採用に関するお問合せ先

qtnet-saiyo@qtnet.co.jp

公式アカウント
Instagram
Youtube
CROSSTALK

サイバーセキュリティ部の仕事

年々高まるサイバー攻撃の脅威から、お客さまそしてQTnetの情報資産を守るために結成されたサイバーセキュリティ部。
サービスの構築から運用、社内教育まで多岐にわたる業務内容を紹介します。

MEMBER

  • サイバーセキュリティ部
    サイバーセキュリティ対策グループ サブリーダー

    吉原 知奈津

    2013年度入社
    佐賀大学 理工学部 知能情報システム学科卒

  • サイバーセキュリティ部
    セキュリティサービスグループ サブリーダー

    田中 辰彦

    2015年度入社
    九州大学大学院 システム生命科学府 生命情報科学専攻

  • サイバーセキュリティ部
    セキュリティサービスグループ サブリーダー

    矢島 和男

    2012年度入社
    大分大学 工学部 知能情報システム工学科卒

  • サイバーセキュリティ部
    セキュリティサービスグループ リーダー

    和田 昌士

    2013年度入社
    大分大学大学院 工学研究科 電気電子工学専攻

巧妙化するサイバー攻撃から
社内外の情報資産を守る

和田

サイバーセキュリティ部は、「先端のセキュリティ技術で、お客さまおよび社内の情報資産を守り、安心・安全なデジタル社会の未来づくりに貢献する」というミッションを掲げ、お客さまや社内のサイバーセキュリティ対策の強化と、セキュリティ全般に関する社員の意識の向上を図ることを目的とする部署です。2016年に始まった法人のお客さま向けのセキュリティサービスを開発・提供する「クラウドセキュリティプロジェクト」と、2018年に発足した社内向けのセキュリティ対策を推進する「サイバーセキュリティ対策室」が2020年11月に統合し、サイバーセキュリティ部となりました。部署内は2つのグループに分かれていて、法人のお客さま向けのサービス開発や提案など“攻めのセキュリティ”を担うセキュリティサービスグループ。そして社内のパソコンやサーバなどの設備をサイバー攻撃から守る“守りのセキュリティ”を担当するサイバーセキュリティ対策グループがあります。私はサイバーセキュリティ対策室の発足時から、社内向け対策を行っていたのですが、今年の8月にセキュリティサービスグループに異動しました。

矢島

私は2017年からクラウドセキュリティプロジェクトの一員として働いていました。当部署では法人さま向けのセキュリティサービスグループに所属しています。当社のセキュリティサービスには、MSS(マネージド・セキュリティ・サービス)をはじめ、攻撃メールが届いた時の対処法を社員に意識づける「標的型メール訓練サービス」や、OSやミドルウェア(サーバ上で特定の機能を提供するソフトウェア)に存在する脆弱性や設定上の不備を洗い出し、対処法を提示する「プラットフォーム診断サービス」などがあります。プラットフォーム診断サービスは、2018年度までサービスの開発や仕組みづくりなどの立ち上げを行い、2019年度から本格的なサービス提供が始まりました。提供開始当初から、多くの引き合いがあり、法人さまにおけるセキュリティ対策の必要性が高まっていることを強く感じています。

田中

私は2017年に親会社である九州電力に出向し、社内やグループ企業向けのサイバーセキュリティ対策業務を行っていました。出向から戻った後、矢島さんと同じセキュリティサービスグループに配属されました。現在は、主にインターネット回線サービスの一種であるMSS(マネージド・セキュリティ・サービス)を担当しています。これは当社が提供するインターネット回線のなかで、一番セキュリティ強度の高いサービスとなります。新規のお客さまの開通作業を行うことを中心に、時には設備のリプレイスやアップデート、サービス内容の見直しなどを行うこともあります。また、市町村や県の職員さま向けにセキュリティ意識向上のための研修を行うことも。九州電力でも同じように行っていた研修が現在の仕事に役立っています。

和田

私はずっと社内向けのセキュリティ対策を担当していて、法人のお客さま向け担当に変わったばかりです。現在、主に担当している標的型メール訓練サービスは、依頼をいただいた会社の社員さまに対して、疑似の標的型攻撃メールを送信し、開封してしまった人数や考えられる原因などもあわせて報告を行うサービスです。本訓練は社員のみなさまのセキュリティ意識を向上させる目的で行います。社内でも同様のことを行っていましたが、社内の対策とお客さまに提供するサービスでは、考え方も視点も異なる部分が多いので、まだまだ勉強中ですね。

