株式会社NTTデータ様 │ 認定サイバーセキュリティ技術者(Certified CyberSecurity Technician)
~グループ全体でサイバーセキュリティビジネスを加速させる人材育成への挑戦~

NTTデータ テクノロジーコンサルティング事業部様は、認定サイバーセキュリティ技術者(Certified CyberSecurity Technician)を採用し、若手コンサルタントのスキルアップを図るとともに、発展的にNTTデータのグループ会社のセキュリティ人材の育成にも取り組むことで、グループとして日本全国のお客様に対するサイバーセキュリティ対策支援体制の強化に取り組んでいます。

Case Study
NTTデータ様

株式会社NTTデータ様(以下NTTデータ)は豊かで調和のとれた社会づくりをめざし、世界70ヵ国以上でITサービスを提供しています。デジタル技術を活用したビジネス変革や社会課題の解決に向けて、お客さまとともに未来を見つめ、コンサルティングからシステムづくり、システムの運用に至るまで、さまざまなサービスを提供しています。

テクノロジーコンサルティング事業部では、お客様へのコンサルティングサービスの提供およびセキュリティ人材の育成に取り組んでいます。社内向けの人材育成に留まることなく、NTTデータおよびグループ会社をはじめとした社外向けの人材育成にも取り組んでいらっしゃいます。2024年度には「認定サイバーセキュリティ技術者(Certified CyberSecurity Technician)」を採用いただき、戦略的な人材育成プログラムが進行しています。NTTデータの人材育成戦略とビジネス展望について幅広くお伺いしました。

目次

  1. セキュリティはすべてのエンジニアが身に着けるべき必須スキル
  2. 専門性の集積が生む強みと、越えるべき壁
  3. CCT受講で点が線になる
  4. NTTグループ全体で日本全国のお客さまを支援
  5. 実務に直結する研修の在り方
  6. ポイントの整理

導入サービス

認定サイバーセキュリティ技術者(Certified CyberSecurity Technician)

対談者プロフィール(※所属・役職は取材時現在のものです)

作田 尚美氏

株式会社NTTデータ
テクノロジーセグメント
テクノロジービジネス事業本部
テクノロジーコンサルティング事業部
ディレクター
作田 尚美氏

武田 晃氏

株式会社NTTデータ
テクノロジーセグメント
テクノロジービジネス事業本部
テクノロジーコンサルティング事業部
コンサルタント
武田 晃氏

中山 知香氏

株式会社NTTデータ
テクノロジーセグメント
テクノロジービジネス事業本部
テクノロジーコンサルティング事業部
アソシエイトコンサルタント
中山 知香氏

セキュリティはすべてのエンジニアが身に着けるべき必須スキル

システム開発を取り巻く環境は、ここ十数年で大きく様変わりした。クラウドの急速な普及、DXの進展、IoTやAIといった新技術のビジネス活用など、企業システムは、もはや業務を支える裏方ではなく、競争力そのものを左右する基盤となっている。それに伴い、サイバーセキュリティの位置づけも決定的に変わり、顧客からの多様なニーズに応えていくことが求められる。以前は「セキュリティ専門部門が担うもの」「インフラ担当が見ていればよいもの」と捉えられがちだったが、現在では、アプリケーション設計、ネットワーク構成、クラウド運用、さらには要件定義や提案段階に至るまで、あらゆる工程がサイバー攻撃の影響を受けうる。つまり、セキュリティはすべてのエンジニアが身に着けるべき必須スキルになったのである。この変化は、システム開発企業における「人材育成」の考え方そのものを問い直している。専門分化が進む一方で、分野横断でセキュリティを理解できる人材が求められるという、一見相反する要求が突き付けられているからだ。NTTデータも、まさにその課題と正面から向き合っていた。

専門性の集積が生む強みと、越えるべき壁

壁を越えることの必要性

作田 尚美氏 テクノロジーセグメント
テクノロジービジネス事業本部
テクノロジーコンサルティング事業部
ディレクター
作田 尚美氏

NTTデータ テクノロジーセグメントは、社会課題解決、企業課題解決のためのテクノロジー、コンサルティングと、先進テクノロジーやソリューションの営業、ならびに新たなビジネス・ソリューションの企画をミッションとした組織であり、ドメインに依存しない横断的なコンサルティングと技術提供を強みとしている。セキュリティ、ネットワーク、クラウド、アプリケーション、データ活用といった多様な技術分野の専門家が在籍し、それぞれが高い専門性を発揮しながら顧客支援にあたっている。こうした体制は、複雑化する顧客課題に対応する上で大きな強みとなってきた一方で、専門分化が進めば進むほど、ある種の“壁”が生じていくこともまた事実だった。特にセキュリティに関しては、その傾向が顕在化しやすい。

