セキュリティ コミュニティは、サイバー脅威に対して世界をより適切に配置するために、継続的に変化し、成長し、互いに学び合っています。マイクロソフトの Voice of the Community ブログ シリーズの最新投稿では、 Microsoft Security Product Marketing ManagerのNatalia Godylaが、 TCM Securityの最高経営責任者 (CEO) であるHeath Adamsと、メンターになること、新しいセキュリティ人材の採用、認定資格、スキルアップ、将来について語っています。 サイバーセキュリティ トレーニングなど。
ナタリア: 人材不足を懸念しているセキュリティ リーダーに何を勧めますか?
ヒース:もっとオープンで、ゲートキーピングから逃れる必要があります。この業界では、「私がこの道を通ったのだから、あなたはこの道を通らなければならない」ということがたくさんあります。または、「私はこれらの認定を取得したので、これらの認定を取得する必要があります。」必ずしも必要ではない場合でも、誰もがこの完璧な候補者、つまり 10 年の経験を持つ人物を求めています。トレーニングを手伝うことができる、より若い人を連れて行くことができる必要があります。または、白紙の状態で誰かを連れて行きます。
マネージャーとして、人事部の職務記述書に記載されている内容以上のものを受け入れてください。そして、さまざまなバックグラウンドを持つ新しい人々に心を開いてください。さまざまな職業や年齢層の人々が訪れています。したがって、これらの偏見を脇に置いて、目の前にいる人だけを考えれば、それは仕事不足を解消し、才能のギャップを埋めるのに役立ちます.
ナタリア: パンデミックとハイブリッド ワークへの移行によって、サイバーセキュリティのスキルはどのように変化しましたか?
ヒース:ポジティブだったと思います。私たちの分野では、リモートで作業する機能が常にありました。しかし、パンデミックが状況を変えたため、より多くの企業がその事実に気付き始めています。私は、95% の時間、自宅で作業していたにもかかわらず、移転しなければならなかったペネトレーション テスターとして仕事をしてきました。現在、地元以外の人材に目を向ける企業が増えています。もはや大きな市場を見る必要はありません。サイバーセキュリティを研究している国の反対側の誰かを見ることができ、彼らはあなたのチームの資産になる可能性があります.
シャットダウン中にTwitchストリーミングをたくさん行っていたのですが、ストリームが以前よりもはるかに大きくなっていることに気付きました。より多くの人が見ていて、より多くの人が興味を持っていました。シャットダウンを利用して、多くの人がこう言いました。新しいキャリアが欲しい」高給の仕事もあるし、リモートワークもある。前述したように、この分野に入るのに特定のバックグラウンドや学位は必要ありません。人々はあらゆる分野から来ることができます。パンデミックはそれに光を当てるのに役立ったと思います。
ナタリア: あなたはサイバー メンター™ としてよく知られています。メンタリングはあなたのキャリアにどのような影響を与えましたか?
ヒース:それは私をゲームのトップに保ちます。私は人々に方向性を与えることができなければならず、悪い情報を与えたくないので、業界の変化、仕事がどこに向かっているのか、面接の方法を常に把握していることを確認しています.これらはすべて年々変化しているようです。セキュリティ分野に参入する次世代と連絡を取り合うのにも役立ちます。
ナタリア: キャリアアップを支援してくれるメンターはいますか?
ヒース:私は「コミュニティ メンターシップ」と呼んでいるものを思いつきました。私は Discord コミュニティを持っており、それを使って他の人に恩返しをするよう促しています。必要なときに人々を助けたり、お互いから学びながら必要なときに助けを得たりしたいと考えています。ネットワーキングや仕事が必要なときは、それが大いに役立ちます。私にとっては、志を同じくする人々のグループがいる場所にいることの方が重要です。侵入テスト会社を所有する友人がたくさんいます。集まって、昼食をとり、戦略について話し合います。何してるの?私は何をやっている?それが私たちがお互いに持っているメンターシップのようなものです。新しいことを考えながら、お互いを抑制していることを確認するだけです。
ナタリア: スキルを伸ばそうとしているキャリア初期のメンティーにとって、最大の苦労は何ですか?そして、リーダーはこれらの課題にどのように対処できるのでしょうか?
ヒース:役職を探している人は、覚えておくべきことがいくつかあります。 1 つは、歩く前にハイハイをし、走る前に歩くことです。例としてハッキングを使用します。多くの人がハッキングに興奮し、素晴らしいと思います。 「何かをハッキングしてお金をもらえるの?やりたい!」そして、基本的なスキル セットを構築したり、コンピューターの各部分を学習したり、コンピューター ネットワーキングや基本的なトラブルシューティングの方法を学習したりすることなく、すぐにそれに飛び込もうとします。私が人々に言っているのは、コンピューターを壊して直せということです。基本的なハードウェア、基本的なコンピューター ネットワーク、IP アドレスとは何か、サブネットとは何かを理解します。 Python などのコーディングを理解する。コンピュータ サイエンスのバックグラウンドは必要ありませんが、基本的なスキルがあれば大いに役立ちます。
家の下に土台を入れないと崩れます。ですから、キャリアについても同じように考える必要があります。基盤を構築していることを確認する必要があります。人々は、この分野に参入するための努力の量を認識していません。事前に十分な注意を払ってください。
サイバーセキュリティにはインポスター症候群もたくさんあります。私は人々に、特にソーシャル メディアでは、他人のことを気にしないように言います。比較は喜びを盗むものだと言われますが、私はそれを心から信じています。自分のレースを走っていることを確認する必要があります。あなたが他の誰かと同じマイルを走って、彼らが5分でそれを終え、あなたが10分でそれを終えたとしても。あなたはまだ同じマイルを終えます。重要なのは、そこにたどり着いたことです。昨日よりも良くなろうとしている限り、思っているよりもはるかに遠くまで行くことができます.
