの業務効率を高める生成AIツールは、攻撃者側にも等しく使えるものであり、それは実際の被害にも表れています」とアーメド氏は言います。「フィッシングキャンペーンは1年前よりも文章の質が上がり、狙いも正確になっています。言葉が洗練され、標的に合わせて作り込まれていると、ソーシャルエンジニアリングの見抜きは難しくなります。セキュリティエンジニアは今、自分たちが防御側で使っているのと同じ種類の技術で作られた脅威に対抗しなければならないのです」
これにより、信頼できる検知とは何かという基準のハードルが上がった、とアーメド氏は言います。「クライアントから最もよく聞かれるようになった課題の変化は、自組織のシステムに対する信頼に関するものです」と同氏は述べます。「2年前は、可視性の確保――環境全体を見渡せるようにすることが優先事項でした。今ではほとんどの組織がそれを実現しています。より難しい問題は、それらのツールが伝えてくる情報が精査に耐えるものかどうかを見極めることであり、規制当局や取締役会の前でその調査結果を裏付けられる人材をチームに置いておくことです」
パフォーマンスとビジネス目標への理解
優秀なセキュリティエンジニアは、パフォーマンスとセキュリティがどう交差するかを理解している、とマルガバンドゥ氏は言います。同氏はNavy Federal Credit Unionのデジタルバンキング基盤全体でパフォーマンスエンジニアリングを統括しており、リアルタイム不正検知、アイデンティティ・アクセス管理、サイバーセキュリティ基盤のレジリエンスなどを担当しています。
「セキュアではあってもリアルタイムで取引を検知するには遅すぎる不正検知システムは、まったくセキュアとは言えません」とマルガバンドゥ氏は言います。「トップクラスのエンジニアは、両方を同時に最適化します」
エンジニアには物事をビジネスの文脈に落とし込む力が求められる、とアーメド氏は言います。「複数の領域を横断して仕事ができ、AIの出力を検証でき、新しいツールを素早く習得できるエンジニアは価値があります。しかし、その価値は、その人物が組織が何をなぜ守ろうとしているのかを理解しているとき、さらに大きくなります」と同氏は述べています。
ビジネスを理解しているセキュリティエンジニアは、より良いリスク判断を下し、より効果的なポリシーを策定し、周囲のチームとの摩擦も少なくなる、とアーメド氏は言います。「これこそが今、雇用者が求めている人材像であり、人材不足が最も深刻な部分でもあります」と同氏は述べています。
システム全体を俯瞰する視点
「サイバーセキュリティ採用における最大の誤解の一つは、優秀なセキュリティエンジニアが単に技術資格やツールへの習熟度だけで決まるという考え方です」と、独立系サイバーセキュリティ研究者でホワイトハッカーのフアン・マシューズ・レベロ・サントス氏は言います。
「技術力はもちろん重要ですが、私がこれまで一緒に仕事をした中で最も優れたエンジニアたちには、分析的思考、状況への柔軟な対応力、コミュニケーション能力、そしてシステム全体に対する深い理解という組み合わせが一貫して見られます」とサントス氏は言います。
優秀なセキュリティエンジニアは、インフラ、クラウドサービス、アイデンティティシステム、アプリケーション、API、ネットワーク、ユーザー、ビジネス運用がどのようにつながっているかを理解している、とサントス氏は言います。
「現代の攻撃が、単一の孤立したコンポーネントだけを狙うことはほとんどありません」と同氏は言います。「攻撃者は複数の環境にまたがる弱点を連鎖させて利用します。こうした関係性を全体的に理解できるエンジニアは、予防対応・インシデント対応の両面で著しく高い効果を発揮します」
分野横断的な知識と幅広い技術スタックへの理解
今日、優秀なソフトウェアエンジニアであるということは、幅広い技術経験と知識を備えていることを意味します。「組織は、これまで以上に技術スタック全体を横断して働けるエンジニアを求めています」とアーメド氏は言います。「かつては一つの分野の深い専門性が求められた職種でも、今ではクラウドインフラ、アプリケーションセキュリティ、コンプライアンスの間を、境界ごとに引き継ぎを挟むことなく動き回れる人材が期待されています」
攻撃対象領域は拡大し続けており、セキュリティエンジニアの職務内容もそれに合わせて変化しています。「分野を横断できる能力が重要なのは、セキュリティインシデントが一つの層にとどまることはほとんどないからです」とアーメド氏は言います。「ネットワークからアプリケーション、そしてデータガバナンスの枠組みまで、問題を追い続けられるエンジニアは、より少ない人数で、より速く問題を解決できます」
