コードを書くエンジニアがセキュリティを学ぶメリットとは
昨今ではランサムウェア攻撃が企業に大きなダメージを与え、その背後でクレデンシャル窃取やサプライチェーン攻撃などが問題となっている。どの分野のエンジニアにとってもセキュリティは無関係ではない。もちろんアプリケーション開発でコードを書いているエンジニアも例外ではない。
今では開発をオフラインで行うことは珍しく、開発で使う何らかのサービスが攻撃を受けて作業が中断したり、書きかけていたコードを消失してしまったりなんてことも起こりうる。プログラムで使うライブラリに、知らないうちに悪意のあるコードを埋め込まれていないかチェックすることも必要になる。
また、生成AIの活用も進んでいる。コードの入力支援、顧客サポートのチャットに生成AIを組み込むケースもよく見る。しかし、カスタマーサポートでチャットボットを組み込む際、悪意のある内容を学習させた結果、誤った情報を顧客に案内し訴訟に発展するようなリスクもある。
福田氏は「現在セキュリティ人材は非常に不足しています。需要に対して供給が追いついていないのが実情です。セキュリティがさまざまな場面で当たり前のように検討、実装されている今、個別の機能単位だけではなく、システム全体や、企業全体のポリシーやガバナンスをどうしていくか、コンサル領域としても活況をむかえています。特にコードを書くエンジニアがセキュリティを学ぶことには大きなメリットがあります」と語る。
さらに福田氏は、セキュリティの視点を持つことがエンジニアのキャリアパスを広げる可能性についても触れる。エンジニアが顧客のビジネス課題を解決するために、要望に応えてUI/UXを実現していくことは非常に重要なポイントであるが、コードの動作は顧客のサービスに直結しており、それを支えるネットワークや保護するセキュリティが不可欠である。今後は、システム全体、ネットワーク領域にまで視野を広げ、セキュリティを俯瞰的に見て実装に向けて推進していくことができれば、自身の付加価値を高めることができるだろう。
また近年では、生成AIの活用によりコーディングがある程度効率化されつつある中で、新たなスキルとしてセキュリティを身につけることは、エンジニアとしての大きな強みになるだろうと福田氏は強調する。
エンジニアの業務にセキュリティの知識を活かすほか、セキュリティの専門家を目指すキャリアもある。たとえば、メーカーやシステムインテグレーター、民間企業のセキュリティ部門、SOC(セキュリティオペレーションセンター)におけるセキュリティスペシャリストとして活躍することも可能だ。また、将来的には企業のセキュリティやガバナンスを考えるCISOの道もあるかもしれない。