「自分はネットワーク担当だから、セキュリティの細かいところまでは分からない」
「アプリケーション開発が専門なので、インフラ側のリスク評価は自信がない」

こうした言葉は、様々なIT企業・SIerの現場で無意識のうちに交わされることがある。

もちろん、専門外の領域まで完璧に理解することは現実的ではない。しかし、顧客と向き合う場面では、それぞれの領域を切り離して語れることはなくなっているといっても過言ではない。例えば、ネットワーク構成の変更が業務停止リスクにつながることもあれば、アプリケーションの仕様が認証・認可の脆弱性を生むこともある。そうした場面で、「ここから先は別の担当に聞いてください」というような対応を繰り返すことは、顧客からの信頼にも影響する。こうした背景の中、テクノロジーセグメントの野心的な人材育成の取り組みが展開されていく。

人材育成を「研修」から「設計」へ

セキュリティ人材育成というと、多くの企業では「どの研修を受けさせるか」「どの資格を取得させるか」という観点で議論が進みがちだ。しかしNTTデータでは、議論の出発点が異なっていた。
重要視されたのは、「研修そのもの」ではなく、「どのようなエンジニアを育てたいのか」という将来像である。テクノロジーセグメントが目指していたのは、単なるセキュリティ専門家の量産ではない。むしろ、ネットワーク、クラウド、アプリケーションといったそれぞれの専門性を持ちながらも、セキュリティを共通の前提として考えられるエンジニア、顧客と同じ目線でリスクを議論できるエンジニアの育成だった。

CCT受講で点が線になる

CCTという選択肢にたどり着くまで

こうした問題意識のもと、テクノロジーセグメントではさまざまな教育施策が検討された。社内研修を拡充する案もあれば、特定分野に特化した専門資格を取得させる案もあった。しかし議論を重ねる中で、次第に明確になってきた条件がある。

第一に、特定の製品やベンダーに依存しないこと。NTTデータの事業は、多様な顧客・多様な技術スタックに対応することを前提としている。ある製品の操作方法を覚えること自体が目的となる研修では、汎用性に欠ける。

第二に、実務と乖離していないこと。資格取得のための暗記に終始する内容では、現場での判断や議論につながらない。

第三に、若手や非ITバックグラウンドの社員でも理解できること。セキュリティ教育を一部の「選ばれた人材」のものにしては意味がない。

これらの条件を満たすものとして浮上したのが、EC-Councilが提供する「認定サイバーセキュリティ技術者(CCT)」だった。

CCTとは「体系」を学ぶための入口

CCTは、サイバーセキュリティのキャリアをスタートするための基礎資格として設計された講座である。その最大の特徴は、ネットワーク、アプリケーション、クラウド、IoT、インシデント対応といった領域を分断せず、一つの流れとして学べる点にある。サイバー攻撃は、単一の弱点だけで成立するものではない。ネットワークの設定不備が侵入のきっかけとなり、アプリケーションの脆弱性が悪用され、運用上のミスが被害を拡大させる。CCTでは、こうした一連の流れを俯瞰的に捉えることを重視している。また、CCTでは座学だけでなく、iLabsと呼ばれる演習環境を用いたハンズオンが組み込まれている。攻撃手法を“知識として知る”だけでなく、実際に手を動かしながら体験することで、「なぜ危険なのか」を身体感覚として理解できる設計になっている。NTTデータ テクノロジーセグメントでは、この点に大きな可能性を見出した。単なる知識付与ではなく、思考の土台を揃える教育としてCCTは非常に適していると判断されたのである。

若手エンジニアが直面していた課題

中山 知香氏 テクノロジーセグメント
テクノロジービジネス事業本部
テクノロジーコンサルティング事業部
アソシエイトコンサルタント
中山 知香氏

CCTを受講した若手エンジニアの一人である中山氏の成長から多くの学びを得ることができる。

中山氏は非ITバックグラウンドからNTTデータに新卒で入社し、セキュリティ領域の業務に携わってきた。入社後は、全社研修や分野別研修、OJT、オンライン学習などを通じて、必要な知識を一つひとつ身につけていった。本人いわく、学習環境は非常に充実していたという。しかし一方で、ある種のもどかしさも感じていた。情報セキュリティ、ネットワーク、クラウド、リスクアセスメントなど、さまざまな研修を受ける中で知識は増えていくが、それぞれがどのようにつながっているのか、自分の中で整理しきれない感覚があったという。業務の中でも、顧客や先輩社員が使う言葉の意味は分かる。しかし、「なぜそこが問題になるのか」「どの視点でリスクを見ているのか」をより深く理解する必要があると感じる場面があった。

この「分かっているようで分からない」状態は、若手エンジニアにとって珍しいものではない。専門領域に近づくほど、かえって全体像が見えにくくなるという現象は、多くの現場で起きている。

