Dark Readingの「CISOとのキャリア対談」ビデオシリーズへようこそ。このシリーズでは、サイバーセキュリティ分野でのキャリアの始め方やキャリアアップについて、実際に経験した人々からのアドバイスを紹介しています。
今回のエピソードでは、Dark Readingのアソシエイトエディター、クリスティーナ・ビークが、Weave CommunicationsのCISO、ジェシカ・シカにインタビューし、さまざまな分野でサイバーセキュリティを実践してきた中で彼女が学んだことについて語ってもらいました。20年以上にわたるキャリアを持つシカですが、最初はコールセンターの受付係として働き始めました。やがて技術への興味からWindows 95のサポートを担当するようになり、そこからキャリアを積み重ねてセキュリティ分野へと進んでいきました。
シカは自身のキャリアを振り返りながら、新しいポジションの採用時にどのような資質を重視しているか、男性が多いこの分野で女性が進出するにはどのようなレジリエンスが必要か、そしてセキュリティ分野でキャリアを始める際にエントリーレベルのプロフェッショナルに最適な業界はどこかについて語っています。
また、このシリーズの最初のインタビューもご覧ください:サイバーキャリアの機会:資格と学位の比較(長年CISOを務めるメリナ・スコットとの対談)
ジェシカ・シカ:全編書き起こし
この書き起こしは分かりやすさのために編集されています。
クリスティーナ・ビーク:こんにちは、クリスティーナ・ビークです。私はDark Readingのアソシエイトエディターで、本日は「Heard It From a CISO」の新しいエピソードとして、CISOのジェシカ・シカさんと一緒にお届けします。今回は、現代のサイバーセキュリティ分野でキャリアを始めるとはどういうことかについて主にお話しします。自己紹介と、現在CISOとしてどのような仕事をしているか教えてください。
ジェシカ・シカ:私は現在、Weave Communicationsという、主に中小規模の医療機関や歯科医院向けのコミュニケーションおよび請求プラットフォーム(SaaS企業)で働いています。
私はセキュリティ分野で20年以上働いており、さまざまな業界で経験を積んできました。さまざまなポジションを経験してきましたが、CISOレベルにたどり着くまでに、最初からそのポジションに就くことは普通ありません。
KB:その点から始めましょう。最初にサイバーセキュリティに関わるようになったきっかけは何ですか?また、この分野で働いてきた年月を振り返って、どのような経験でしたか?
JS:私の入り方は特に珍しいものではなく、ITのヘルプデスクという技術的な側面から入りました。何年も前、コールセンターで受付として働いていたのですが、Windows 95のサポートをできる技術的な人材が必要とされていました(年齢がバレますね)。私はもともとテクノロジー好きで、キャリアを始める前からコンピュータをいじっており、そうした背景や好奇心がありました。そこでヘルプデスクから始めて、そこからキャリアを積み上げていきました。
ヘルプデスクからネットワークエンジニアになり、ネットワークエンジニアからセキュリティに進むのは自然な流れでした。というのも、ファイアウォールのルールや設定、侵入検知など、ネットワークエンジニアとして扱う技術の一部はセキュリティにも直結しているからです。ネットワークエンジニアとして扱う技術の一部はセキュリティにも直結しています。
もちろん、この分野に入る方法は他にもたくさんありますし、その点についてもさらにお話しできます。
KB:この分野で働くうえで、あなたにとって最も良い点は何ですか?
JS:長年セキュリティ分野で働いてきて最も良い点の一つは、常に面白く、常に変化していることです。私がセキュリティに入った当初と今とでは、懸念事項が全く異なります。当時はランサムウェアの話題すらありませんでした。
この職業は、常に興味を持ち続けられ、学び続ける必要がある分野だと思います。常に自分を高めていく必要があり、決して退屈しません。私は飽きっぽい性格ですが、仕事で退屈したくありません。セキュリティは決して退屈な職業ではなく、常に変化し、進化し続ける分野です。
KB:現在サイバー分野に入ることについて、あなたが最初に始めた頃と比べて何が違うと思いますか?
JS:私にとって興味深いのは、誰もが「セキュリティ業界は急成長している」と言う一方で、実際にはどんどん入りにくくなっていることです。エントリーレベルの仕事に就くのがますます難しくなっていると感じます。
企業側の要求も厳しくなり、「セキュリティの経験がなければセキュリティの仕事には就けない」と言われることもありますが、それは本末転倒です。どうやって経験を積むのかという問題は昔からありましたが、今はさらに深刻になっていると思います。求職者が増えたこともあり、企業はより細かいスキルを求めるようになっています。
例えば、特定のパスワード管理ツールの経験がなければ採用しないという求人も見かけます。応募が500件もある中で、そのツールが履歴書に書かれていなければ無視されてしまう。私がこの分野に入った頃は必ずしもそうではありませんでした。難しかったですが、今はさらに難しくなり、よりニッチなスキルが求められています。
実際には、他のパスワード管理ツールに慣れていれば、新しいツールにも適応できるはずです。企業がそうした方針を取るのは残念ですが、大量の応募者をふるいにかける一つの方法であり、今は確実に入りにくくなっています。
AIの台頭により、今後はさらにエントリーレベルの仕事が難しくなるでしょう。特にエントリーレベルの仕事の中には、 AIに置き換えられるタスクも出てくると思います。まだそこまでではありませんが、そうなった時には新たな課題となるでしょう。
KB:求人要件がよりニッチになっているとお話しされましたが、こうした仕事に興味がある人にはどんな道を勧めますか?サイバーセキュリティの正式な教育を受けるのが良いのでしょうか、それとも別の道を選ぶべきでしょうか?
