-1-150x150.png){kind=avatar}
コトラ(広報チーム) 
NRIセキュアテクノロジーズ株式会社(以下NRIセキュア)のクラウドセキュリティ事業部に、独占ロングインタビューを実施できました!本記事は、事業部の組織・業務・ミッションなどの全体に関する内容となります。
<同事業部への他のインタビュー記事>
Part1(本記事):【NRIセキュアテクノロジーズ株式会社インタビュー】新製品をいち早く検証し、NRIセキュアのサービス拡充をリードする
Part2:Okta事業立ち上げ経験者が語るNRIセキュアの魅力【IDaaS・認証基盤】
Part3:クラウドセキュリティのプロに聞くNRIセキュアのカルチャー【CNAPP・CSPM・CWPP】
Part4:NRIセキュアのゼロトラスト製品オーナーに徹底インタビュー【SASE/マイクロセグメンテーション】
部署の名前は「クラウドセキュリティ事業部」ですが、ID管理・ネットワークセキュリティなどのゼロトラスト関連ソリューション等も複数取り扱っています。セキュリティ業界の中で先頭を走るNRIセキュアの中でも、最先端のソリューション群に対する専門性・豊富な提供事例を持っているチームです。
セキュリティ業界でのキャリア形成に悩みがある方、これからセキュリティ領域にチャレンジしようとしている方には必見の内容となりますので、ぜひご覧ください!
インタビューさせていただいた方々
NRIセキュアテクノロジーズ株式会社
シニアセキュリティエンジニア
代田 晃基様
SIベンダーにて、セキュリティ製品の提案/導入支援/サポート業務に従事。2022年に野村総合研究所入社後、NRIセキュアテクノロジーズへ出向。 現在は、CNAPPやメールセキュリティ、マイクロセグメンテーション等のクラウドセキュリティソリューションのプロモーション/提案/導入支援/サポート業務を担当。
NRIセキュアテクノロジーズ株式会社
シニアセキュリティコンサルタント
藤井 貴弘様
通信キャリアにて大手製造業を中心にITコンサルタント業務に従事。2020年に野村総合研究所入社後、NRIセキュアテクノロジーズへ出向。 現在はマルチクラウドセキュリティ分野のプリセールス、導入支援を担当。CISSP/情報処理安全確保支援士。
NRIセキュアテクノロジーズ株式会社
シニアセキュリティアーキテクト
境 文也様
通信キャリアにて、大手製造業を中心としたMSSのサービスマネージャーとしてCSIRT運用支援業務に従事。2019年に野村総合研究所入社後、NRIセキュアテクノロジーズへ出向し、現在はSASEやマイクロセグメンテーション等のゼロトラストに関わるクラウドセキュリティ製品のプロモーション/提案/導入支援/サポート業務を担当。CISSP/GIAC Advisory Board Member。
※NRIセキュア ブログから引用させていただいております。
クラウドセキュリティ事業部の組織・業務内容・ミッション
コトラ中川:
NRIセキュアにおける、クラウドセキュリティ事業部の立ち位置とミッションについてお聞かせください。
境様:
現在、大きく3つの役割があります。
1つ目は、最新の技術トレンドや市場動向を調査し、クライアント企業のニーズを満たすようなソリューションの目利きを行う。
2つ目は、コンサルティング部門から上がってくるクライアント企業の顕在化した課題(例えば「IDaaSを導入したい」等の具体的な課題)に対して、最適化したソリューションを提供する。
3つ目は、積み上げた実績・ナレッジを社内へ横展開し、監視や運用といったより広く顧客をサポートできるような体制を構築すること。
市場にある様々な製品・ソリューションをクライアントに提供しつつ、既存のセキュリティ製品との組み合わせ・クライアント企業ごとのネットワーク環境を見ながら、最適な形でソリューションを活用いただけるよう支援することが我々のミッションです。
代田様:
日本国内ではまだ普及していないような、新しいソリューションを積極的に扱うことにも重きを置いています。
我々は「Okta」も日本法人の立ち上げ当初から取り扱ってきましたし、この後ご紹介する「illumio」についても、日本でマイクロセグメンテーションという概念が浸透する前から取り扱ってきました。私が担当している「Prisma Cloud」も、CSPM領域の認知がまだ十分でなかった2019年から取り扱いを開始しています。
コトラ中川:
「新しいものはとりあえずやってみる」という感じですね。非常にチャレンジングで、魅力的な環境だと思います。
クライアントから「新しい製品を試してみたい」という相談を受けることも多いのでしょうか?
