「やめるってよ」というか、2019年9月からセキュリティエンジニアをやめてデータサイエンティストになりました。

振り返りとセキュリティ対する成仏の意味を含めたポエムになります。

いままでのキャリア

大手携帯通信会社（非IT業務）
↓
IT系中小企業（情シス→社内セキュリティ担当:SIRT/SOC）
↓
大手製造業（社内セキュリティ担当→データサイエンティスト）

セキュリティエンジニアをやめた理由

一言にセキュリティエンジニアと言っても様々な職種※があります。
私は世間一般的に情報セキュリティ部やCSIRT/SOCのような自社の社内向けセキュリティ業務全般を担当してました。

※参考

https://www.liber.co.jp/knowhow/careerlab/se/002.html

昔セキュリティエンジニアをめざしたわけ

セキュリティエンジニアになりたいと思っていた一番大きな要素は、
技術的な興味と知識欲を満たしてくれるということでした。
自分が普段触っているPCやサーバがどのように動いているのか（CPUやメモリの動きや、プログラムがコンパイルされて動くまでの流れ、プロセスやネットワークのやり取りなど）、 知れば知るほど上手に使えるようになることに面白さを感じました。
今後様々なものがネットワークに繋がり便利になる一方で、セキュリティの問題が露呈し、 セキュリティエンジニアの需要が高まるだろうという市場の拡大にともなう人材不足（需要上昇）を視野に入れていました。

セキュリティエンジニアを辞めた理由

辞めた理由はいくつかありますが自分にとって大きいものは以下になります。

面白い（興味がある）部分と企業が求める部分とのギャップ

目指した理由に書いたとおり、技術的な面白さが好きでセキュリティエンジニアになったわけですが、 実際になってみると、認識が甘かったと痛感しました。 セキュリティエンジニアへの需要が増えることは予想通りだったのですが、 増えた需要は「企業内の情報セキュリティの事故が起きないようにする・起きても対応できる（最小化）ようにする」ことであり、 社内のセキュリティのIT技術力を上げることは「手段の一つかもしれないが目的ではない」というところです。

もっと言うと、日本の普通の企業はサービスや製品の脆弱性を見つけるエンジニアは不要であって、
会社全体のセキュリティを高めれるような、何かあっても対応できるような人材を欲しているというところです。 実際、社内セキュリティエンジニア（SIRT)をしているときに、転職サイトに自身のプロフィールを公開したところ、 誰もが知っている大企業や、ビットコイン系やら、昔働いていた会社やら、複数の会社からオファーやメッセージが届きました。

ただ、上に書いたように私がもともとやりたい方向に近かった脆弱性を見つけるようなことは、 今の日本では自社でやっているところは非常に少なく、基本的にはセキュリティベンダでないと業務としてやるのは難しいです。

心理的安全性がない

Googleの言うチーム間のコミュニケーションや雰囲気という意味ではなく、
いつセキュリティ事故が起きるかわからない（起きているけど気づいていない）というストレスに常に襲われていました。 そのため、事故の発覚が起きやすい連休明け前になると無意識にピリピリしていたように感じます。 事故も会社の規模や業態によって受ける被害は様々ですが、個人情報が流出したときの慰謝料や機会損失だけではなく、 工場などの古いPCが感染して生産ラインがストップすると日単位で数億円の損害が出るので、 事故発生時にはそれを自分がどうにかしないといけないという無意識が常時発生していました。

社員との対話が大変

セキュリティをやってみて一番以外だったのは、非常にコミュニケーション能力を求められるということです。
もちろんセキュリティ内の職種にもよりますが、社内セキュリティ担当は分業化されていることは少なく、複数の役柄を掛け持ちで少数人で回していることが多いのではないでしょうか。
そうなるとフォレンジックや侵入テストだけやれば良いなどはなく、社内ルールを決めたり、周知したり、どのように対策すれば良いか社員側と議論したり、
インシデントが起きたら正しく事象を把握するヒアリング能力などコミュニケーション能力がかなり求められる印象でした。

「今まで大丈夫だったし、なんの問題もないんだけど。」
「またセキュリティソフトが誤検知しているんですけど。」

こんな感じで仕事中は対話に時間と精神力が奪われていきます。

結局セキュリティは二の次

車の安全性を考えたときに、一番簡単な方法は"車を運転しないこと"ですが、 ただそれは不便で生活できません。 会社の運営も似ていてセキュリティを考えてあれこれ禁止にすると業務にならないので、なんとかするのも社内セキュリティエンジニアの仕事と思います。
ただPCを操作するのは社員なので、自分から安全装置を切ってスピード出して壁に突っ込んでも、その後処理や対策をこちらで考えないといけないのが辛いところです。

“運転しても事故にならないようになんとかしてよ。ただし運転するのは俺な。”
こんなイメージです。

正直無理ゲー

プロキシ入れようが、EDR入れようが、MSSを導入しようが、管理できない端末はたくさん出てきます。 業務や案件を盾に抜け道はいくらでもあります。 限りある予算と人員の中で可能な限りセキュリティを高めているのが現状だと思います。

社内のネットワークに勝手にRaspberryPiを繋がれたり、家のUSB,SDカードを悪気もなくPCに挿したり、 情シスに勝手に管理ソフトを入れられたくないからと故意にPCを登録しない＆セキュリティソフトを入れない。 訳のわからないソフトをインストールしてセキュリティソフトがブロックするも誤検知でブロックされたんだけど！と怒る。 PCの管理者権限を渡さないなどシステム的に禁止にもできますが、
会社全体の生産性を下げ、こちらも運用負荷が発生し、なによりも誰からも感謝されないのが辛いところです。

けれど何か問題が起きたら社内セキュリティ担当者が対応しないといけない。 技術的な部分よりも人間力が非常に求められる職種だったと思います。

データサイエンティストになりました

そんなこんなで地方でセキュリティエンジニアを続けていくのはモチベーションとして難しいと判断し、 色々あってデータサイエンティストになりました。

なぜデータサイエンティストなのか/どうやってなったのかはここでは省きますが、 今は売上予測や、データの可視化などを行なっています。

社会人になってから今まで、運用という守りの仕事でしたが、
やっと0から1にするような仕事ができ満足度は上がりました。

最後に

私はもうセキュリティの仕事をしない決心をしていますが、 データサイエンティストの仕事をしていても、セキュリティエンジニア時代に身に着けたスキルが役立つことが多いです。 というかどんな仕事していてもセキュリティの知識は汎用性が高いので持っていて損はないと感じました。 ※現データサイエンティストの必要能力にセキュリティも含まれている

私の性格と社内情報セキュリティ担当という職種の相性が悪かっただけで、 上に書いた内容が全然平気、むしろやる気出るという人もいると思います。
社内情報セキュリティ担当の業務範囲は広くなりがちで大変なことが多いですが、その分比例して自身の技術スキルと社会的需要は爆上りなので、 自分のスキルや市場価値を上げたい！、社内セキュリティに興味がある！という人は是非やってみると良いと思います。