JS:もし本当にセキュリティ分野に進みたいのであれば、4年制大学の学位はあまり役に立たないかもしれません。本で学ぶことはできますが、実際に必要なスキルが身についていない場合もあります。将来的にマネジメントや上級職に就きたい場合は、その時に学位を取得するのも良いでしょう。
私は資格取得の道を支持しますが、資格を持っている人でも、実際にはセキュリティを理解していない場合も見てきました。試験に合格するためだけに勉強するのでは不十分です。本当にセキュリティに情熱を持ち、深く理解し、掘り下げる必要があります。
同じ仕事に500人が応募している中で一歩抜きん出たいなら、セキュリティを生活の一部にするくらいの情熱が必要です。単に「かっこいいから入りたい」という理由ではなく、本当に情熱があるかどうかは見れば分かります。私はそうした情熱のない人は採用しません。
KB:次の質問につながりますが、サイバーセキュリティ企業が採用時に本当に求めているのは、学歴だけでなく、どんな人物的資質でしょうか?
JS:私自身や、同じような意見を持つ他の人たちの話を総合すると、適性や情熱が技術的スキルよりも重要だと思います。技術力も大事ですが、人間性や情熱が10点満点の人の方が、技術力が3点でも良い場合もあります。ソフトスキルの方が重要であり、学ぶ意欲や成長意欲、より良いセキュリティ人材になりたいという気持ちがあれば、技術力以上に重視します。
また、CISOやVP、ディレクターだけでなく、エンジニアやアナリストもビジネスを理解し、その世界で働ける必要があります。
KB: Dark Readingでは、私のマネージングエディターや編集長も女性です。テック業界で女性に囲まれているのは素晴らしいことですが、より広いコミュニティに出ると男性が多いと感じます。こうした分野に進出しようとする女性に、どんなアドバイスをしますか?
JS:とても良いテーマですね。厚い皮膚(打たれ強さ)を持つことが大切だと思います。なぜなら、男性ばかりのセキュリティ業界で女性として時には耳を疑うようなことを言われることもあるからです。私は幸運にも女性の同僚や上司がいる職場もありましたが、それは決して一般的ではありません。カンファレンスでも同様です。自分自身に自信を持ち、強くあること、そして男性が多い環境で働くことが現実だと受け入れることが大切です。
聞きたくないことを耳にすることもあるかもしれません。もちろん、性差別的な発言などに耐える必要はありませんが、男女で働き方が少し違うこともあります。それを理解し、そういう世界で働くことを受け入れる必要があります。
私はゲーム業界などさまざまな会社で働いてきました。一部の職場は「ボーイズクラブ」的な雰囲気があり、そうした環境では昇進しにくいかもしれませんが、学びや成長、努力して認められる経験ができる良い場でもあります。
カンファレンスでは、例えば来週Black Hatに参加しますが、ほとんどのセッションは参加者の80~90%が男性です。自分に自信を持ち、強くあること、そしてそれが現実の世界だと理解して臨んでください。
KB:先ほど、さまざまな業界でサイバーセキュリティの異なる役割を経験したとおっしゃっていましたが、キャリアを始める人にとって特に良い業界はどこだと思いますか?おすすめは?
JS:私は、金融や銀行業界、あるいは非常に厳しく規制された業界が良いと思います。そうした業界ではセキュリティが比較的明確で、「これは絶対にやってはいけない」というルールが存在します。一方、SaaS企業やゲーム会社など、規制が緩い業界では、もう少し複雑な判断が求められます。
私はゲーム会社でも働いたことがありますが、そこでは一概に決められず、ビジネス上の必要性やセキュリティとのトレードオフ、リスクを考慮する必要がありました。
KB:最後の質問です。この分野でメンターを見つけるにはどうすればよいでしょうか?どんな人を探すべきですか?どんな資質が重要ですか?
JS:自分がどこに行きたいのか、何をしたいのか、どんな人になりたいのかを考える必要があります。セキュリティには多くの分野があり、ガバナンス、リスク、コンプライアンス、監査、より技術的な分野もあります。もし自分が何をしたいか分からない場合は、あらゆる分野を経験したメンターを探すのが良いでしょう。そうした人が進むべき方向を示してくれるかもしれません。
メンターの方から声をかけてくることはありません。自分からアプローチする必要があります。LinkedInで連絡したり、セキュリティカンファレンスで誰かと会話したりして、勇気を持って「メンターになっていただけませんか?」と尋ねてみてください。
個人的には、30年間同じ会社にいる人よりも、いろいろなことを経験してきた人を探すのが良いと思います。会社への忠誠心も大切ですが、これからセキュリティ分野に入るなら、さまざまな職種や会社を経験し、苦労したことのある人、なかなかこの分野に入れなかった経験のある人を探すと良いでしょう。そうした現実を経験してきた人の方が、きっとあなたの助けになってくれるはずです。
KB:ありがとうございました、ジェシカ。最後に何か一言ありますか?
JS:セキュリティは非常に広い分野です。もしセキュリティ分野に入りたいなら、どの分野に進みたいか少し絞り込むと良いでしょう。その方がうまくいくかもしれません。
実際、方向性が定まっていない社員を指導するのは難しいです。自分が何をしたいのか、どこに行きたいのか分からないと、コーチングやメンタリングも難しくなります。ですから、セキュリティ分野で何をしたいのか、なぜセキュリティに進みたいのか、じっくり考えてみてください。
もし お金やキャリアのためだけなら、この分野はあなたに向いていないかもしれませんし、情熱がないことは採用側にも伝わってしまうので、採用されにくくなるでしょう。