吉原

ほかの3名は法人さま向けサービスの担当ですが、私は社内向けの「サイバーセキュリティ対策グループ」に所属しています。田中さんと同様に、九州電力に出向し、2年間サイバーセキュリティ対策業務にあたっていました。2020年に帰任し、和田さんが所属されていた社内向けのサイバーセキュリティ対策室に配属され、現在に至ります。主に社員のセキュリティ意識の向上のために、メール訓練や勉強会の開催、部署ごとの教育などを行っています。

和田

そのほかにサイバーセキュリティ対策グループでは、自社サーバの脆弱性診断や、ウイルス感染対策なども行っています。自社サーバへの攻撃回数もカウントしているのですが、年々増加傾向にあります。一般的にもサイバー攻撃は増えていますし、巧妙化しています。

矢島

2021年は東京オリンピックが開催されましたが、オリンピック開催国はサイバー攻撃の対象になりやすいと言われています。開催期間中は休日も交代でトラフィックの監視を行うなど、万全の体制を取っていました。何も起きなかったのでほっとしましたが、これからこういう機会も増えそうです。情報漏洩のニュースなども、以前に比べて規模が大きくなっていますよね。会社の存続を揺るがす可能性にもなりかねないことなので、各所で重要性がさけばれているのだと思います。特に、当社もお取引の多い金融系の企業では、サイバーセキュリティの強化が重要事項となっているので、発注をいただくことが多いです。

外部組織と連携し、
情報を活かす取り組み

和田

多様化するサイバー攻撃に対するセキュリティ対策を行うには、社内だけの情報では足りない部分がどうしても出てきます。そこで、サイバーセキュリティ対策グループでは外部の組織と連携して情報交換や共同訓練などを行っています。

吉原

2016年に「QTnet CSIRT」を設立し、「日本シーサート協議会」に加盟しています。CSIRT(シーサート)とは、コンピュータ・セキュリティ・インシデント・レスポンス・チームの略で、コンピュータセキュリティにまつわるインシデントに対処するための組織のことです。日本シーサート協議会には、当社と同じような情報通信業から製造業、流通業などさまざまな企業が加盟していて、各組織が匿名で脆弱性情報や攻撃の予兆、脅威に対してどのように対応していくかなどを共有します。そのおかげでインシデントの防止や、セキュリティ関連情報の蓄積に繋がっています。

和田

今年は福岡県警さまとの関わりもありましたね。お声掛けをいただき、サイバーインシデント共同対処訓練を行いました。この訓練は、サイバー攻撃による被害の未然防止のために、福岡県警さまが県内のインフラ事業者などと行っているものです。不審メールを受信した際の対策訓練を行いました。

吉原

メールを受信した際に、どういった点から不審なメールであると判断するかを訓練するものでした。その不審メールの内容を福岡県警の担当者さまと私たちが一緒に考えました。また、当社でも外部からのサイバー攻撃を確認した際には、福岡県警さまに共有しています。

専門知識以外にも必要な
幅広い役割と自己研鑽

矢島

法人さま向けの「プラットフォーム診断サービス」の開発には、技術的な部分のほかにも苦労がありました。当社で新しくサービスを作る場合、通常はサービス開発の部署、料金体系を決める部署、提供する部署と分かれているのですが、セキュリティサービスに関しては、すべてを一任されまして、サービス化するまでの社内フローの手続きや調整は慣れない事だったので大変でした。その苦労を経てのサービス化だったので、お客さまによろこばれているのがうれしいですね。また、サービスを販売するために、お客さまに説明をするのも初めての経験でした。それまではプレゼンを聞くことが多かったので、逆の立場になりとても緊張しました。ですが、直接お話しをしたことでご納得いただき、当社に発注いただけたときはよろこびを感じますね。

田中

今日は技術者で明日はプレゼンター、なんてこともありますよね。技術的な力、わかりやすく伝える力、両方を高められるのもこの部署の面白さだと思います。

和田

確かに伝える力も求められますね。私も当社のグループ会社にセキュリティ研修を行った際に、「来年もやってほしい」「わかりやすかった」と言ってもらえるのがうれしかったです。