境様:
はい、特に以前は非常に多かったです。初期段階では、特定のソリューションベンダー(製品を作っているメーカー)とは深く関わりたくないというクライアントも多かったので。
ただ最近では、メーカーと直接やり取りされるクライアントも増えてきている印象です。我々にご相談をいただく場合でも、導入したい製品をある程度決めた上でご連絡いただくパターンもありますし、特にクラウドサービスに関してはクライアント側で一度触ってみた上でご相談に来られることも多いです。
コトラ中川:
クライアント側のリテラシーも上がっているということですね。
代田様:
そうですね。我々は、IT業界全体でセキュリティへの関心が高まる中、よりレベルの高い要望に応えるため、リテラシーの高いクライアントに対してもスペシャリストとして臨む立場かと思っています。
コトラ中川:
IT業界のセキュリティ意識が高まっているのは何故ですか?
境様:
高度化するサイバー攻撃の増加や、ハイブリッドワーク、クラウド活用に伴う攻撃面の増加も相まって、セキュリティインシデントの被害に遭う企業が後を絶たないためと思われます。
セキュリティはコストと考えられていた時代とは異なり、セキュリティは自社の資産やレピュテーションを守るため積極的に投資するカテゴリに変わってきています。我々が想像している以上に、自発的にセキュリティ対策を講じるクライアント企業も最近は増えてきており、業界ガイドラインが発表されたタイミングや、実際にセキュリティインシデントが発生した際に、我々へご相談頂くケースも増えております。
コトラ中川:
人数構成やチームの体制についても教えてください。
藤井様:
現在、事業部全体の人数は7名です。少数精鋭で明確なチーム分けはしておらず、おおよそ一人ずつに担当する領域があります。今回インタビューを受けるメンバーが提供している主なソリューションは、ID管理ソリューション(IDaaS)の「Okta」や、クラウド基盤セキュリティ(CSPM・CWPP)の「Prisma Cloud」、クラウドサービス管理・ネットワークセキュリティ(CASB・SASE)の「Netskope」などです。
各ソリューションの特徴・変遷①:Okta(ID管理ソリューション)
コトラ中川:
みなさんが担当されているそれぞれのソリューションについて、取り扱いの歴史・領域の変遷などをお聞きしたいです。まずはOktaについて教えてください。
藤井様:
私が入社したのは約5年前で、ちょうどその頃にOkta Japanの立ち上げがあり、我々はそのタイミングで代理店としての取り扱いを開始しました。今ではMicrosoft製品以外の独立系IDaaSとしてトップクラスのシェアを誇るOktaですが、当時は日本法人の立ち上げ期だったので、当初は本当に黎明期という感じでしたね。
Oktaとは?
複数アカウントのIDやパスワードを一元管理するクラウド型ID・アクセス管理(IDaaS)ソリューション。アクセスの利便性・安全性を向上させる。
IDaaS(Identity as a Service)とは?
ID統合認証基盤のクラウドサービス(SaaS)。以下のようなニーズから急速に導入企業が増えている。
①企業での外部クラウドサービス利用機会の増加
②リモートワーク需要の高騰による、社外ネットワークからの外部クラウドサービスへのアクセス頻度の向上
③クラウドサービス利用時の多要素認証(MFA:Multi-Factor Authentication)ニーズの増加
各ソリューションの特徴・変遷②:Prisma Cloud(クラウドセキュリティ)
コトラ中川:
Prisma Cloudについても教えてください。
代田様:
私は数年間AWS・Azure・GCPといったパブリッククラウドに関するセキュリティに携わってきたのですが、近年、クラウドセキュリティの重要性が一層高まってきています。「Prisma Cloud」というソリューションは、CSPM領域に対する認知がまだ十分でなかった時期から取り扱いを開始していますが、世間からの需要の高まりに応じて、CSPM機能に加え、CWPP機能も備えたCNAPP製品のソリューション展開も行っています。
Prisma Cloudとは?
