社会の半分を占める女性の参入を阻んでいる形になってしまっている現在のセキュリティ業界は、単純に考えると人材としても半分を失っている状態だといえる(yosan / PIXTA)

さまざまな分野で「女性人材の活用」が叫ばれて久しい。しかしIT、特に開発や分析を行うエンジニアリング領域においてはかねて「男性の世界」といったイメージが強く、女性エンジニアの比率は今でも多いとはいえないのが現実だ。

今回は情報セキュリティ分野にフォーカスし、情報セキュリティに関心がある女性のための団体「CTF for GIRLS」発起人で、Black Hat AsiaおよびBlack Hat USAのReview Board(査読委員)を務める中島明日香氏に、女性セキュリティ人材活用の現状や課題について聞いた。

女性人材が少ない背景には「理系=男子」の刷り込み

――情報セキュリティ業界は女性が少ないイメージがありますが、実際はどうでしょうか。また、その背景には何があると思われますか。

ご想像の通り、女性は少ないと感じます。私の職場でも、波はありますがおおよそ1〜2割にとどまっています。


サイバー攻撃やセキュリティーの最新動向など、その他の関連記事はこちら

背景には、「男子は理系、女子は文系」という昔からのイメージが根強く残っていることが関係しているように思います。理系の学部は男子が圧倒的に多かったりもして、女子学生が「女性には向いていない世界なのでは」「なじめないかも」と、この世界に飛び込んでいく心理的・社会的なハードルが非常に高くなってしまっています。

プログラミングに関心のある人はきっと女子学生にも多いですし、女性で情報セキュリティを学んだり、仕事にしたりする人がどんどん増えれば、学びたいという人も増えていくと思います。

サイバー攻撃に対抗するEDR製品開発に携わる中島氏

――中島さんは、前職および現職ではどのような仕事をされていますか。


中島明日香(なかじま・あすか)/Elastic シニアセキュリティリサーチエンジニア。2013年に慶應義塾大学環境情報学部卒業後、日本電信電話株式会社(NTT)に入社し、約10年間ソフトウェアセキュリティの研究開発に従事。研究成果を「Black Hat」や「ACM AsiaCCS」の国際会議で発表する。2022年にElasticに入社。現在はシニアセキュリティリサーチエンジニアとしてエンドポイントセキュリティの研究開発を主に担当。第15回情報セキュリティ文化賞受賞。サイバーセキュリティに関する総務大臣奨励賞個人受賞。著書に『サイバー攻撃』(講談社、2018)『入門セキュリティコンテスト』(技術評論社、2022)がある(写真は本人提供)

いずれもセキュリティ分野の研究開発職として業務にあたっています。前職ではソフトウェアにおいて攻撃を受けそうなポイントとなる「脆弱性」を見つけだして対策する方法を研究しており、例えばIoT製品のリスク対策などに活用できる技術として国際カンファレンスの「Black Hat Europe 2019」などでも発表の機会をいただきました。

現在はもう少し視野を広げ、ソフトウェアに限らずコンピュータ全体を保護するようなEDR(Endpoint Detection and Response)製品の開発に携わっています。

――攻撃のリスクというのは、実際にどの程度留意すべきものなのでしょうか。

大企業がサイバー攻撃を受けたニュースなどを見ていても「自分には関係ない」と感じる方が多いかもしれませんが、攻撃の結果それらの企業のサービスが停止してしまえば私たち生活者にも影響がありますし、個人が所有しているスマートフォンやパソコンにも攻撃のリスクはあります。情報技術とは切っても切れない時代になっているからこそ、情報セキュリティの重要性はいやでも増していくといえるでしょう。

企業でセキュリティにまつわる部署に配属されたけれど、知識がない……という方は、まず情報処理推進機構の発行する情報セキュリティ白書や、セキュリティ関連企業のホワイトペーパーなどに目を通して全体的な動きを把握してみるのがおすすめです。最新の技術などは海外のカンファレンスの発表や著名エンジニアのブログなどからもキャッチアップできます。