最も優れたセキュリティエンジニアは、インフラ、アプリケーション、ビジネスの各領域をつなぐ存在だ、とマルガバンドゥ氏は言います。「彼らは同じ会話の中でCISO、開発者、クラウドアーキテクトそれぞれに語りかけることができます」と同氏は言います。「認証の問題が不正被害のリスクにとってどんな意味を持つかを説明できるエンジニアは、インフラの言葉でしか説明できないエンジニアよりも、経営幹部が集まる場でずっと速く先に進めます。技術的には抜群に優秀な人が、この点で何度も後れを取るのを見てきました」
技術的なリスクを非技術系の経営層に明確に伝えられるかどうかは、攻撃を防げるかどうかの成否を分けることもあります。
「今日、多くのセキュリティ上の失敗は、ツールの不足が原因ではなく、技術チームとビジネス上の意思決定者との間の認識のズレが原因で起きています」とサントス氏は言います。「優秀なエンジニアは、運用上のリスクや優先順位付け、セキュリティ上のトレードオフを、経営幹部が理解できる言葉で説明できます」
サードパーティリスクと非人間的脅威への深い理解
脅威はサプライチェーンや非人間的な攻撃者を含め、あらゆるところからやって来る可能性があります。サードパーティに起因するサイバーセキュリティリスクは増加傾向にあります。エグゼクティブサーチ企業Hitch Partnersによる「2026年版グローバルCISOリーダーシップレポート」――米国およびカナダの情報セキュリティ幹部625名超を対象とした調査に基づくもの――によれば、43%がサードパーティリスクを最優先事項に挙げています。
「ほとんどのチームは、自分たちが所有するものを守ることの方が、依存しているものを守ることよりも得意です」とマルガバンドゥ氏は言います。「境界防御的な発想から依存関係に基づく発想への転換は現実に起きていますが、まだ全員がその転換を遂げたわけではありません。すべてのAPI呼び出し、資格情報を持つすべてのベンダー、すべてのサードパーティ製モデルを自らの攻撃対象領域の一部として扱うエンジニアは、設計へのアプローチそのものが異なります」
もう一つ、脅威の発生源として拡大しているのが人間以外の存在です。ManageEngineの「Identity Security Outlook 2026」レポートによれば、マシンアイデンティティの数は、ほとんどの企業環境において人間のアイデンティティの100倍を超えており、一部の業種では500倍近くに達しているといいます。
これにはサービスアカウント、APIキー、自動化用トークン、AIエージェントなどが含まれ、そのいずれもがデータガバナンスやセキュリティ上のリスクとなり得ます。
多くの組織では、そもそも規模に対応するようには設計されていなかった手作業のプロセスで、いまだにマシンアイデンティティを管理している、とマルガバンドゥ氏は言います。「非人間的アイデンティティのガバナンスを理解しているエンジニアは希少であり、その重要性はますます高まっています。これは将来の問題ではありません」
学び続ける意欲
セキュリティエンジニアには、学び続けることを決してやめない姿勢が求められます。
「当たり前のことのように聞こえますが、15年前からこの仕事をしていながら、いまだに2012年に作った脅威モデルのままで動いている人たちと一緒に働いてみると、そうではないとわかります」とマルガバンドゥ氏は言います。「セキュリティの世界は変化のスピードが速く、立ち止まることは後退することと同じなのです」
変化についていけるセキュリティエンジニアは、年に1本レポートを読む程度では終わりません。「彼らは今この瞬間、今月、攻撃者が何をしているのかに本気で興味を持っていて、それに応じて自分の考え方を調整していきます」とマルガバンドゥ氏は言います。「そうした資質は、たいていの技術スキルよりも採用時に見極めるのが難しいものです。なぜなら履歴書には書かれていないからです」
AIがより新しく、より巧妙な脅威をもたらす中、最新動向についていくことはこれまで以上に重要になっているといえるでしょう。「優秀なエンジニアは本質的に探究心が強いものです」とサントス氏は言います。「彼らは攻撃手法を積極的に研究し、前提を検証し、失敗事例をリバースエンジニアリングし、リスクに対する理解を絶えず更新していきます」
優れたセキュリティエンジニアの多くは、業界の状況が常に変化し続けていることを理解しているからこそ、知的な意味で常に居心地の悪さを感じ続けている人たちだ、とサントス氏は言います。
雇用者側も、候補者がどれだけ速く学べるかにより注意を払うようになってきた、とアーメド氏は言います。「脅威の状況も防御用のツールキットも、どんな資格認定プログラムより速いスピードで動いています。そのため採用担当者は、面接の場で適応力を探ろうとしています。候補者が最近の変化にどう対応してきたか、慣れないプラットフォームを自力で習得した経験があるか、これまで見たことのない問題にどう取り組むか、といった点です」と同氏は述べています。
翻訳元: https://www.csoonline.com/article/4196428/7-skills-and-traits-of-elite-security-engineers.html