とあるセキュリティ担当者の転職活動記録④（企業リサーチ：外資セキュリティベンダー）

セキュリティ職のポジション探し（企業リサーチ）について、３回目の記載です。
今回は最終回で、外資のセキュリティベンダーです。

外資のセキュリティベンダーに興味を持っている理由は以下のとおりです。

• セキュリティ自体の先進技術（XDR、SSEなど）を学ぶことができる

• 仕事をするうえで、英語が必須になるので強制的に英語力が向上する

• 外資であれば高めの給料を期待できる企業が多そう

セキュリティ業界の今後の展望を簡単に記載したうえで、個々の企業の採用状況を整理したいと思います。

セキュリティ業界の今後の展望

ここ最近、ランサムウェアを筆頭に、サイバー攻撃の被害がニュースになることも多くなってきました。
そのため、セキュリティの必要性は企業だけでなく、一般の個人においてもかなり浸透してきている状況だと思っています。
セキュリティはどうしても、利便性とのトレードオフになることが多くコストもかかるので疎まれがちですが、少しずつイメージが変わってきていると個人的には感じています。

また、セキュリティは、「ブレーキをかけるもの」という言われ方をよくされますが、この比喩の延長で車の運転に例えて必要性を説明すると、まず、車には、「アクセル」と「ブレーキ」の２つが必ず存在するかと思います。アクセルがないと進みたいときにタイヤを回すことができないですが、道路は直線だけではないので、ブレーキがないとうまくカーブを曲がることができません。つまり、目的地に到達することができないと思っています。
ビジネスでも同じで、何らか新しいプロダクトや事業を成功させようと思うと、数あるリスクを上手くコントロールしながら進まないといけないと思っています。そのうち、セキュリティは「サイバー攻撃のリスク」をコントロールするものであり、昨今の脅威の高まりを踏まえると、優先順位は益々高いものになってきていると考えています。

前置きが長くなりましたが、大前提として、私は「セキュリティは今後も絶対的に必要とされ、そのニーズは継続して増加していくもの」と思っています。
そして、私個人の思いとしては、社内外のステークホルダーから、セキュリティのことを「ビジネスイネーブラー（ある事象の成功・目的達成を可能にする人・組織・手段）」として、重要な存在と認めてもらえるように励みたいと考えています。

（ここで、転職活動の話に戻りたいと思いますが、）とはいえ、セキュリティといってもその領域はかなり広いものがあります。また、技術の進展もすごく早いと認識しています。
そのため、今後もニーズが高まるであろうプロダクトを扱う企業に当たりをつけていかないと、転職できたとしても、業績不振に伴うリストラリスクなどがあると思っています。
では、「どういった領域のニーズが高まるか」ですが、以下のようなことを考える必要があると思っています。
・市場規模がこれから大きくなっていくIT領域
・今後高まっていく具体的な脅威（攻撃手法や狙われる対象）
・セキュリティ対策自体の効率化・高度化

・・・と、ここから本当は１ポツ目から順に書いていこうと思っていたのですが、情報整理に結構時間がかかりそうなのと、そもそも転職活動の話から思いっきり脱線しそうなので、断念しました。（Web3.0のわかりやすい資料に触れたりしようとしたところで、終わらないと気づきました）

３ポツ目のセキュリティ対策自体の効率化・高度化に対しては、Gartnerのハイプサイクル（セキュリティ版）が参考になるなと思っているので、それだけ転載いたします。

出典：Gartner（2022年9月）リンク

あとは、ざっくりと良さげな外資系セキュリティベンダーをスクリーニングする方法として、Linkedinの企業ページのフォロワー数に着目してみました。「当該企業の投稿記事への関心を持つ人が多い」「当該企業に入りたい人が多い」という指標だと思うので、この数字を見るのはそんなに悪くないかなと思っています。
以下がフォロワー数（カッコ書き部分）が多い順で並べた結果です。

・Cisco（5,749,435人）
・Palo Alto Networks（879,382人）
・Fortinet（765,441人）
・Juniper Networks（678,942）
・Splunk（521,295人）
・Cloudflare（483,927人）
・Trellix（441,910人）
・CrowdStrike（410,161人）
・DocuSign（348,690人）
・Okta（290,045人）
・CheckPoint（237,679人）
・Zscaler（225,937人）
・Datadog（188,552人）
・Mandiant（141,305人）
・SentinelOne（139,193人）
・Tenable（122,303人）
・Cyberreason（79,861人）
・Dragos（44,872人）