CCT受講で起きた変化 ― 点が線になる

CCTを受講して最初に感じたのは、知識の入り方がそれまでとまったく違うということだった、と中山氏は振り返る。

NTTデータでは様々な社内外での学習機会を提供しており、中山氏も入社時の研修にてセキュリティ知識の学習機会を得ていた。しかし、非ITバックグラウンドからいきなりセキュリティ知識を詰め込まれても、それら全てを理解しきることは困難だった。その後の実務経験によって部分的に理解を深めることができたが、改めて体系的なセキュリティ知識を獲得したいと感じるようになった。
CCTでは「サイバーセキュリティとは何か」という全体像から話が始まり、そこからネットワーク、アプリケーション、運用へと、地続きで話が展開していく。中山氏は、この構成によって、自分の中に少しずつ「地図」が描かれていく感覚を覚えたという。断片的に知っていた知識が、どこに位置付けられるのかを改めて理解できるようになり、「あのとき聞いた話は、ここにつながっていたのか」と腑に落ちる瞬間が何度もあった。つまり、従来の研修や実務経験で獲得した知識を、CCTを通じて再統合できたということだ。まさに、点が線になった瞬間といえる。CCTの中でも特に印象的だったのが、攻撃手法を体験する演習だった。これまで防御の観点で学ぶことが多かった中で、攻撃のプロセスを追体験することは新鮮だったという。攻撃者がどのような情報を集め、どのような順序で侵入を試みるのか。その流れを理解することで、日常業務の中で見る設計書や構成図の見え方が変わった。単に「要件を満たしているか」ではなく、「どこを突かれやすいか」という視点が自然と浮かぶようになったのである。

若い年次で知識を柔軟に吸収する

中山氏は入社1年目の終わりにCCTを受講した。「結構難しかった」と率直な意見を述べた。しかし、受講過程においてハンズオンや解説によるサポートを得ることで乗り越えることができた、と振り返る。年次が若いと知識や業務経験が豊富でないことから、CCTのような体系だった基礎的な知識を習得することに価値が生まれる。「1年半程度の業務経験を経て受講をすると、経験を知識で強化することができるのではないか」と中山氏は述べる。若い年次で研修を受けることのメリットがある。年次を経るにつれて専門領域が確立されると、新しいことに取り組むことに抵抗感を感じたり、自身の領域ではないと感じて学習意欲が湧かなかったりする弊害が生まれる。これはどの業種、業界であろうと同じ事が言えるのではないだろうか。柔軟な発想で、吸収力が高いことは若手の強みであり、それらを活かして人材育成に取り組んでいくことはマネージャーとしての使命・責任でもある。

実務経験にマネジメント観点を付加したコンサルタントへ

CCT受講後、中山氏が最も大きな変化として挙げたのは、「お客さまが言っていることが、以前より分かるようになった」という点だった。ITやセキュリティにおいて習得すべきスキルや知識は膨大であり、まだそのすべてを理解できるわけではない。それでも、議論の前提や論点がどこにあるのかは把握できるようになり、「分からないまま話を進めてしまう」状態が減ったという。コンサルタントにとって、これは非常に重要な変化である。相手の言葉を正確に理解できなければ、適切な提案や助言はできない。CCTの受講を経て最低限の共通言語が中山氏の中に根付いていった。CCTはセキュリティをこれから体系的に学んでいきたいエンジニアにとっての最適な講座として位置づけられている。「セキュリティの分野は幅広く、実践を通じて知識やスキルを身に着けていきたい。お客様は実現したいシステムに対してセキュリティの不安をもっていらっしゃることが多くある。コンサルタントとしてお客様のビジネスを踏まえたうえで、セキュリティをどのように担保するのか、寄り添って支援することが求められる。将来的にはCISSPを取得するなど、実務経験にマネジメントを付加したコンサルタントになっていきたい。」と中山氏は結んだ。

セキュリティはすべてのエンジニアが共通して理解しておくべき基礎教養

CCTの効果は、個々の受講者の成長だけにとどまらなかった。育成を担うマネージャーや組織の視点において、変化を感じ取ることができる。

それまでセキュリティ教育は、どちらかといえば「専門部署向けの特別な研修」という位置づけになりやすかった。ネットワーク系、セキュリティ系の社員には手厚く用意されている一方で、アプリケーション開発やコンサルティング寄りの職種では、セキュリティは「必要になったら学ぶもの」「OJTの中で身につけていくもの」と考えられることも少なくなかった。

しかし、CCTを導入したことも契機となって、セキュリティ教育の位置づけそのものが変わっていったと感じられる。セキュリティは一部の専門家が担う領域ではなく、すべてのエンジニアが共通して理解しておくべき基礎教養である、という意識が日々高まっている。