①CSPM(Cloud Security Posture Management):パブリッククラウドの設定ミス診断、コンプライアンスチェック、異常行動の検知、ネットワークの可視化を行う機能
②CWPP(Cloud Workload Protection Platform):ワークロードの脆弱性診断や設定診断、マルウェア防御を行う機能
の2つを提供するCNAPP(Cloud Native Application Protection Platform)製品。
※CNAPPの最新トレンド:https://www.nri-secure.co.jp/blog/ever-changing-cnapp
コトラ中川:
クラウドセキュリティを整備しようとする際、クライアント企業の立場から見ると、サードパーティーのCSPMを導入する以外にどのような選択肢が考えられるのでしょうか?
代田様:
AWS自体のセキュリティ機能を使うのか、外部製品としてCSPMを導入するのかの2パターンになります。
コトラ中川:
それぞれ、どのような違いがあるのでしょうか?
代田様:
AWSやAzureはそもそもセキュリティを専門に提供する企業ではないため、外部ベンダーの方がセキュリティ分野に特化した製品を展開しており、継続的な投資も行っています。
また、クライアント企業の部署ごとやクラウドに乗せるサービスごとに、使用するクラウド基盤が異なるケースが多く、「部署AだとAWS、部署BだとAzure」といったように複数のクラウドを併用している企業が一般的です。「AWSはAWSでセキュリティ管理」「AzureはAzureでセキュリティ管理」となると、セキュリティ部署の方の統制・管理工数が膨大になってしまうため、こういったケースではやはり外部製品の方が網羅的に一括管理しやすいかと思います。
コトラ中川:
なるほど。では部署の数が多い大手企業ほどCSPMの導入事例は多いでしょうか?
代田様:
その傾向はあります。ただし、大手企業ほどオンプレミス環境から完全に脱却できていないケースも少なくありません。企業の規模というよりは、「クラウドを本気で活用しようとしているかどうか」が分岐点だと思います。そのため、必ずしも大手企業だけがクライアントというわけではなく、クラウドセキュリティに対する温度感が高い企業様は、総じて導入機会があるかと思います。
コトラ中川:
最近、事業会社側でのセキュリティの求人は、コーポレートIT(CIO・CISO)側とサービス開発(CTO)側に分かれてきていますが、クラウドセキュリティ対応の旗振り役はどちらが担うことが多いのでしょうか?
藤井様:
我々も1度整理したのですが、コーポレートIT(CIO・CISO)側が多いです。クラウドセキュリティはゼロトラスト領域とも親和性が高いので、「クラウド経験を活かしてキャリアを広げたい」という方にもおすすめできる領域かと思います。
各ソリューションの特徴・変遷③:Netskope(クラウドサービス管理・ネットワークセキュリティ)
コトラ中川:
Netskopeについても教えてください。
Netskopeとは?
CASBをはじめとして、SASEの主要な構成要素である
・SWG(Secure Web Gateway):ユーザがWEBへ安全にアクセスできるように、ユーザアクセスを監視・制御するとともに、
ポリシーを適用させてWEBベースの脅威から守る
・FWaaS(Firewall as a Service):非Web(HTTP/HTTPS以外のプロトコル)における通信を可視化・制御する
・RBI(Remote Browser Isolation):特定のカテゴリに対するWEBアクセスを分離し無害化する
・ZTNA(Zero Trust Network Access):社内ネットワーク上のアプリケーションに対するリモートアクセスを実現するなどのソリューションをクラウド上で一括提供可能な、クラウドセキュリティソリューション。
※ZTNAの詳細解説:https://www.nri-secure.co.jp/blog/explanation-of-zero-trust-network-access
CASB(Cloud Access Security Broker)とは?