この中でも、特に興味を持っているのは、「CrowdStrike」「Okta」「Zscaler」です。

CrowdStrikeは、クラウド型のEPP（Endpoint Protection Platform）サービスを提供していますが、今後の見通しとして、エンドポイント対策は無くならないと思っています。例えば、この先5年〜10年を考えても、どうしたって、ユーザーインターフェースとしてのデバイス（ラップトップなど）は存在し続け、当該デバイスに対する機密性・完全性・可用性を守る対策の必要性がなくなることはないと思っています。
MITRE（アメリカ政府が資金を提供する非営利組織。セキュリティ業界にいる人であれば、MITRE ATT&CKが有名）のエンドポイント製品における評価では最高レベルを獲得しており、性能には期待ができます。

次に、Oktaは、クラウド型ID管理（IDaaS）サービスで有名です。「認証」はセキュリティ対策の基本中の基本ですが、効率化も一緒に考えなければ実効性・継続性が下がってしまい、セキュリティホールとなり得るので、ID管理機能と効率的な認証（複数サービスへのシングルサインオンなど）を実現するIDaaSは引き続き高いニーズがあると思っています。ただ、競合にAzure AD（Microsoft）がいるのが怖いところです。

最後に、Zscalerは、場所やデバイスを問わず、安全にインターネット接続できる環境を提供するクラウド・セキュリティサービスです。キーワードでいうとSASE（Secure Access Service Edge）。SASEは、SD-WANのネットワークの拡張機能と、拡張されたネットワークへのセキュリティ機能（CASB）をドッギングしたものと理解しています。（SASE = SD-WAN + CASB）
これは、コロナで大きくニーズの増えた領域で、先に従来の話をすると、これまでは、企業ネットワークの１箇所からインターネットにでるように構築するのが普通だった（この方がFWとかも１箇所で設置すれば十分で、管理が楽だった）ものの、企業の中からではなく自宅（テレワーク）からの接続も可能にしようとしたとき、ネットワークの構成にものすごく無駄が多くなってしまいました（わざわざ１回企業のイントラに入ってから外に抜けるようにしないといけない）。
これに対し、新しいやり方として、自宅から直接インターネットに出ていくというやり方を考えて、その際、物理的にはネットワークは分かれているけど、論理的に統一的に管理して、あたかも１つのWAN上の処理のようにみなせる技術がSD-WANです。
ただ、SD-WANを構築したとしても、個々の対策が必要な部分はあり、それを統一的に管理する必要はあって、セキュリティ管理機能の部分はCASBのようなソリューションを使います。
これらを組み合わせたものが、新しいネットワークセキュリティであり、キーワードとしてSASEなどと呼ばれており、ZscalerはGartnerが発表したSSE（※）のマジック・クアドラントでリーダーに選ばれています。

（※）SASEとSSEの関係は、実はちょっとまだ完全には理解できていません・・・。元々SASEは2019年にGartnerが提唱した定義ですが、最近同じくGartnerがSSE（Secure Service Edge）を定義しました。色々と調べていると、SSEはSASEを実現するための一部のような文脈で説明されている記事をいくつか見つけられたので、包含関係にあるように見えています。

上記３社はいずれもクラウドに関連したセキュリティサービスになっていまして、そうした意味でも今後スケールしていくことが期待できるかと思っています。
また、その他には、流行りのパスワードレス認証（具体的な技術としてはFIDOなど）に興味があるのですが、これを事業としている具体的な企業を見つけられていません（引き続きウォッチしたいと思っています）。

リサーチした外資セキュリティベンダーの一覧

採用情報について調べた企業の一覧が以下です（順不同）。

• CrowdStrike

• Okta

• Zscaler

• Cisco

• DocuSign

• Datadog

• SentinelOne

CrowdStrike

公式サイトでみたところ、いくつか日本法人のポジションがありました。（Linkedinでも同様のポジションを掲載）
リンク先のとおりで、18のポジションがあります。ただ、多くは営業職でして、私の希望と合致するポジションをフィルタリングすると、以下の５つかなと思っています。

• Intelligence Analyst, Recon

• Sr. Training Instructor

• Security Analyst, Falcon Complete SOC

• Technology Strategist, Japan

• Associate Security Analyst

が・・・、１〜３つ目のポジションはビジネスレベルの英会話が求められています。特に１つ目のポジションは必須要件として「Excellent written, verbal communication skills in English.」があり、早速挫折しました。英語が必要なことは容易に想像できることですが、そもそもの要件として、英語での会話が流暢にできることを求められてしまうと、諦めざるを得ません。（以降のOktaなどでも同様なのですが・・・）