NTTデータおよびグループ会社全体で日本全国のお客さまを支援

武田 晃氏 テクノロジーセグメント
テクノロジービジネス事業本部
テクノロジーコンサルティング事業部
コンサルタント
武田 晃氏

グループでのセキュリティ対応スキルを底上げする

NTTデータ テクノロジーセグメントにはもう1つ大きなミッションがある。それは社外向けの人材育成だ。テクノロジーセグメントではCybersecAcademyという人材育成プログラムを社外に提供している。NTTデータで培ったノウハウをベースとしたプログラムに加え、GSXのような外部の専門プログラムを組み合わせた構成になっている点に強みがある。

セキュリティ人材の不足は長年の課題である一方で、サイバー攻撃は全国各地で発生しており、地方では対策支援・復旧支援を行えるベンダーが少ないことが社会課題ともいえるほど深刻である。そこにNTTデータおよびグループ会社が全国に張り巡らせている拠点網が強みとして活きてくる。

「ゼロトラスト、ID、特権管理、ADマネジメントなどお客様からのセキュリティ要請は幅広い。一方で体系的にセキュリティについて学ぶことができる機会は十分とは言い切れない。」と武田氏は語る。

NTTデータは日本全国にシステム開発や運用を行うグループ企業を有している。テクノロジーセグメントはGSXとタッグを組んでNTTデータのグループ各社に対して人材育成プログラムを提供することで、グループ企業のセキュリティ対策支援力の向上を行い、日本全国の企業を支援する体制の構築に取り組んでいる。NTTデータは運用などの実務ノウハウに基づいた研修カリキュラムを多数有しており、GSXはスキルを認定する講座を多数有している。それぞれを組み合わせることで実効性の高い研修プログラムを提供することができるよう設計されている。現在、一部のNTTデータ地域会社での人材育成が進んでおり、地方でのサイバーセキュリティ対策支援の強化が進んでいく。ノウハウを積み重ねていくことで、NTTデータグループ外にも人材育成プログラムを提供していくことが計画されている。

人材育成を越えて

作田 尚美氏

NTTデータ テクノロジーセグメントの取り組みは、人材育成の枠を超えた戦略を見据えている。

CybersecAcademyでは、研修プログラムを提供するだけにとどまらず、組織の在り方、サイバーセキュリティ対策など全体像を提示ししたうえで、どのような人材が必要で、どのように育成していくいのか、研修プログラムの品質が高いことは大前提に、目指すべき方向性や全体像を示唆していく。顧客の事業をガバナンスやサステナビリティの観点で捉え、どのようにセキュリティ対策をしていくのか、それを実現するためにどのような人材が必要なのかまで踏み込んで提案を進める。顧客はどのような人材が必要なのか明確に定義することが難しく、相談を受けることが多い。NTTデータのコンサルタントが活躍する場である。

また、講師として顧客と接する過程において、顧客から様々な相談を受ける。それらの課題を持ち帰り、各部門と相談することで顧客ニーズに応えていく。NTTデータならではの総合力が発揮される場面だ。CybersecAcademyはそのような野心的なプログラムにもなっている。

実務に直結する研修の在り方

研修はゴールではない、という共通認識

CCT導入を通じて、NTTデータの中で改めて強く意識されたのが、「研修そのものが目的になってはいけない」という点だ。資格を取得したから終わり、研修を受けたから安心、では実効性がある研修とは言えない。重要なことは、その学びをどう業務に結びつけ、どう次の成長につなげていくかである。そのような観点から、CCTは体系的な内容でありながら、業務との距離が近く、受講後すぐに「使いどころ」が見える。だからこそ、研修で終わらず、現場での対話や設計、レビューといった日常業務の中に自然と溶け込んでいった。

「何を教えるか」ではなく、「どう位置づけるか」

NTTデータの事例が示しているのは、セキュリティ教育において「何を教えるか」以上に、「どう位置づけるか」が重要だという事実である。高度な専門研修を増やす前に、まず全員が共通して理解すべき基礎は何か。その基礎を、どのタイミングで、どのように学ばせるのか。人材育成を“設計”として捉え直すことが、これからのシステム開発企業には求められている。CCTは、その設計を支えるための、実践的で再現性の高い選択肢の一つだと言えるだろう。

セキュリティを「難しいもの」「専門家任せのもの」と捉え続ける限り、組織は強くならない。すべてのエンジニアが、セキュリティを前提に考える。その当たり前をどう作るか。NTTデータのCCT導入事例は、その問いに対する一つの道筋を示している。GSXはサイバーセキュリティ人材の育成プログラムの提供を通じて、NTTデータの取り組みをこれからも継続的に支援していく。

ポイントの整理
導入会社プロフィール

会社名

株式会社NTTデータ

所在地

東京都江東区豊洲3-3-3 豊洲センタービル

設立

2022年(令和4年)11月1日

代表取締役社長

鈴木 正範

導入サービス概要

本記事のシェアはこちらから

お問い合わせはこちら