田中

その分苦労もあって、幅広く最新の知識をもつ努力は欠かせません。例えば、お客さまとの商談の際、「MSSを使ったら、いま流行っている○○という攻撃はブロックできますか?」と聞かれた場合、知っていたら自信をもって「できます」と答えられますが、口ごもってしまうと不安感を与えてしまいます。知識のアップデートを行うために、日々ITニュースに触れるほか、勉強会やセミナーにも積極的に参加しています。また、自分が得た情報をグループチャットに流すなど、部内での情報共有も欠かさず行っています。

矢島

今日もWEBサーバの脆弱性という記事を見つけ、脅威が高いレベルだったので共有しました。それを見て、サイバーセキュリティ対策グループが社内で当てはまるものがないか調べてくれましたね。

吉原

はい、おかげですぐに確認することができました。ニュースは日々変わっていくので、みんなで協力しながらウォッチすることは必要ですね。私が最近嬉しさを感じたのは、サイバーセキュリティ対策グループで考えた社給パソコンに貼るセキュリティ対策ステッカーを社員のみなさんが使っているのを見た時です。業務中に不審なメールを開いてしまったら、どのように行動すればいいのかを簡潔にまとめているもので、デザインなどもこだわって作りました。多くの方に「あのステッカーいいね」と言ってもらえたほか、社内のメール訓練の初動対応も向上して、作ってよかったと思いました。

和田

サイバーセキュリティ対策グループは、社内からの反応がすぐ伝わってきますよね。私もメール訓練を行っていた時に、社内の人から「教え方が良くなった」といわれると、がんばろう!という気持ちになっていました。やる気に繋がる仕組みも当社にはあります。資格を取得すると難易度に合わせて祝い金がもらえる制度があり、当部署は資格取得を目指している人が多いです。

田中

お互いに「これ取った?」と話して刺激を受け合っています。私は昨年度、国際資格である「CISSP(Certified Information Systems Security Professional)」を取得しました。日本の資格保有者は3000人程度で、社内では1人目になります。当社の基準で最高難易度となっていて、最も高い祝い金をいただくことができました。

矢島

田中さんが先行して取ってくれたので、情報をいろいろ聞きながら私も挑戦しようと思っています(笑)。

セキュリティ対策の重要性を
“伝える力”も必要に

吉原

これからの目標は、もっとセキュリティの知識を深めることです。得た知識は部署内はもちろん、社内に広げていきたいです。そして、みなさんのように資格にもチャレンジしようと思っています。もう一つ、やはり外部との情報共有の大切さを日々感じているので、日本シーサート協議会の会員の方など、社外の方たちとの対話の機会も増やしていきたいです。最近はWEB会議ばかりなので、直接話をする機会があればうれしいですね。

和田

私は入社以来、光ファイバーケーブルの工事に関連する業務からサイバーセキュリティまでさまざまなことを学んできました。これからもさまざまな分野を経験し、学び、どの部署に行っても活躍できるような人材に成長したいですね。目指すは通信のスペシャリストです。

田中

私は担当しているMSSの大きな案件を受注できたので、今はそのことで頭が一杯です(笑)。もうすぐ構築が始まり、今年度中はかかりきりになりそうです。そのほかには、取得した高度な資格を活かした仕事をしたいと思っています。自治体さまからの受注の際、「○○の資格取得者が担当に入ること」といった要件が入っていることもあるので、そういった点で会社に貢献できればと思っています。

矢島

私たちは基本的には技術職ですが、この部署で経験を積むうちに、技術だけでなく人間性も磨きたいと思うようになりました。お客さまには厳しい方も優しい方もいらっしゃいます。どのような方に対しても、対応できるコミュニケーション力を身に付けていきたいですね。学生時代から先生や友達と話すなどいろんな人と関わる経験をしておくと、“伝える力”がつくと思います。セキュリティをやっていく上で、本当に大切だと思います。

田中

そうですね。また、セキュリティに限らず技術は時間と共に変化します。来年、再来年と短いスパンで変わっていく。身に付けようという意欲も必要ですね。

(注)掲載内容は取材当時(2021年)のものです。

関連ページ

その他のクロストークを見る

クロストーク一覧に戻る

ENTRY エントリーはこちら