企業や組織が、従業員によるクラウドサービスの利用を可視化・制御して、一括管理する役割を果たすソリューションの総称。
※CASBの種類・主要機能・導入する際のポイント:https://www.nri-secure.co.jp/blog/cstar2018_casb
SASE(Secure Access Service Edge)とは?
包括的なWAN機能と包括的なネットワークセキュリティ機能を組み合わせて、企業の動的なセキュアアクセスをサポートする製品。
※SASEの詳細解説:https://www.nri-secure.co.jp/blog/secure-access-service-edge
境様:
クライアントが外部クラウドサービスを自由に活用できる環境を実現するために、セキュリティをしっかり担保しようというニーズに応える形で、2018年からCASBの機能を中心にNetskopeの取り扱いを開始しました。Netskopeの管理対象にはクラウド型のSaaS/PaaS/IaaSも含まれており、クラウドサービスを積極的に活用していく気概のある企業様が主なターゲットになります。
その後の展開としては、機能の拡張や様々な会社の買収を経て、Webトラフィックを制御するSWG機能や、社内ネットワーク向けのアクセスを制御するZTNA機能なども追加され、よりネットワーク寄りの機能までカバーするようになる等、提供範囲が大きく広がっています。
当初は主に情報セキュリティ部門の方々が我々のクライアントでしたが、機能の拡充・時代の進歩に伴って、次第にインフラ寄りのネットワーク周りを統括している方がクライアントとなりプロジェクトを進めるケースも増えてきました。
そのため候補者像としては、単にセキュリティに興味があるだけでなく、ネットワークのバックグラウンドをお持ちの方や、コーポレートITにおけるインフラまわりの知識──たとえばActive Directoryの運用経験やイントラネット環境の構築・管理経験など──をお持ちの方が、非常にマッチすると考えています。
コトラ中川:
クライアントとなる部署が変わってきている、あるいはバリエーションが増えているというのは非常に面白いですね。
セキュリティ組織が成熟している企業では、セキュリティ部署の中にインフラに強い方々が在籍しているケースもありますが、すべての企業がそういった体制を整えられているわけではないですからね。
境様:
製品の守備範囲がますます広がる中で、機能の拡張も進み、関わるクライアントの部署も変化していきます。我々も常に一つの領域だけを担当するのではなく、幅広い知識を吸収しながら、クライアントの変化に柔軟に対応していく必要があると感じています。
コトラ中川:
今お話いただいたような機能追加の変遷は、Netskopeに限らず、さまざまなセキュリティ製品に共通して見られる動きだと思います。Netskopeのように特定領域に注力して進化してきた企業もあれば、「その機能も一応あります」といった程度でも機能を掲載している企業もあり、エンドユーザーである事業会社の立場からすると、そうした違いを比較・見極めるのは非常に難しいのではないかと感じています。
境様:
仰る通りです。実際に、製品同士を比較するための○×表を作成してほしいとご依頼いただくことも多いのですが、多くのベンダーは、機能一覧の見た目上すべて○が付くように機能を追加してきています。しかし、実際は機能があるだけで使えないというケースも多く、成熟度には大きな差があるため、クライアントからも我々の経験値を頼りにしていただいていますし、そういったコンサルティングも我々の仕事だと思っています。
コトラ中川:
特に事業会社のご担当者の場合、たとえデモで製品に触れられたとしても、実際に導入するには稟議を通さなければ予算が下りないケースがほとんどだと思います。そうした検討・導入のプロセスも、NRIセキュアではサポートしているということですね。
境様:
そうですね。現場のご担当者様が役員層に提案・上申する際のサポート等もしています。
NRIセキュアが選ばれる理由
コトラ中川:
クライアントの立場から見たときに、他のベンダーではなくNRIセキュアが選ばれる理由は、どういった点にあるとお考えですか?