――中島さんが発起人である「CTF for GIRLS」も、女性セキュリティ人材の育成や交流の場として立ち上げられたものですね。

はい。私自身も情報セキュリティを学び始めたときに相談できる相手や適切な情報にアクセスできず苦労した経験があるので、プログラミングやセキュリティについて学ぶ場として女性だけのコミュニティがあれば入り口になるのではと考えたのがきっかけです。


CTF for GIRLSは、情報セキュリティ技術に興味がある女性を対象に、気軽に技術的な質問や何気ない悩みを話しあえるコミュニティ作りを目的に立ち上げられた(画像は中島氏提供)

2014年に立ち上げ、のべ30回以上のワークショップやCTF大会(セキュリティ技術を競う大会)を開催してきました。参加者は現役のセキュリティエンジニアをはじめ周辺領域のエンジニア、セキュリティ分野に関心のある学生や社会人の方などさまざま。未経験の方もいますが、スタッフやメンバー間でのコミュニケーションも活発で、コミュニティとしてとてもいい形で機能できていると感じています。

多様性の1つとしての「女性」に目を向ける

――男性が多いセキュリティ業界において、女性であることのメリットやデメリット、また女性ならではの強みはありますか。

女性であることでメリット・デメリット両方があると思います。女性は珍しいので、顔や名前を覚えてもらいやすく、また「女性を応援したい」という方からチャンスをもらえることもあります。


ROOTCONでの研究発表の冒頭に自己紹介を行う中島氏(写真は中島氏提供)

一方でそれは、望まないのに目立ってしまうとか、それゆえに「自分の実力ではなく“女性だから”チャンスがもらえただけなのでは」と疑心暗鬼に陥ってしまうこともあります。正当に評価されているのかがわかりにくくなってしまうというか……。

私が常々感じているのは「技術の習得に男女差はない」ということです。女性ならではの強みは?と尋ねられることも多いですが、そこに男女の違いはありません。CTF for GIRLSが目指しているのはまさに「女性がセキュリティをやるのが当たり前の社会」。女性だから、男性だから、と区別しなくてもよい世界にしたいなと思っています。

ただ、女性を登用することで広がる多様性はメリットとして大きいと思います。社会の半分を占める女性の参入を阻んでいる形になってしまっている現在のセキュリティ業界は、単純に考えると人材としても半分を失っている状態です。

そこに多様性の1つとして「女性」が加わることでイノベーションが起きたり、新たに目を向けるべき課題が見つかったりするかもしれません。

女性セキュリティ人材のキャリア事例も増やしたい

――女性のセキュリティ人材を増やすために、どのような課題がありますか。

まずは入り口を広げるために、「学んでみたい」と興味を持った段階の女性を尻込みさせない仕組みが必要で、「女性は向いていない」とか「女の子がやることじゃない」といった刷り込みを大人がしないように心がけることだと思います。


CTF for GIRLSでの女性向けワークショップの様子(写真は中島氏提供)

人生は一度きりですから、やってみたいと思ったことにはどんどんトライしてほしいし、それを「向いていないかも」とあきらめるのはもったいないですよね。採用の場でも「セキュリティ人材は理系の男性」というイメージをなくし、個人のスキルを評価してほしいと思っています。

それから、CTF for GIRLSのような団体としてやっていきたいのは、セキュリティエンジニアとしてのキャリアモデルを増やすことです。女性が少ないので、例えば出産などでキャリアがストップしたら、ブランクができたら……といった想像がしにくい面があるし、メディアに出ているのはカンファレンスに登壇したり書籍を出したりといった人ばかりで、「私には無理だ」と感じてしまう人が多いのも事実です。

でも、CTF for GIRLSには15年ほど専業主婦をしたのちに50代でエンジニアとして再就職された方もいますし、そんなケースももっと知られてほしい。メンバーにもどんどんチャンスを回していきたいですし、セキュリティ人材として活躍を目指す人のサポートはこれからも続けていきたいです。

( 藤堂真衣 : フリーライター)