最後に、サイバーセキュリティは常に変化している分野です。自己満足している人、つまり学位を取得して就職したいと考えている人にとって、サイバーセキュリティは適切ではありません。サイバーセキュリティは、常に新しい脆弱性が存在するため、常に学習することに関心がある人向けです。誰もが懸念するLog4J の脆弱性がありました。今日はクライアントとのミーティングがありましたが、準備ができていなければ、彼らをがっかりさせてしまいます.私は彼らのセキュリティも低下させています。週末は勉強しなければならなかったので過ごしました。それが私たちのビジネスです。
雇用主側からも、この点を常に把握しておく必要があります。人材をトレーニングし、最新の状態に保つ必要があります。 TCM Security には、従業員に求められる基本的な基盤があり、最も関心のある分野で知識を習得することを奨励しています。全く興味がなく、髪の毛を抜きたいと思っていたトレーニングに送られてきました。マネージャーとして、「何を学びたいですか?」と尋ねます。従業員が興味を持っているサイバーセキュリティ トレーニングに参加させると、従業員はその情報をよりよく保持できるようになります。その後、彼らはその情報を私たちに戻すことができ、私たちはそれを実際のシナリオで使用できます.
ナタリア: セキュリティ リーダーは、どうすればセキュリティ プロフェッショナルをチームにうまく採用できるでしょうか?彼らは何に気をつけなければなりませんか?たとえば、認定資格はどの程度重要ですか。
Heath:初級レベルの役割では、 認定資格が重要です。フィールドに入ると、それらの重要性は低下します。しかし、私は彼らの支持者です。ブログを書いたり、会議に出席したり、ホーム ラボを構築したり、会議で講演したり、地域のコミュニティ グループで講演したり、「私はセキュリティに情熱を注いでいます」と言うものは何でも、ある程度の知識を証明するのに役立ちます。
何が起こっているのか論理的に理解していることを確認するためだけに、面接担当者が何かをコーディングしたり、壊れたコードを修正したりするエントリーレベルの役割を見てきました。開発者である必要も、コーディングができる必要もありませんが、目の前にあるものを理解できなければなりません。採用プロセス中にコーディングの課題があることは有益ですが、オープンブックであるべきです。セキュリティの専門家にとって、正直なところ、検索を使用することは私たちの仕事の 90% です。誰かがオンラインで検索するのを制限している場合、誤った期待を設定していることになります。
さまざまなコマンドがありすぎて、すべてを覚える方法がないため、ビデオをもう一度見たり、ブログを読み直したりしています。ただし、概念を理解する必要があります。実行する必要があるツールやその概念を理解していれば、それを検索してツールを見つけて実行できます。それはもっと重要です。
ナタリア: 私たちは皆、セキュリティ業界の燃え尽き症候群に関する統計を読んだことがあります。才能を維持したいリーダーに何をお勧めしますか?
ヒース:あなたはメンタルヘルスを推進しているに違いありません。十分な有給休暇 (PTO) があることを確認し、従業員にそれを使用するよう奨励します。また、従業員が有給休暇を超えて休暇を取ることができることを確認してください。彼らが病気の場合、彼らは人々を失望させているように感じるべきではありません.そのため、柔軟なスケジュールを設定しています。週 32 時間の勤務体制です。私たちは人々にできるだけ多くの時間を与え、ワークライフバランスを保つように努めています.また、トレーニングにお金を払っているので、人々は興味のあるトピックに集中して参加できます。従業員に投資していることを確認しています。再雇用して再訓練するには、はるかに費用がかかります。私は従業員に投資し、彼らのメンタルヘルスを高いレベルに保ち、彼らが成功するために必要なすべてのツールとトレーニングを確実に提供したいと考えています.
ナタリア: サイバーセキュリティのスキルにはどのような傾向がありますか?セキュリティ専門家のトレーニング、採用、維持の方法に関して、次に何が起こると思いますか?
ヒース:この分野に関心を持つ人が増えています。それは素晴らしいことです。より多くのトレーニング プロバイダーとトレーニング オプションを目にするようになりました。私が始めた頃は、ほとんどがブログの投稿を読むだけで、トレーニング プロバイダーは 1 つか 2 つでした。今は10人か15人です。
誤った情報が流出したり、情報が古くなったりする可能性があります。認証会社をオンラインで検索したり、1 年前のオンライン投稿を見たりしても、その情報は古くなっている可能性があります。繰り返しになりますが、これはデューデリジェンスに戻り、1 つの情報源だけに頼るのではなく、調査を行っていることを確認することです。この分野に参入するための資格を探す場合、20 から 30 の異なるリソースを調べて、投票数が最も多いものについてコンセンサスを得てから、それらの組織について独自の調査を行います。調査を行い、どこに行く必要があるかを確実に理解することは、優れた職務スキルの練習になります。
もっと詳しく知る
Microsoft セキュリティ ソリューションの詳細については、 当社の Web サイト を参照してください。 セキュリティ ブログをブックマークして、セキュリティに関する専門家の記事を入手してください。また、 @MSFTSecurityをフォローして、サイバーセキュリティに関する最新ニュースと更新情報を入手してください。
免責事項: ここに示されている見解は著者の見解であり、Microsoft Corporation の見解を表すものではありません。
参考: https ://www.microsoft.com/en-us/security/blog/2022/01/20/build-a-stronger-cybersecurity-team-through-diversity-and-training/
Comments