藤井様:
当社は、クライアントの企業規模にかかわらず、丁寧に向き合う姿勢を大切にしています。
他社があまり力を入れないような案件であっても、しっかりクライアントと対話し、深く入り込みながら密に連携して進めていく点が評価されているのではないかと思います。
また、エンジニアが営業フェーズから直接クライアントと関わる点も、他社との大きな違いだと思います。製品としては機能があっても、実際の運用では実現が難しいこともあります。そういった点を事前にしっかり把握し、最初の段階から丁寧にサポートできることも、評価につながっていると感じます。
コトラ中川:
エンジニアの皆さんが営業フェーズから直接クライアントと関わっているとのことですが、そのご経験を通じて、エンジニアとしての考え方や立ち振る舞いにどのような変化があったか、お聞かせいただけますか?
境様:
無謀な提案をしなくなりましたね(笑)。
製品機能の提案だけではなく、クライアントの環境において実現できるかどうかも加味して、現実的な運用までを見据えて地に足のついた提案ができるようになりました。
藤井様:
「機能として存在すること」と「実際に運用で使えること」は別物で、一般的な営業サイドでは「この機能はあるので実現できます」とアピールすることもあると思いますが、我々は「確かに機能はあるが、クライアントの環境では難しいかもしれない」という視点で話をします。
クライアントの立場や実際の現場に即した目線を持つようになったのは、大きな変化だと感じています。
代田様:
他には、横の繋がりの太さも、NRIセキュアが選ばれる理由の一つかと思います。
企業規模もあまり大きくないので、他社と比べても非常に風通しが良いです。コンサル部隊・マネージドサービス部隊と我々クラウドセキュリティ事業部が密接に関わり、社内連携・クライアントへの共同提案までの流れも非常にスピーディかつフットワークが軽く、言葉だけではない風通しの良さを感じて選んでいただけるクライアントも多いです。
「この分野はあの人に聞けばいい」という密な信頼関係が自然と実現できており、部署を超えた連携・提案ができているのはかなり珍しい環境かなと思っています。
コトラ中川:
先程「クライアント側のリテラシーも上がってきている」「セキュリティ担当者の業務範囲が広がってきている」という話もありましたが、そうした柔軟な体制でなければ対応できない案件も増えているのでしょうか?
代田様:
そうですね。単純にセキュリティ製品を入れて終わりではなく、前段にアセスメントをして優先順位付けを行うなどのコンサルティングや運用の高度化、SOC体制の構築も含めたご要望をいただく場面も多く、そうした際には、特定領域の専門人材をプロジェクトに柔軟にアサインできる体制が非常に助かっています。
セキュリティ×他領域──エンジニアとしての進化とキャリアの広がり
コトラ中川:
皆様も何かしらのスキルやバックグラウンドを持ったうえでセキュリティ領域に入られたと思いますが、実際にこの領域に来て、エンジニアとしてどのような変化がありましたか?