ただ、４つ目と５つ目は、そうでもないようです。４つ目は、記載がないだけなのでよくわからないところもありますが、５つ目は、日本語で明確に「ビジネスレベルの英語力があれば良い、マストではありません。」との記載があります。もう少し能動的に探る必要がありそうですが、チャレンジしてみる価値があるかもしれないと思っています。
４つ目は、戦略業務ということで、業務内容的にも、興味があります。

Okta

こちらもいくつか日本法人でのポジションがありました。（リンク）
全部で８種類のポジションがあり、良さそうなものが以下の３つです。

• Alliances Solutions Engineer

• Senior Technical Support Engineer

• Developer Support Engineer II

１つ目のポジションに興味を持っています。いわゆる技術営業職（ソリューションアーキテクト、プリセールス職）のように理解していますが、顧客向けにわかりやすい資料を作成し、ご提案するような業務かなと想像しています。
２、３つ目はカスタマーサポート職ですが、こちらはあまり業務内容に興味が持てませんでした。

Zscaler

日本のポジションは存在し、リンク先のとおりです。結構な数のポジションがありますが、良さそうに見えたのは以下の４つです。

• Sales Engineer Enterprise

• Sales Engineer

• Customer Success Manager

• Technical Account Manager

１、２つ目は技術営業職で、２つ目のほうはポジション名ではわかりませんでしたが、ジョブディスクリプション（JD）を見ていると「シニア」とあるので、ハイクラスなポジションかなと想像しています。
３、４つ目は、カスタマーサクセス職です。サブスクリプション型の契約が増えてから登場してきたポジションと理解していますが、契約後、継続率を維持するために、顧客の要望を吸い上げプロダクトへフィードバックしていく業務かと思います。
いずれのポジションも面白そうかなと思っていますが、３、４つ目は具体的な要件として、プリセールス経験が必要なようなので、残念ながらエントリーは難しいと思っています。（本音として、採用いただける自信もまったく沸かない）

Cisco

かなりの大企業なだけあって、日本に限定しても相当数の募集ポジションがありました。（リンク）
ただ、Ciscoの場合、大半の技術職について通信に関する相当な知識が求められると考えていて、自信があまりないので、まだ戦えそうな領域として少しセキュリティで絞り込む必要があると思っています。
その結果、以下の２つのポジションが目に留まりました。

• Cybersecurity Sales Specialist - Commercial

• Cybersecurity Sales Specialist - Public Sector

いずれも営業ラインのポジションですが、JDを見ていると技術営業職のように見えています。ただ、販売経験があることが望ましいという記載もあるので、私の業務経歴から考えると、若干ハードルが高いようには見えています。

DocuSign

日本のポジションがありました。（リンク）
が、いずれも営業職がかなり強そうなのと、ビジネスレベルの英会話が求められることから、あまり私にマッチしそうにありません。

Datadog

こちらも日本のポジションがありました。（リンク）
そして、以下の１つのポジションに興味を持っています。

• Senior Information Security Analyst - Customer Trust

自社プロダクトが、顧客が課せられている規制に準拠するかを確認し、サポートするような業務ということで、自身の経験が多少活かせそうだと思い、興味が沸いています。
ただ、「Fluent in both Japanese and English」の記載もあｒ（以下略）

SentinelOne

日本ポジションはあった（リンク）のですが、完全な営業職のみのようでした。残念です。

まとめ

思っていたよりも、日本における私の希望を満たす、かつ、自身の経験を活かせそうなポジションが見つかりました。
ただ、途中にも記載したとおり、やはり英語が必須なところがどうしてもネックになりそうです（特に会話）。
エントリーをするかどうかは改めて考えたいと思っていますが、現時点で何となく思っているのは、今は時期尚早であり、もっと会話も含めて英語力が向上した後、次のキャリアを考えるときに候補にすべきかなと感じています。

以上、ここまで、GAFA、メガベンチャーときて、今回外資セキュリティベンダーを整理しましたが、元々興味を持っていた企業の大まかな情報整理はできたので、企業リサーチは終わりたいと思います。
他の候補として、JTC企業におけるセキュリティ統括職も考えられるのですが、一番の優先事項である「セキュリティを極める」という目的に立ち返るとそぐわないと思っています。（今より給料の良いポジションは存在するのだろうとは思っていますが）

ということで、次は「転職に関する活動計画（内定までのプロセスやエントリー対象など）」を考えたいと思います。それができれば、いよいよエントリー、面接のはじまりです。