代田様:
最近のセキュリティ担当者は、セキュリティ領域以外も対応していることがほとんどです。
例えばOktaであれば、単なるID管理ツールではなく、「様々なWEBサービスに毎回の認証無しでログインできるようにする」という利便性の向上まで実現できてゴールというプロジェクトも多くなっています。エンドユーザーからすれば、セキュリティ製品というよりも「業務効率を上げるためのプロセス最適化ソリューション」という見え方が現実に近いかと。そのためにはOktaの担当者は外部連携周りについても知識・経験が必要なので、守備範囲は広がっていますね。
様々なニーズに応えながらセキュリティも担保する、という製品が主流になっています。セキュリティの専門知識だけでは対応しきれない場面が増えていますね。そのため、「セキュリティ×他領域」といった形で、自身のスキルを掛け算していく必要があると感じています。
藤井様:
Oktaの機能をフルに活用しようとする場合、さまざまな外部SaaSと連携する必要があります。プロジェクトをこなしていくうちに、それぞれのアプリケーションの癖や特性が見えてきますし、外部環境との連携にも強くなっていきます。
Oktaのような中核となる製品を起点に、コアの部分から領域を広げていけるのは、キャリア観点で見た強みがあります。
コトラ中川:
セキュリティコンサルタント・エンジニアとして語れる範囲が広がることで、結果的にクライアントとの距離も近くなりそうですね。
最近は、転職後のキャリアまで見据えて転職活動を進める方も増えているので、セキュリティに限らず他の領域とも接続できる人材になることで、結果的にキャリアの選択肢が大きく広がりますね。
コトラ中川:
最後に、クラウドセキュリティ事業部としての今後の展望・方針について教えてください。
境様:
より良い社会・未来を創るために挑戦し続けるお客様を対象に、セキュリティを通じてサポートし、安全・安心なIT社会を実現することが私たちの使命と考えています。
日々挑戦するお客様を支えるためには、我々自身も新しいことにチャレンジし続け、セキュリティの分野・業界をリードしていくことが求められていますので、新しい分野にも積極的に挑戦しながら成長したいという気概を持った方からのご応募をお待ちしています。
まとめ
いかがでしたでしょうか?NRIセキュアのクラウドセキュリティ事業部ですが、予想以上に自由度が高く、レベルも高い環境であることが伝わったかと思います。求人は下記になりますので、ご興味があればお気軽にWEBから「応募する」ボタンを押していただければと思います。コトラのセキュリティ担当者から、面談のご案内をさせていただきます。
関連する求人のご紹介
NRIセキュアにご興味がある方へ
今回特集しましたNRIセキュアの求人をご紹介します。
国内大手シンクタンクでのセキュリティ製品(SaaS)導入エンジニアの求人
■職種
セキュリティエンジニア(プリセールス)
■業務内容
顧客の課題を把握し、今世の中にある技術で、それを解決できるかを考え、
製造元との調達から、顧客へのデリバリを、関係各署と協調しながらスマートにリードしてくれることを期待しています。
情報セキュリティサービスのトレンドをウォッチしながら、海外のSaaSの新規取扱い検討を行います。
SaaSの取扱い開始に始まり、拡販を模索しながら、コンサルテーション・設計・導入といった活動を一気通貫で行います。
また、海外のSaaSには実装予定がなく日本市場に特化したニーズがあれば、新たなサービス開発を行います。
・取扱いSaaSの例
Netskope、Okta、Proofpoint、Cofense、illumio 等
■ポジションのやりがい/魅力
日本にまだないものを海外の技術を中心に探索し、日本市場へゼロからアプローチすることができます。
それが顧客にとって、受け入れられるものかもしれませんし、品質面やリスクの許容度によっては、受け入れられないものかもしれません。
この正解のないプロセスを自身の力で進めて、市場に働きかけていくことが面白さなのではないかと考えています。
上記を進めていくには、多様なクラウドサービスの理解も必要ですし、セキュリティアナリストのリコメンドや、顧客の現実とのギャップなど、非常に複雑な要素があります。
しかし、当グループの看板や多様で優秀な人材網を利活用しながら、柔軟に対応できれば、今後のキャリアについても、コンサルや開発、運用と幅広なネクストステップが用意されています。
コトラでは、業界動向やキャリアに関するご相談を無料で承る「キャリア相談会」を開催しております。
最新の採用動向や非公開求人情報をご提供するとともに、ざっくばらんな意見交換・ご相談を通じて、ご希望やお悩みに寄り添ったアドバイスをさせていただきます。
理想のキャリアを実現する第一歩として、ぜひお気軽にご相談ください!
インタビュアー
株式会社コトラ
エグゼクティブコンサルタント
中川 貴史
金沢大学大学院を卒業後、大手通信企業に入社。SEとして海外向け金融システムプロジェクト、およびホワイトリスト/PCI-DSS対応など複数のセキュリティプロジェクトに従事。 コトラに転職後は、セキュリティ/インフラエンジニア/デジタルフォレンジック領域を専門として、ハイクラスを対象に転職・採用支援。
